標準解讀

GB/T 20274.1-2006《信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第1部分:簡介和一般模型》是中國國家標準體系中關(guān)于信息安全評估的重要組成部分,它為評估和構(gòu)建信息系統(tǒng)的安全性提供了一個全面的框架。該標準主要關(guān)注于如何確保信息系統(tǒng)的安全得到有效管理和控制,以保護信息資產(chǎn)免受各種威脅,確保業(yè)務(wù)連續(xù)性。

標準內(nèi)容概覽:

  1. 標準目的:明確了制定此標準旨在為政府機構(gòu)、企業(yè)組織等提供一個統(tǒng)一的方法論,用以評估和改進其信息系統(tǒng)的安全保障能力。通過實施這一框架,組織可以識別安全需求、評估現(xiàn)有安全措施的有效性,并根據(jù)評估結(jié)果采取措施來增強安全防護。

  2. 適用范圍:適用于所有類型的組織,無論是公共部門還是私營企業(yè),無論規(guī)模大小,只要是依賴于信息系統(tǒng)進行日常運營和服務(wù)提供的,都可以應(yīng)用此框架來進行信息安全保障的自我評估或第三方評估。

  3. 信息安全保障概念:標準中定義了信息安全保障(Information Security Assurance, ISA)為一系列管理和技術(shù)措施的集合,旨在確保信息的保密性、完整性和可用性。它強調(diào)了信息安全是一個持續(xù)的過程,需要不斷地監(jiān)控、評估和改進。

  4. 評估框架:提出了一種分層次的評估方法,包括管理層面、技術(shù)層面、工程層面和操作層面的安全保障要素。這些層面覆蓋了策略制定、風險管理和控制實施等關(guān)鍵環(huán)節(jié),確保評估的全面性和深入性。

  5. 一般模型:標準詳細描述了一個通用的模型,該模型包括安全保障的目標、原則、生命周期以及評估的基本過程。模型強調(diào)了安全保障的動態(tài)性,即隨著技術(shù)和威脅環(huán)境的變化,安全保障措施也應(yīng)相應(yīng)調(diào)整。

  6. 評估原則:明確指出評估活動應(yīng)基于風險、客觀、可重復(fù)和系統(tǒng)化的原則進行,確保評估的公正性、有效性和實用性。

  7. 安全保障生命周期:介紹了信息安全保障的五個階段:規(guī)劃與建立、實施與獲取、運行與使用、監(jiān)控與評審、保持與改進,強調(diào)了每個階段的關(guān)鍵活動和目標。

標準價值:

該標準為企業(yè)和組織提供了一個系統(tǒng)性的方法來理解和提升其信息系統(tǒng)的安全性,幫助識別潛在的安全漏洞,合理分配資源以應(yīng)對安全威脅,最終實現(xiàn)信息資產(chǎn)的有效保護。通過遵循該框架,組織能夠建立一個持續(xù)改進的信息安全保障機制,適應(yīng)不斷變化的安全挑戰(zhàn)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 20274.1-2023
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權(quán)
GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第1頁
GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第2頁
GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第3頁
GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第4頁
GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第5頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20274.1—2006

信息安全技術(shù)

信息系統(tǒng)安全保障評估框架

第1部分:簡介和一般模型

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋1:犐狀狋狉狅犱狌犮狋犻狅狀犪狀犱犵犲狀犲狉犪犾犿狅犱犲犾

20060531發(fā)布20061201實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜20274.1—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

0.1信息系統(tǒng)安全保障的含義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

0.2信息系統(tǒng)安全保障評估框架的編制目的和意義!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.1術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.2縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.1引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.2信息系統(tǒng)安全保障評估框架的目標讀者!!!!!!!!!!!!!!!!!!!!!!!4

4.3評估上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

4.4信息系統(tǒng)安全保障評估框架的文檔結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!6

5一般模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.2安全保障上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.3信息系統(tǒng)安全保障評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.4ISPP和ISST的生成!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.5信息系統(tǒng)安全保障描述材料!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6信息系統(tǒng)安全保障評估和評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!17

6.1介紹!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

6.2ISPP(信息系統(tǒng)保護輪廓)和ISST(信息系統(tǒng)安全目標)的要求!!!!!!!!!!!!!18

6.3TOE的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

6.4評估結(jié)果的聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6.5TOE評估結(jié)果的應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

附錄A(規(guī)范性附錄)信息系統(tǒng)保護輪廓!!!!!!!!!!!!!!!!!!!!!!!!20

A.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2信息系統(tǒng)保護輪廓內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.1內(nèi)容和表述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.2ISPP引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

A.2.5安全保障目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

A.2.6信息系統(tǒng)安全保障要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

A.2.7ISPP應(yīng)用注解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

A.2.8符合性聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

附錄B(規(guī)范性附錄)信息系統(tǒng)安全目標規(guī)范!!!!!!!!!!!!!!!!!!!!!!24

犌犅/犜20274.1—2006

B.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2信息系統(tǒng)安全目標內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2.1內(nèi)容和形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2.2ISST引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

B.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

B.2.5安全保障目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

B.2.6安全保障要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.7TOE概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.8ISPP聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

B.2.9符合性聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

附錄C(資料性附錄)信息系統(tǒng)描述!!!!!!!!!!!!!!!!!!!!!!!!!!30

C.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

C.2信息系統(tǒng)描述規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

C.3信息系統(tǒng)描述說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

附錄D(資料性附錄)信息系統(tǒng)安全保障級說明!!!!!!!!!!!!!!!!!!!!!33

D.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

D.2信息系統(tǒng)使命分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

D.3信息系統(tǒng)威脅分級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

D.4信息系統(tǒng)安全保障級(ISAL)矩陣!!!!!!!!!!!!!!!!!!!!!!!!!34

D.5信息系統(tǒng)安全保障級(ISAL)分級要求!!!!!!!!!!!!!!!!!!!!!!!34

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

圖1評估上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖2信息系統(tǒng)安全概念和關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

圖3信息系統(tǒng)安全保障模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

圖4信息系統(tǒng)安全保障生命周期的安全保障要素!!!!!!!!!!!!!!!!!!!!!9

圖5信息系統(tǒng)安全保障評估概念和關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!10

圖6信息系統(tǒng)安全保障評估說明!!!!!!!!!!!!!!!!!!!!!!!!!!!11

圖7信息系統(tǒng)安全保障評估整體和應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!12

圖8ISPP和ISST的生成過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

圖9安全保障控制要求的組織和結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!15

圖10安全保障要求的應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

圖11評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

圖A.1信息系統(tǒng)保護輪廓內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

圖B.1信息系統(tǒng)安全目標內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

圖C.1信息系統(tǒng)安全保障評估的信息系統(tǒng)描述規(guī)范!!!!!!!!!!!!!!!!!!!30

圖C.2信息系統(tǒng)技術(shù)參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

圖D.1信息系統(tǒng)安全管理能力成熟度級要求示例圖!!!!!!!!!!!!!!!!!!!35

圖D.2某信息系統(tǒng)安全工程能力成熟度級要求示例圖!!!!!!!!!!!!!!!!!!35

表1信息系統(tǒng)安全保障評估框架使用指南!!!!!!!!!!!!!!!!!!!!!!!!6

犌犅/犜20274.1—2006

表D.1信息系統(tǒng)使命分類示例!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

表D.2信息系統(tǒng)威脅分類示例!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

表D.3信息系統(tǒng)安全保障級矩陣示例!!!!!!!!!!!!!!!!!!!!!!!!!34

表D.4信息系統(tǒng)安全保障級要求示例!!!!!!!!!!!!!!!!!!!!!!!!!34

犌犅/犜20274.1—2006

前言

GB/T20274《信息安全技術(shù)信息系統(tǒng)安全保障評估框架》分為四個部分:

———第1部分:簡介和一般模型

———第2部分:技術(shù)保障

———第3部分:管理保障

———第4部分:工程保障

本部分的附錄A和附錄B為規(guī)范性附錄,附錄C和附錄D為資料性附錄。

本部分由全國信息安全標準化技術(shù)委員會提出并歸口。

本部分起草單位:中國信息安全產(chǎn)品測評認證中心。

本標準主要起草人:吳世忠、王海生、陳曉樺、王貴駟、李守鵬、江常青、彭勇、張利、班曉芳、李靜、

王慶、鄒琪、錢偉明、江典盛、陸麗、姚軼嶄、孫成昊、門雪松、杜宇鴿、楊再山。

犌犅/犜20274.1—2006

引言

0.1信息系統(tǒng)安全保障的含義

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中,通過對信息系統(tǒng)的風險分析,制定并執(zhí)行相應(yīng)

的安全保障策略,從技術(shù)、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性

和可用性,降低安全風險到可接受的程度,從而保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命。信息系統(tǒng)安全保障涵蓋

以下幾個方面:

a)信息系統(tǒng)安全保障應(yīng)貫穿信息系統(tǒng)的整個生命周期,包括規(guī)劃組織、開發(fā)采購、實施交付、運行

維護和廢棄5個階段,以獲得信息系統(tǒng)安全保障能力的持續(xù)性。

b)信息系統(tǒng)安全保障不僅涉及安全技術(shù),還應(yīng)綜合考慮安全管理、安全工程和人員安全等,以全

面保障信息系統(tǒng)安全。在安全技術(shù)上,不僅要考慮具體的產(chǎn)品和技術(shù),更要考慮信息系統(tǒng)的安

全技術(shù)體系架構(gòu);在安全管理上,不僅要考慮基本安全管理實踐,更要結(jié)合組織的特點建立相

應(yīng)的安全保障管理體系,形成長效和持續(xù)改進的安全管理機制;在安全工程上,不僅要考慮信

息系統(tǒng)建設(shè)的最終結(jié)果,更要結(jié)合系統(tǒng)工程的方法,注重工程過程各個階段的規(guī)范化實施;在

人員安全上,要考慮與信息系統(tǒng)相關(guān)的所有人員包括規(guī)劃者、設(shè)計者、管理者、運營維護者、評

估者、使用者等的安全意識以及安全專業(yè)技能和能力等。

c)信息系統(tǒng)安全保障是基于過程的保障。通過風險識別、風險分析、風險評估、風險控制等風險

管理活動,降低信息系統(tǒng)的風險,從而實現(xiàn)信息系統(tǒng)安全保障。

d)信息系統(tǒng)安全保障的目的不僅是保護信息和資產(chǎn)的安全,更重要是通過保障信息系統(tǒng)安全保

障信息系統(tǒng)所支持的業(yè)務(wù)的安全,從而達到實現(xiàn)組織機構(gòu)使命的目的。

e)信息系統(tǒng)安全保障是主觀和客觀的結(jié)合。通過在技術(shù)、管理、工程和人員方面客觀地評估安全

保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。

因此,它是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動,是主觀和客觀綜合評估

的結(jié)果。

f)保障信息系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責,而且需要社會各方參與,包括電信、電力、國

家信息安全基礎(chǔ)設(shè)施等提供的支撐。保障信息系統(tǒng)安全不僅要滿足系統(tǒng)所有者自身的安全需

求,而且要滿足國家相關(guān)法律、政策的要求,包括為其他機構(gòu)或個人提供保密、公共安全和國家

安全等社會職責。

0.2信息系統(tǒng)安全保障評估框架的編制目的和意義

本標準不僅可以作為信息系統(tǒng)安全保障評估的基礎(chǔ)標準,也可以為從事信息系統(tǒng)安全保障工作的

所有相關(guān)方(包括設(shè)計開發(fā)者、工程實施者、評估者、認證認可者等)提供一種標準化、規(guī)范化的通用描述

語言、結(jié)構(gòu)和方法。本標準是GB/T18336—2001在信息系統(tǒng)領(lǐng)域的擴展和補充,它是以

GB/T18336—2001為基礎(chǔ),吸收其科學方法和結(jié)構(gòu),將GB/T18336—2001從產(chǎn)品和產(chǎn)品系統(tǒng)擴展到

信息技術(shù)系統(tǒng),并進一步同其他國內(nèi)外信息系統(tǒng)安全領(lǐng)域的標準和規(guī)范進行結(jié)合、擴展和補充,以形成

描述和評估信息系統(tǒng)安全保障內(nèi)容和能力的通用框架。在本標準中,信息系統(tǒng)作為評估對象,不僅涉及

具體產(chǎn)品和產(chǎn)品系統(tǒng),而且還包含信息系統(tǒng)運行環(huán)境的管理、工程等,是用于采集、處理、存儲、傳輸、分

發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員等的總和。

本標準屬于信息系統(tǒng)安全保障的基礎(chǔ)性和框架性標準,定義了信息系統(tǒng)安全保障的主要的通用要

犌犅/犜20274.1—2006

求,制定此標準的意義在于:

a)為信息系統(tǒng)安全的設(shè)計、實施、建設(shè)、測評、審核提供規(guī)范的、通用的描述語言。

b)有利

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論