信息技術(shù) 安全保障框架 第三部分 保障方法分析-編制說(shuō)明

一、任務(wù)來(lái)源《信息技術(shù)安全保障框架第3部分保障方法分析》是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2009年度信息安全專項(xiàng)中標(biāo)準(zhǔn)制修訂項(xiàng)目之一，屬2009年國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。項(xiàng)目計(jì)劃號(hào)：20090333-T-469。二、研究目標(biāo)通過(guò)緊密跟蹤和深入研究國(guó)際標(biāo)準(zhǔn)ISO/IECTR15443《信息技術(shù)安全保障框架》三個(gè)部分標(biāo)準(zhǔn)以及相關(guān)的工作文件和學(xué)術(shù)文獻(xiàn)，參考現(xiàn)有的信息安全國(guó)內(nèi)國(guó)際標(biāo)準(zhǔn)，制定出適用于信息安全保障工作的安全保障框架。結(jié)合其他信息安全標(biāo)準(zhǔn)規(guī)范及各類安全保障方法，保證《信息技術(shù)安全保障框架第3部分保障方法分析》在信息安全具體工作中起到指導(dǎo)作用。三、研究?jī)?nèi)容跟蹤和研究國(guó)際標(biāo)準(zhǔn)ISO/IECTR15443《信息技術(shù)安全保障框架》的三個(gè)部分以及相關(guān)工作文件和學(xué)術(shù)文獻(xiàn)，結(jié)合我國(guó)已有的信息及信息安全國(guó)家標(biāo)準(zhǔn)，針對(duì)信息安全管理人員和其他人員，其中包括負(fù)責(zé)開(kāi)發(fā)安全保障程序、確定他們的交付件的安全保障、參加安全評(píng)估審計(jì)或參加其它保障活動(dòng)的人員，給出了安全保障框架的一般性描述，分析各種保障方法的保障特性。幫助保障機(jī)構(gòu)確定每一種保障途徑的相對(duì)值，幫助相關(guān)人員選擇最適合于需要保障結(jié)果的保障途徑。四、編制原則鑒于我國(guó)在IT網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系方面的研究現(xiàn)狀，為了保證IT安全保障框架的完整性、科學(xué)性和嚴(yán)謹(jǐn)性，編制組的傾向是基本等同采用ISO/IEC15443-3《信息技術(shù)安全保障框架第3部分保障方法分析》，只根據(jù)我國(guó)標(biāo)準(zhǔn)制定規(guī)范，修改個(gè)別內(nèi)容的編排。五、主要工作過(guò)程1、2008－2010年，跟蹤研究國(guó)際信息技術(shù)安全保障框架相關(guān)標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)，翻譯了國(guó)際標(biāo)準(zhǔn)ISO/IEC15443-1多個(gè)版本的中文文本，且多次在專家、成員單位、管理部門等范圍內(nèi)進(jìn)行討論和征求意見(jiàn)，并根據(jù)這些意見(jiàn)形成了翻譯稿；2、2010年3月—2010年5月，廣泛地收集ISO/IEC15443-3《信息技術(shù)安全保障框架第3部分保障方法分析》的相關(guān)資料和國(guó)內(nèi)外地信息安全相關(guān)文檔、資料、學(xué)術(shù)文獻(xiàn)和法律法規(guī)，形成本標(biāo)準(zhǔn)第一階段草稿；3、2010年6月—2010年8月，對(duì)第一階段草稿細(xì)化、校對(duì)翻譯稿，重新整理語(yǔ)序，形成本標(biāo)準(zhǔn)第二階段草稿；4、2010年9月—2010年10月，對(duì)搜集到的資料分類整理、規(guī)范語(yǔ)言，統(tǒng)一格式，并對(duì)翻譯稿進(jìn)行再次細(xì)化校對(duì)，形成本標(biāo)準(zhǔn)的征求意見(jiàn)稿；5、2010年11月—12月，編制組對(duì)專家新的反饋意見(jiàn)進(jìn)行了處理，并經(jīng)過(guò)內(nèi)部討論商議，對(duì)文本進(jìn)一步的完善形成了《信息技術(shù)安全保障框架第3部分保障方法分析》標(biāo)準(zhǔn)征求意見(jiàn)稿第二稿。6、2011年1月，參加北京評(píng)審會(huì)，聽(tīng)取相關(guān)專家意見(jiàn)和建議，對(duì)標(biāo)準(zhǔn)中一些有爭(zhēng)議的用詞進(jìn)行評(píng)定和修改。7、2011年4月，對(duì)專家新的反饋意見(jiàn)進(jìn)行了處理，形成了一個(gè)新版本，后又經(jīng)過(guò)內(nèi)部討論商議，進(jìn)一步完善文本，形成了《信息技術(shù)安全保障框架第3部分保障方法分析》標(biāo)準(zhǔn)征求意見(jiàn)稿第三稿。8、2011年8月，對(duì)新的反饋意見(jiàn)進(jìn)行了處理，《信息技術(shù)安全保障框架第3部分保障方法分析》標(biāo)準(zhǔn)送審稿。9、2011年10月，根據(jù)專家對(duì)送審稿的反饋意見(jiàn)對(duì)標(biāo)準(zhǔn)重新修改完善，形成了報(bào)批稿六、主要內(nèi)容本標(biāo)準(zhǔn)的目的是，為獲得一個(gè)給定交付件滿足其所指出的信息安全保障需求的信心，給出各種保障方法，并指導(dǎo)信息安全專業(yè)人員如何選擇一個(gè)合適的保障方法（或組合一些方法）。這一報(bào)告審視了不同類型組織所提出的保障方法和途徑，包括已批準(zhǔn)的標(biāo)準(zhǔn)和事實(shí)上標(biāo)準(zhǔn)。第3部分保障方法分析，分析了各種保障方法的保障特征。這個(gè)分析有助于保障權(quán)威在確定每一種保障途徑的相對(duì)值并確定保障途徑，使這些途徑提供最適合于運(yùn)行環(huán)境的具體上下文的需求的保障結(jié)果。而且，這個(gè)分析還有助于保障權(quán)威運(yùn)用保障方法的結(jié)果，實(shí)現(xiàn)交付件所預(yù)想的確信度。這部分材料面向的對(duì)象是那些必須選擇保障方法和保障途徑的IT安全專業(yè)人員。本標(biāo)準(zhǔn)的主要框架如下：前言TOC\o"1-1"\h\z\u引言1范圍2標(biāo)準(zhǔn)引用文件3術(shù)語(yǔ)和定義4縮寫術(shù)語(yǔ)5概念性框架6選擇的一般指導(dǎo)7指導(dǎo)方法8開(kāi)發(fā)保障（DA）指導(dǎo)9集成保障（IA）指導(dǎo)10運(yùn)行保障（OA）指導(dǎo)附錄A所選方法的保障屬性附錄B保障方法的合成附錄C案例研究參考文獻(xiàn)七、有關(guān)技術(shù)問(wèn)題的說(shuō)明1、關(guān)于術(shù)語(yǔ)定名的說(shuō)明1）accreditation“accreditation”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“認(rèn)可”。2)approach“approach”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“途徑”。3）assessment“assessment”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“評(píng)估”。4）assurance“assurance”一詞在本標(biāo)準(zhǔn)中譯為“保障”。5）assuranceapproach“assuranceapproach”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障途徑”。6）assuranceargument“assuranceargument”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障論據(jù)”。7）assuranceassessment“assuranceassessment”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障評(píng)估”。8)assuranceauthority“assuranceauthority”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障機(jī)構(gòu)”。9）assuranceevidence“SecurityDimension”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障證據(jù)”。

10）assurancelevel“assurancelevel”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障等級(jí)”。11）assurancemethod“assurancemethod”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障方法”。12）assuranceproperty“assuranceproperty”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障特性”。13）assuranceresult“assuranceresult”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障結(jié)果”。14）assurancescheme“assurancescheme”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障模式”。15）assurancestage“assurancestage”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保障階段”。16）certification“certification”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“認(rèn)證”。17）confidence“confidence”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“信心”。18）deliverable“deliverable”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“交付件”。19）evaluation“evaluation”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“評(píng)價(jià)”。20）guarantee“guarantee”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“保證”。21）ITsecurityproduct“ITsecurityproduct”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“IT安全產(chǎn)品”。22）lifecyclestage“l(fā)ifecyclestage”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“生存周期階段”。23）pedigree“pedigree”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“良源”。24）process“process”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“過(guò)程”。25）processassurance“processassurance”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“過(guò)程保障”。26）product“product”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“產(chǎn)品”。27）scheme“scheme”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“模式”。28）security“security”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“安全”。29）securityassessment“securityassessment”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“安全評(píng)估”。30）securityelement“securityelement”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“安全元素”。31）service“service”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“服務(wù)”。32）stakeholder“stakeholder”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“利益攸關(guān)方”。33）system“system”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“系統(tǒng)”。34）systemlifecycle“systemlifecycle”一詞在本標(biāo)準(zhǔn)中統(tǒng)一為“系統(tǒng)生命周期”。35）warran