《信息技術(shù) 安全保障框架 第三部分 保障方法分析》編制說明_第1頁
《信息技術(shù) 安全保障框架 第三部分 保障方法分析》編制說明_第2頁
《信息技術(shù) 安全保障框架 第三部分 保障方法分析》編制說明_第3頁
《信息技術(shù) 安全保障框架 第三部分 保障方法分析》編制說明_第4頁
《信息技術(shù) 安全保障框架 第三部分 保障方法分析》編制說明_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

一、任務(wù)來源

《信息技術(shù)安全保障框架第3部分保障方法分析》是全國信息安全標準

化技術(shù)委員會2009年度信息安全專項中標準制修訂項目之一,屬2009年國家標

準制定項目。項目計劃號:20090333-T-469。

二、研究目標

通過緊密跟蹤和深入研究國際標準ISO/IECTR15443《信息技術(shù)安全保障

框架》三個部分標準以及相關(guān)的工作文件和學(xué)術(shù)文獻,參考現(xiàn)有的信息安全國內(nèi)

國際標準,制定出適用于信息安全保障工作的安全保障框架。

結(jié)合其他信息安全標準規(guī)范及各類安全保障方法,保證《信息技術(shù)安全保

障框架第3部分保障方法分析》在信息安全具體工作中起到指導(dǎo)作用。

三、研究內(nèi)容

跟蹤和研究國際標準ISO/IECTR15443《信息技術(shù)安全保障框架》的三個

部分以及相關(guān)工作文件和學(xué)術(shù)文獻,結(jié)合我國已有的信息及信息安全國家標準,

針對信息安全管理人員和其他人員,其中包括負責(zé)開發(fā)安全保障程序、確定他們

的交付件的安全保障、參加安全評估審計或參加其它保障活動的人員,給出了安

全保障框架的一般性描述,分析各種保障方法的保障特性。幫助保障機構(gòu)確定每

一種保障途徑的相對值,幫助相關(guān)人員選擇最適合于需要保障結(jié)果的保障途徑。

四、編制原則

鑒于我國在IT網(wǎng)絡(luò)安全標準體系方面的研究現(xiàn)狀,為了保證IT安全保障

框架的完整性、科學(xué)性和嚴謹性,編制組的傾向是基本等同采用ISO/IEC15443-3

《信息技術(shù)安全保障框架第3部分保障方法分析》,只根據(jù)我國標準制定規(guī)

范,修改個別內(nèi)容的編排。

五、主要工作過程

1、2008-2010年,跟蹤研究國際信息技術(shù)安全保障框架相關(guān)標準發(fā)展動態(tài),

翻譯了國際標準ISO/IEC15443-1多個版本的中文文本,且多次在專家、成員單

位、管理部門等范圍內(nèi)進行討論和征求意見,并根據(jù)這些意見形成了翻譯稿;

2、2010年3月—2010年5月,廣泛地收集ISO/IEC15443-3《信息技術(shù)

安全保障框架第3部分保障方法分析》的相關(guān)資料和國內(nèi)外地信息安全相關(guān)文

檔、資料、學(xué)術(shù)文獻和法律法規(guī),形成本標準第一階段草稿;

3、2010年6月—2010年8月,對第一階段草稿細化、校對翻譯稿,重新

整理語序,形成本標準第二階段草稿;

4、2010年9月—2010年10月,對搜集到的資料分類整理、規(guī)范語言,

統(tǒng)一格式,并對翻譯稿進行再次細化校對,形成本標準的征求意見稿;

5、2010年11月—12月,編制組對專家新的反饋意見進行了處理,并經(jīng)過

內(nèi)部討論商議,對文本進一步的完善形成了《信息技術(shù)安全保障框架第3部分

保障方法分析》標準征求意見稿第二稿。

6、2011年1月,參加北京評審會,聽取相關(guān)專家意見和建議,對標準中一

些有爭議的用詞進行評定和修改。

7、2011年4月,對專家新的反饋意見進行了處理,形成了一個新版本,后

又經(jīng)過內(nèi)部討論商議,進一步完善文本,形成了《信息技術(shù)安全保障框架第3

部分保障方法分析》標準征求意見稿第三稿。

8、2011年8月,對新的反饋意見進行了處理,《信息技術(shù)安全保障框架第

3部分保障方法分析》標準送審稿。

9、2011年10月,根據(jù)專家對送審稿的反饋意見對標準重新修改完善,形

成了報批稿

六、主要內(nèi)容

本標準的目的是,為獲得一個給定交付件滿足其所指出的信息安全保障需求

的信心,給出各種保障方法,并指導(dǎo)信息安全專業(yè)人員如何選擇一個合適的保障

方法(或組合一些方法)。這一報告審視了不同類型組織所提出的保障方法和途徑,

包括已批準的標準和事實上標準。

第3部分保障方法分析,分析了各種保障方法的保障特征。這個分析有助于

保障權(quán)威在確定每一種保障途徑的相對值并確定保障途徑,使這些途徑提供最適

合于運行環(huán)境的具體上下文的需求的保障結(jié)果。而且,這個分析還有助于保障權(quán)

威運用保障方法的結(jié)果,實現(xiàn)交付件所預(yù)想的確信度。這部分材料面向的對象是

那些必須選擇保障方法和保障途徑的IT安全專業(yè)人員。

本標準的主要框架如下:

前言

引言

1范圍

2標準引用文件

3術(shù)語和定義

4縮寫術(shù)語

5概念性框架

6選擇的一般指導(dǎo)

7指導(dǎo)方法

8開發(fā)保障(DA)指導(dǎo)

9集成保障(IA)指導(dǎo)

10運行保障(OA)指導(dǎo)

附錄A所選方法的保障屬性

附錄B保障方法的合成

附錄C案例研究

參考文獻

七、有關(guān)技術(shù)問題的說明

1、關(guān)于術(shù)語定名的說明

1)accreditation

“accreditation”一詞在本標準中統(tǒng)一為“認可”。

2)approach

“approach”一詞在本標準中統(tǒng)一為“途徑”。

3)assessment

“assessment”一詞在本標準中統(tǒng)一為“評估”。

4)assurance

“assurance”一詞在本標準中譯為“保障”。

5)assuranceapproach

“assuranceapproach”一詞在本標準中統(tǒng)一為“保障途徑”。

6)assuranceargument

“assuranceargument”一詞在本標準中統(tǒng)一為“保障論據(jù)”。

7)assuranceassessment

“assuranceassessment”一詞在本標準中統(tǒng)一為“保障評估”。

8)assuranceauthority

“assuranceauthority”一詞在本標準中統(tǒng)一為“保障機構(gòu)”。

9)assuranceevidence

“SecurityDimension”一詞在本標準中統(tǒng)一為“保障證據(jù)”。

10)assurancelevel

“assurancelevel”一詞在本標準中統(tǒng)一為“保障等級”。

11)assurancemethod

“assurancemethod”一詞在本標準中統(tǒng)一為“保障方法”。

12)assuranceproperty

“assuranceproperty”一詞在本標準中統(tǒng)一為“保障特性”。

13)assuranceresult

“assuranceresult”一詞在本標準中統(tǒng)一為“保障結(jié)果”。

14)assurancescheme

“assurancescheme”一詞在本標準中統(tǒng)一為“保障模式”。

15)assurancestage

“assurancestage”一詞在本標準中統(tǒng)一為“保障階段”。

16)certification

“certification”一詞在本標準中統(tǒng)一為“認證”。

17)confidence

“confidence”一詞在本標準中統(tǒng)一為“信心”。

18)deliverable

“deliverable”一詞在本標準中統(tǒng)一為“交付件”。

19)evaluation

“evaluation”一詞在本標準中統(tǒng)一為“評價”。

20)guarantee

“guarantee”一詞在本標準中統(tǒng)一為“保證”。

21)ITsecurityproduct

“ITsecurityproduct”一詞在本標準中統(tǒng)一為“IT安全產(chǎn)品”。

22)lifecyclestage

“l(fā)ifecyclestage”一詞在本標準中統(tǒng)一為“生存周期階段”。

23)pedigree

“pedigree”一詞在本標準中統(tǒng)一為“良源”。

24)process

“process”一詞在本標準中統(tǒng)一為“過程”。

25)processassurance

“processassurance”一詞在本標準中統(tǒng)一為“過程保障”。

26)product

“product”一詞在本標準中統(tǒng)一為“產(chǎn)品”。

27)scheme

“scheme”一詞在本標準中統(tǒng)一為“模式”。

28)security

“security”一詞在本標準中統(tǒng)一為“安全”。

29)securityassessment

“securityassessment”一詞在本標準中統(tǒng)一為“安全評估”。

30)securityelement

“securityelement”一詞在本標準中統(tǒng)一為“安全元素”。

31)service

“service”一詞在本標準中統(tǒng)一為“服務(wù)”。

32)stakeholder

“stakeholder”一詞在本標準中統(tǒng)一為“利益攸關(guān)方”。

33)system

“system”一詞在本標準中統(tǒng)一為“系統(tǒng)”。

34)syst

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論