標準解讀

GB/T 20274.1-2006《信息安全技術 信息系統(tǒng)安全保障評估框架 第1部分:簡介和一般模型》是中國國家標準體系中關于信息安全評估的重要組成部分,它為評估和構建信息系統(tǒng)的安全性提供了一個全面的框架。該標準主要關注于如何確保信息系統(tǒng)的安全得到有效管理和控制,以保護信息資產(chǎn)免受各種威脅,確保業(yè)務連續(xù)性。

標準內容概覽:

  1. 標準目的:明確了制定此標準旨在為政府機構、企業(yè)組織等提供一個統(tǒng)一的方法論,用以評估和改進其信息系統(tǒng)的安全保障能力。通過實施這一框架,組織可以識別安全需求、評估現(xiàn)有安全措施的有效性,并根據(jù)評估結果采取措施來增強安全防護。

  2. 適用范圍:適用于所有類型的組織,無論是公共部門還是私營企業(yè),無論規(guī)模大小,只要是依賴于信息系統(tǒng)進行日常運營和服務提供的,都可以應用此框架來進行信息安全保障的自我評估或第三方評估。

  3. 信息安全保障概念:標準中定義了信息安全保障(Information Security Assurance, ISA)為一系列管理和技術措施的集合,旨在確保信息的保密性、完整性和可用性。它強調了信息安全是一個持續(xù)的過程,需要不斷地監(jiān)控、評估和改進。

  4. 評估框架:提出了一種分層次的評估方法,包括管理層面、技術層面、工程層面和操作層面的安全保障要素。這些層面覆蓋了策略制定、風險管理和控制實施等關鍵環(huán)節(jié),確保評估的全面性和深入性。

  5. 一般模型:標準詳細描述了一個通用的模型,該模型包括安全保障的目標、原則、生命周期以及評估的基本過程。模型強調了安全保障的動態(tài)性,即隨著技術和威脅環(huán)境的變化,安全保障措施也應相應調整。

  6. 評估原則:明確指出評估活動應基于風險、客觀、可重復和系統(tǒng)化的原則進行,確保評估的公正性、有效性和實用性。

  7. 安全保障生命周期:介紹了信息安全保障的五個階段:規(guī)劃與建立、實施與獲取、運行與使用、監(jiān)控與評審、保持與改進,強調了每個階段的關鍵活動和目標。

標準價值:

該標準為企業(yè)和組織提供了一個系統(tǒng)性的方法來理解和提升其信息系統(tǒng)的安全性,幫助識別潛在的安全漏洞,合理分配資源以應對安全威脅,最終實現(xiàn)信息資產(chǎn)的有效保護。通過遵循該框架,組織能夠建立一個持續(xù)改進的信息安全保障機制,適應不斷變化的安全挑戰(zhàn)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 20274.1-2023
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權
GB/T 20274.1-2006信息安全技術信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第1頁
GB/T 20274.1-2006信息安全技術信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第2頁
GB/T 20274.1-2006信息安全技術信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第3頁
GB/T 20274.1-2006信息安全技術信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第4頁
GB/T 20274.1-2006信息安全技術信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第5頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20274.1—2006

信息安全技術

信息系統(tǒng)安全保障評估框架

第1部分:簡介和一般模型

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋1:犐狀狋狉狅犱狌犮狋犻狅狀犪狀犱犵犲狀犲狉犪犾犿狅犱犲犾

20060531發(fā)布20061201實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜20274.1—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

0.1信息系統(tǒng)安全保障的含義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

0.2信息系統(tǒng)安全保障評估框架的編制目的和意義!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.1術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.2縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.1引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.2信息系統(tǒng)安全保障評估框架的目標讀者!!!!!!!!!!!!!!!!!!!!!!!4

4.3評估上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

4.4信息系統(tǒng)安全保障評估框架的文檔結構!!!!!!!!!!!!!!!!!!!!!!!6

5一般模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.2安全保障上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.3信息系統(tǒng)安全保障評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.4ISPP和ISST的生成!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.5信息系統(tǒng)安全保障描述材料!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6信息系統(tǒng)安全保障評估和評估結果!!!!!!!!!!!!!!!!!!!!!!!!!!17

6.1介紹!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

6.2ISPP(信息系統(tǒng)保護輪廓)和ISST(信息系統(tǒng)安全目標)的要求!!!!!!!!!!!!!18

6.3TOE的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

6.4評估結果的聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6.5TOE評估結果的應用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

附錄A(規(guī)范性附錄)信息系統(tǒng)保護輪廓!!!!!!!!!!!!!!!!!!!!!!!!20

A.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2信息系統(tǒng)保護輪廓內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.1內容和表述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.2ISPP引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

A.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

A.2.5安全保障目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

A.2.6信息系統(tǒng)安全保障要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

A.2.7ISPP應用注解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

A.2.8符合性聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

附錄B(規(guī)范性附錄)信息系統(tǒng)安全目標規(guī)范!!!!!!!!!!!!!!!!!!!!!!24

犌犅/犜20274.1—2006

B.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2信息系統(tǒng)安全目標內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2.1內容和形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2.2ISST引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

B.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

B.2.5安全保障目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

B.2.6安全保障要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.7TOE概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.8ISPP聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

B.2.9符合性聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

附錄C(資料性附錄)信息系統(tǒng)描述!!!!!!!!!!!!!!!!!!!!!!!!!!30

C.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

C.2信息系統(tǒng)描述規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

C.3信息系統(tǒng)描述說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

附錄D(資料性附錄)信息系統(tǒng)安全保障級說明!!!!!!!!!!!!!!!!!!!!!33

D.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

D.2信息系統(tǒng)使命分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

D.3信息系統(tǒng)威脅分級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

D.4信息系統(tǒng)安全保障級(ISAL)矩陣!!!!!!!!!!!!!!!!!!!!!!!!!34

D.5信息系統(tǒng)安全保障級(ISAL)分級要求!!!!!!!!!!!!!!!!!!!!!!!34

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

圖1評估上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖2信息系統(tǒng)安全概念和關系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

圖3信息系統(tǒng)安全保障模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

圖4信息系統(tǒng)安全保障生命周期的安全保障要素!!!!!!!!!!!!!!!!!!!!!9

圖5信息系統(tǒng)安全保障評估概念和關系!!!!!!!!!!!!!!!!!!!!!!!!10

圖6信息系統(tǒng)安全保障評估說明!!!!!!!!!!!!!!!!!!!!!!!!!!!11

圖7信息系統(tǒng)安全保障評估整體和應用!!!!!!!!!!!!!!!!!!!!!!!!12

圖8ISPP和ISST的生成過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

圖9安全保障控制要求的組織和結構!!!!!!!!!!!!!!!!!!!!!!!!!15

圖10安全保障要求的應用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

圖11評估結果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

圖A.1信息系統(tǒng)保護輪廓內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

圖B.1信息系統(tǒng)安全目標內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

圖C.1信息系統(tǒng)安全保障評估的信息系統(tǒng)描述規(guī)范!!!!!!!!!!!!!!!!!!!30

圖C.2信息系統(tǒng)技術參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

圖D.1信息系統(tǒng)安全管理能力成熟度級要求示例圖!!!!!!!!!!!!!!!!!!!35

圖D.2某信息系統(tǒng)安全工程能力成熟度級要求示例圖!!!!!!!!!!!!!!!!!!35

表1信息系統(tǒng)安全保障評估框架使用指南!!!!!!!!!!!!!!!!!!!!!!!!6

犌犅/犜20274.1—2006

表D.1信息系統(tǒng)使命分類示例!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

表D.2信息系統(tǒng)威脅分類示例!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

表D.3信息系統(tǒng)安全保障級矩陣示例!!!!!!!!!!!!!!!!!!!!!!!!!34

表D.4信息系統(tǒng)安全保障級要求示例!!!!!!!!!!!!!!!!!!!!!!!!!34

犌犅/犜20274.1—2006

前言

GB/T20274《信息安全技術信息系統(tǒng)安全保障評估框架》分為四個部分:

———第1部分:簡介和一般模型

———第2部分:技術保障

———第3部分:管理保障

———第4部分:工程保障

本部分的附錄A和附錄B為規(guī)范性附錄,附錄C和附錄D為資料性附錄。

本部分由全國信息安全標準化技術委員會提出并歸口。

本部分起草單位:中國信息安全產(chǎn)品測評認證中心。

本標準主要起草人:吳世忠、王海生、陳曉樺、王貴駟、李守鵬、江常青、彭勇、張利、班曉芳、李靜、

王慶、鄒琪、錢偉明、江典盛、陸麗、姚軼嶄、孫成昊、門雪松、杜宇鴿、楊再山。

犌犅/犜20274.1—2006

引言

0.1信息系統(tǒng)安全保障的含義

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中,通過對信息系統(tǒng)的風險分析,制定并執(zhí)行相應

的安全保障策略,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性

和可用性,降低安全風險到可接受的程度,從而保障系統(tǒng)實現(xiàn)組織機構的使命。信息系統(tǒng)安全保障涵蓋

以下幾個方面:

a)信息系統(tǒng)安全保障應貫穿信息系統(tǒng)的整個生命周期,包括規(guī)劃組織、開發(fā)采購、實施交付、運行

維護和廢棄5個階段,以獲得信息系統(tǒng)安全保障能力的持續(xù)性。

b)信息系統(tǒng)安全保障不僅涉及安全技術,還應綜合考慮安全管理、安全工程和人員安全等,以全

面保障信息系統(tǒng)安全。在安全技術上,不僅要考慮具體的產(chǎn)品和技術,更要考慮信息系統(tǒng)的安

全技術體系架構;在安全管理上,不僅要考慮基本安全管理實踐,更要結合組織的特點建立相

應的安全保障管理體系,形成長效和持續(xù)改進的安全管理機制;在安全工程上,不僅要考慮信

息系統(tǒng)建設的最終結果,更要結合系統(tǒng)工程的方法,注重工程過程各個階段的規(guī)范化實施;在

人員安全上,要考慮與信息系統(tǒng)相關的所有人員包括規(guī)劃者、設計者、管理者、運營維護者、評

估者、使用者等的安全意識以及安全專業(yè)技能和能力等。

c)信息系統(tǒng)安全保障是基于過程的保障。通過風險識別、風險分析、風險評估、風險控制等風險

管理活動,降低信息系統(tǒng)的風險,從而實現(xiàn)信息系統(tǒng)安全保障。

d)信息系統(tǒng)安全保障的目的不僅是保護信息和資產(chǎn)的安全,更重要是通過保障信息系統(tǒng)安全保

障信息系統(tǒng)所支持的業(yè)務的安全,從而達到實現(xiàn)組織機構使命的目的。

e)信息系統(tǒng)安全保障是主觀和客觀的結合。通過在技術、管理、工程和人員方面客觀地評估安全

保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。

因此,它是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動,是主觀和客觀綜合評估

的結果。

f)保障信息系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責,而且需要社會各方參與,包括電信、電力、國

家信息安全基礎設施等提供的支撐。保障信息系統(tǒng)安全不僅要滿足系統(tǒng)所有者自身的安全需

求,而且要滿足國家相關法律、政策的要求,包括為其他機構或個人提供保密、公共安全和國家

安全等社會職責。

0.2信息系統(tǒng)安全保障評估框架的編制目的和意義

本標準不僅可以作為信息系統(tǒng)安全保障評估的基礎標準,也可以為從事信息系統(tǒng)安全保障工作的

所有相關方(包括設計開發(fā)者、工程實施者、評估者、認證認可者等)提供一種標準化、規(guī)范化的通用描述

語言、結構和方法。本標準是GB/T18336—2001在信息系統(tǒng)領域的擴展和補充,它是以

GB/T18336—2001為基礎,吸收其科學方法和結構,將GB/T18336—2001從產(chǎn)品和產(chǎn)品系統(tǒng)擴展到

信息技術系統(tǒng),并進一步同其他國內外信息系統(tǒng)安全領域的標準和規(guī)范進行結合、擴展和補充,以形成

描述和評估信息系統(tǒng)安全保障內容和能力的通用框架。在本標準中,信息系統(tǒng)作為評估對象,不僅涉及

具體產(chǎn)品和產(chǎn)品系統(tǒng),而且還包含信息系統(tǒng)運行環(huán)境的管理、工程等,是用于采集、處理、存儲、傳輸、分

發(fā)和部署信息的整個基礎設施、組織結構、人員等的總和。

本標準屬于信息系統(tǒng)安全保障的基礎性和框架性標準,定義了信息系統(tǒng)安全保障的主要的通用要

犌犅/犜20274.1—2006

求,制定此標準的意義在于:

a)為信息系統(tǒng)安全的設計、實施、建設、測評、審核提供規(guī)范的、通用的描述語言。

b)有利

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論