標(biāo)準(zhǔn)解讀

GB/Z 29830.3-2013《信息技術(shù) 安全技術(shù) 信息技術(shù)安全保障框架 第3部分:保障方法分析》是中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的一項(xiàng)指導(dǎo)性技術(shù)文件,旨在為組織提供一套系統(tǒng)的方法來評(píng)估其信息安全保障措施的有效性。該標(biāo)準(zhǔn)屬于GB/Z系列,意味著它提供了指南或建議性質(zhì)的信息,并不強(qiáng)制執(zhí)行。

本部分主要聚焦于如何對(duì)現(xiàn)有的或計(jì)劃中的信息技術(shù)安全保障措施進(jìn)行深入分析,以確保這些措施能夠有效應(yīng)對(duì)已識(shí)別的風(fēng)險(xiǎn)和威脅。具體來說,它涵蓋了幾個(gè)關(guān)鍵方面:

  • 定義與范圍:明確了術(shù)語定義及標(biāo)準(zhǔn)適用的范圍,幫助讀者理解背景信息。
  • 保障方法分類:介紹了不同類型的安全保障方法及其特點(diǎn),包括但不限于基于風(fēng)險(xiǎn)的、基于合規(guī)性的以及混合型的方法。
  • 分析過程:詳細(xì)描述了如何開展安全保障方法分析的過程,從初步準(zhǔn)備到最終報(bào)告生成的每一步驟都被涵蓋在內(nèi)。
  • 工具和技術(shù):列舉了一些可用于支持分析工作的工具和技術(shù),如風(fēng)險(xiǎn)評(píng)估模型、安全審計(jì)軟件等。
  • 案例研究:通過實(shí)際案例展示了上述理論和方法的應(yīng)用方式,有助于加深理解和實(shí)踐應(yīng)用。

該標(biāo)準(zhǔn)強(qiáng)調(diào)了持續(xù)監(jiān)控與改進(jìn)的重要性,指出安全保障是一個(gè)動(dòng)態(tài)過程,需要根據(jù)環(huán)境變化不斷調(diào)整策略。同時(shí),也提醒組織實(shí)施時(shí)應(yīng)注意結(jié)合自身具體情況靈活運(yùn)用相關(guān)原則,而非生搬硬套。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2013-11-12 頒布
  • 2014-02-01 實(shí)施
?正版授權(quán)
GB/Z 29830.3-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第3部分:保障方法分析_第1頁
GB/Z 29830.3-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第3部分:保障方法分析_第2頁
GB/Z 29830.3-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第3部分:保障方法分析_第3頁
GB/Z 29830.3-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第3部分:保障方法分析_第4頁
GB/Z 29830.3-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第3部分:保障方法分析_第5頁

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第3部分保障方法分析

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part3Analsisofassurancemethods

:y

(ISO/IECTR15443-3:2007,IDT)

2013-11-12發(fā)布2014-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/Z298303—2013/ISO/IECTR15443-32007

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

應(yīng)用

1.2…………………1

適用領(lǐng)域

1.3……………1

限制

1.4…………………1

術(shù)語和定義

2………………1

縮略語

3……………………3

對(duì)保障的理解

4……………4

保障目標(biāo)的設(shè)置

4.1……………………4

保障方法的應(yīng)用

4.2……………………6

保障結(jié)果的評(píng)估

4.3……………………10

例子

4.4…………………11

保障的比較選擇和組合

5、………………11

保障途徑的選擇

5.1……………………11

保障方法的組合

5.2……………………13

保障方法的比較

5.3……………………13

關(guān)注的保障特性

5.4……………………14

指導(dǎo)

6………………………18

開發(fā)保障

6.1(DA)……………………19

集成保障

6.2(IA)………………………20

運(yùn)行保障

6.3(OA)……………………23

附錄資料性附錄列表比較

A()…………26

附錄資料性附錄所選方法的保障特性

B()……………28

附錄資料性附錄保障方法的組合

C()…………………43

參考文獻(xiàn)

……………………45

圖保障供給

1………………5

圖生存周期過程管理

2……………………9

圖可用方法

3……………13

圖矩陣比較原理

4………………………14

圖保障關(guān)注

5……………19

圖系統(tǒng)測(cè)試和評(píng)價(jià)

6……………………22

GB/Z298303—2013/ISO/IECTR15443-32007

.:

圖測(cè)試要求演進(jìn)

B.1……………………31

表供給的保障類型

1………………………5

表保障供給的使用

2………………………6

表保障的嚴(yán)格程度

3………………………7

表保障途徑應(yīng)用范圍

4……………………7

表生存周期保障模型

5……………………8

表保障途徑

6……………10

表比較的關(guān)鍵方面

7……………………15

表安全域

8………………24

表安全管理特性

9………………………24

表整個(gè)的成熟度

10OA…………………25

表方法和目標(biāo)用戶群

A.1………………26

表基本認(rèn)證模式

A.2……………………27

表可用保障方法

A.3……………………27

GB/Z298303—2013/ISO/IECTR15443-32007

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架分為以下個(gè)部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298303。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術(shù)安全技術(shù)信息技術(shù)安全保

ISO/IECTR15443-3:2007《

障框架第部分保障方法分析

3:》。

本部分做了下列編輯性修改

:

國(guó)際標(biāo)準(zhǔn)中的附錄附錄為資料性附錄轉(zhuǎn)標(biāo)時(shí)予以刪除

———D、E,。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分主要起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北京化工大學(xué)

:、。

本部分主要起草人王晶張明天羅鋒盈王延鳴陳星楊建軍

:、、、、、。

GB/Z298303—2013/ISO/IECTR15443-32007

.:

引言

本指導(dǎo)性技術(shù)文件的目的是為了獲得一個(gè)給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導(dǎo)信息安全專業(yè)人員如何選擇一個(gè)合適的保障方法或組合一些方法本指

,()。

導(dǎo)性技術(shù)文件審視了不同類型組織所提出的保障方法和途徑包括已批準(zhǔn)的標(biāo)準(zhǔn)和事實(shí)標(biāo)準(zhǔn)

,。

為了達(dá)到這一目的本指導(dǎo)性技術(shù)文件由以下個(gè)方面內(nèi)容組成

,7:

一個(gè)框架模型用于定位現(xiàn)有的保障方法并給出它們之間的關(guān)系

a),;

一組保障方法以及對(duì)它們的描述和引用

b);

特定保障方法的共性和個(gè)性的表達(dá)

c);

現(xiàn)有保障方法的定性比較其中盡可能進(jìn)行定量比較

d),;

與當(dāng)前保障方法關(guān)聯(lián)的保障模式的標(biāo)識(shí)

e);

不同保障方法之間關(guān)系的描述以及

f);

有關(guān)保障方法的應(yīng)用組合和認(rèn)知的指導(dǎo)

g)、。

本指導(dǎo)性技術(shù)文件由部分組成對(duì)保障途徑分析和相互間的關(guān)系處理如下

3,、:

第部分綜述和框架概述了一些基礎(chǔ)性概念例如保障保障框架等并給出了安全保障方法

1:。,、。

的一般性描述其目的是幫助理解本指導(dǎo)性技術(shù)文件的第部分和第部分內(nèi)容第部分針對(duì)信息

。23。1

安全管理人員和其他人員其中包括負(fù)責(zé)開發(fā)安全保障程序確定他們的交付件的安全保障參加安全

,、、

評(píng)估審計(jì)或參加其他保障活動(dòng)的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認(rèn)的事實(shí)上被認(rèn)可的或標(biāo)準(zhǔn)的并把這些保障方法與第部分的保障模型關(guān)聯(lián)起來重

、;1。

點(diǎn)是識(shí)別對(duì)保障有影響的保障方法的定性特征在可能的地方還將定義保障級(jí)別該材料面向安

,,。IT

全專業(yè)人員幫助理解如何在產(chǎn)品或服務(wù)的特定的生存周期階段中獲得保障

,。

使用定義在中的術(shù)語和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個(gè)分析有助于保障機(jī)構(gòu)在確定每

3:。。

一種保障途徑的相對(duì)值并確定保障途徑使這些途徑提供最適合于運(yùn)行環(huán)境的具體上下文的需求的保

,

障結(jié)果而且這個(gè)分析還有助于保障機(jī)構(gòu)運(yùn)用保障方法的結(jié)果實(shí)現(xiàn)交付件所預(yù)想的確信度這部分

。,,。

材料面向的對(duì)象是那些必須選擇保障方法和保障途徑的安全專業(yè)人員

IT。

使用定義在中的術(shù)語和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

本指導(dǎo)性技術(shù)文件分析了一些可能不為安全所專有的保障方法然而在指導(dǎo)性技術(shù)文件中所

IT;,

給出的指導(dǎo)將限于安全需求只對(duì)安全領(lǐng)域提供相應(yīng)的指導(dǎo)并不期望這一指導(dǎo)對(duì)一般的質(zhì)量

IT。IT,

管理評(píng)估或符合性具有指導(dǎo)意義

、IT。

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第3部分保障方法分析

:

1范圍

11意圖

.

的本部分的意圖是為保障機(jī)構(gòu)選擇合適類型的信息通信技術(shù)保障方法提供指

GB/Z29830:ICT()

導(dǎo)并為特定環(huán)境鋪設(shè)分析特定保障方法的框架

,。

12應(yīng)用

.

本部分可使用戶把特定保障需求和或典型保障情況與一些可用的保障方法所提供的一般性表現(xiàn)

/

特征相匹配

。

13適用領(lǐng)域

.

本部分的指導(dǎo)適用于具有安全需求的產(chǎn)品和系統(tǒng)的開發(fā)實(shí)現(xiàn)及運(yùn)行

ICTICT、。

14限制

.

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評(píng)論

0/150

提交評(píng)論