標準解讀

《GB/T 20009-2019 信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全評估準則》相比于《GB/T 20009-2005 信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全評估準則》,主要在以下幾個方面進行了更新和調整:

  1. 適用范圍與術語定義:2019版標準對適用范圍進行了明確界定,同時更新和增補了部分專業(yè)術語的定義,以適應信息技術發(fā)展的新變化,確保評估準則的準確性和時代性。

  2. 安全功能要求:新增和強化了多項安全功能要求,特別是針對數(shù)據(jù)加密、訪問控制、審計追蹤、備份恢復以及惡意軟件防護等方面,反映了對數(shù)據(jù)庫管理系統(tǒng)安全性更全面、更細致的要求。

  3. 評估方法與過程:2019版標準優(yōu)化了評估方法和流程,引入了更加科學、系統(tǒng)的評估模型,旨在提高評估工作的客觀性和效率。同時,強調了持續(xù)監(jiān)控和動態(tài)評估的重要性,以應對不斷變化的安全威脅環(huán)境。

  4. 合規(guī)性與國際接軌:更新后的標準在內容設置上更加注重與國際安全標準和最佳實踐的接軌,如參考了ISO/IEC相關標準,提高了我國數(shù)據(jù)庫安全管理標準的國際兼容性。

  5. 風險管理與策略:新增了關于風險管理的內容,要求數(shù)據(jù)庫管理系統(tǒng)在設計和實施過程中必須考慮風險評估和管理策略,確保安全措施與組織面臨的風險相匹配。

  6. 隱私保護:鑒于個人信息保護日益重要,新版標準加強了對個人數(shù)據(jù)處理的安全要求,包括數(shù)據(jù)主體權利的保障、數(shù)據(jù)最小化原則的應用等,體現(xiàn)了對隱私保護的高度重視。

  7. 云環(huán)境與分布式系統(tǒng):隨著云計算和分布式數(shù)據(jù)庫技術的廣泛應用,2019版標準特別增加了針對云環(huán)境和分布式數(shù)據(jù)庫管理系統(tǒng)安全評估的相關條款,以應對新型技術帶來的安全挑戰(zhàn)。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2019-08-30 頒布
  • 2020-03-01 實施
?正版授權
GB/T 20009-2019信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全評估準則_第1頁
GB/T 20009-2019信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全評估準則_第2頁
GB/T 20009-2019信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全評估準則_第3頁
GB/T 20009-2019信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全評估準則_第4頁
免費預覽已結束,剩余48頁可下載查看

下載本文檔

GB/T 20009-2019信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全評估準則-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T20009—2019

代替

GB/T20009—2005

信息安全技術

數(shù)據(jù)庫管理系統(tǒng)安全評估準則

Informationsecuritytechnology—

Securityevaluationcriteriafordatabasemanagementsystem

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T20009—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………1

評估總則

4…………………2

概述

4.1…………………2

評估要求

4.2……………2

評估環(huán)境

4.3……………2

評估流程

4.4……………3

評估內容

5…………………3

安全功能評估

5.1………………………3

安全保障評估

5.2………………………22

評估方法

5.3……………35

附錄資料性附錄標準修訂說明

A()……………………40

GB/T20009—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全評估準則與

GB/T20009—2005《》。

相比除編輯性修改外主要技術變化如下

GB/T20009—2005,:

修改了第章術語和定義及縮略語見和年版第章

———3(3.13.2,20053);

修改了第章安全環(huán)境標題修改為評估總則描述了數(shù)據(jù)庫管理系統(tǒng)總體要求評估要求

———4“”,,、、

評估環(huán)境和評估流程見第章年版第章

(4,20054);

修改了第章評估內容按照定義了中的安全功能

———5,GB/T30270—2013GB/T20273—2019

組件和安全保障組件評估內容見第章年版第章

(5,20055);

刪除了附錄數(shù)據(jù)庫管理系統(tǒng)面臨的威脅和對策見年版附錄

———A“”(2005A);

按照評估保障級概念列出了和組件列表及評估準則

———EAL2、EAL3EAL4。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全測評中心清華大學北京江南天安科技有限公司公安部第三研究

:、、、

所北京大學武漢達夢數(shù)據(jù)庫有限公司天津南大通用數(shù)據(jù)技術股份有限公司

、、、。

本標準主要起草人張寶峰畢海英葉曉俊王峰王建民陳冠直陸臻沈亮顧健宋好好

:、、、、、、、、、、

趙玉潔吉增瑞劉昱函劉學洋胡文蕙付銓方紅霞馮源李德軍

、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T20009—2005。

GB/T20009—2019

信息安全技術

數(shù)據(jù)庫管理系統(tǒng)安全評估準則

1范圍

本標準依據(jù)規(guī)定了數(shù)據(jù)庫管理系統(tǒng)安全評估總則評估內容和評估方法

GB/T20273—2019、。

本標準適用于數(shù)據(jù)庫管理系統(tǒng)的測試和評估也可用于指導數(shù)據(jù)庫管理系統(tǒng)的研發(fā)

,。

注本標準規(guī)定的級級級的評估內容和評估方法既適用于基于所有部分

:EAL2、EAL3、EAL4GB/T18336—2015

的數(shù)據(jù)庫管理系統(tǒng)安全性測評同樣適用于基于的數(shù)據(jù)庫第二級系統(tǒng)審計保護級第三級安

,GB17859—1999、

全標記保護級第四級結構化保護級的數(shù)據(jù)庫管理系統(tǒng)安全性測評相關對應關系參見附錄中

、,AA.1。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改版適用于本文件

。,()。

信息技術安全技術信息技術安全評估準則

GB/T18336.1~18336.3—2015

信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求

GB/T20273—2019

信息安全技術術語

GB/T25069—2010

信息技術安全技術信息技術安全性評估方法

GB/T30270—2013

3術語和定義縮略語

、

31術語和定義

.

和界定的術語和定義適用于本文件

GB/T25069—2010、GB/T30270—2013GB/T20273—2019。

32縮略語

.

下列縮略語適用于本文件

。

通用準則

CC:(CommonCriteria)

通用準則評估方法

CEM:

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論