標(biāo)準(zhǔn)解讀

《GB/T 30270-2013 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估方法》是中國國家標(biāo)準(zhǔn)之一,主要針對信息技術(shù)產(chǎn)品和服務(wù)的安全性進(jìn)行評估提供了一套系統(tǒng)的方法。該標(biāo)準(zhǔn)基于國際通用的通用準(zhǔn)則(Common Criteria, CC)框架,并結(jié)合中國國情進(jìn)行了適應(yīng)性調(diào)整。其目的是通過定義一套標(biāo)準(zhǔn)化的安全性評估過程和要求,來保證信息技術(shù)產(chǎn)品的安全性和可信度。

標(biāo)準(zhǔn)中首先明確了適用范圍,適用于所有類型的信息技術(shù)產(chǎn)品和服務(wù)的安全性評估工作。接著詳細(xì)介紹了評估流程,包括準(zhǔn)備階段、評估計(jì)劃制定、評估活動(dòng)執(zhí)行以及最終報(bào)告編制等幾個(gè)關(guān)鍵步驟。在每個(gè)階段,都給出了具體的操作指南與要求,以確保整個(gè)評估過程能夠科學(xué)合理地進(jìn)行。

對于評估對象來說,《GB/T 30270-2013》不僅涵蓋了硬件設(shè)備如服務(wù)器、網(wǎng)絡(luò)設(shè)備等,還包括軟件應(yīng)用系統(tǒng)、移動(dòng)應(yīng)用程序等多種形式的信息技術(shù)產(chǎn)品。同時(shí),也考慮到了不同應(yīng)用場景下的特殊需求,在標(biāo)準(zhǔn)內(nèi)提供了靈活的選擇項(xiàng)供評估人員根據(jù)實(shí)際情況選用。

此外,該標(biāo)準(zhǔn)還特別強(qiáng)調(diào)了對評估過程中所使用工具和技術(shù)手段的要求,比如測試環(huán)境搭建、漏洞掃描工具選擇等方面都有明確規(guī)定。這有助于提高評估結(jié)果的一致性和可靠性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 30270-2024
  • 2013-12-31 頒布
  • 2014-07-15 實(shí)施
?正版授權(quán)
GB/T 30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法_第1頁
GB/T 30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法_第2頁
GB/T 30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法_第3頁
GB/T 30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法_第4頁
GB/T 30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法_第5頁
已閱讀5頁,還剩219頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T30270—2013/ISO/IEC180452005

:

信息技術(shù)安全技術(shù)

信息技術(shù)安全性評估方法

Informationtechnology—Securitytechnology—

MethodologyforITsecurityevaluation

(ISO/IEC18045:2005,IDT)

2013-12-31發(fā)布2014-07-15實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T30270—2013/ISO/IEC180452005

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

概述

5………………………3

文檔約定

6…………………3

行文方式

6.1……………3

動(dòng)詞用法

6.2……………3

通用評估指南

6.3………………………4

和本標(biāo)準(zhǔn)結(jié)構(gòu)間的關(guān)系

6.4ISO/IEC15408…………4

評估者裁定

6.5…………………………4

通用評估任務(wù)

7……………5

簡介

7.1…………………5

評估輸入任務(wù)

7.2………………………5

評估輸出任務(wù)

7.3………………………7

保護(hù)輪廓評估

8……………12

簡介

8.1…………………12

評估相互關(guān)系

8.2PP…………………12

評估活動(dòng)

8.3PP………………………12

類安全目標(biāo)評估

9ASE:…………………28

簡介

9.1…………………28

評估相互關(guān)系

9.2ST…………………28

評估活動(dòng)

9.3ST………………………29

評估

10EAL1……………50

簡介

10.1………………50

目的

10.2………………50

評估相互關(guān)系

10.3EAL1……………50

配置管理活動(dòng)

10.4……………………50

交付和運(yùn)行活動(dòng)

10.5…………………51

開發(fā)活動(dòng)

10.6…………………………52

指導(dǎo)性文檔活動(dòng)

10.7…………………56

測試活動(dòng)

10.8…………………………60

評估

11EAL2……………63

GB/T30270—2013/ISO/IEC180452005

:

簡介

11.1………………63

目的

11.2………………64

評估相互關(guān)系

11.3EAL2……………64

配置管理活動(dòng)

11.4……………………64

交付和運(yùn)行活動(dòng)

11.5…………………66

開發(fā)活動(dòng)

11.6…………………………68

指導(dǎo)性文檔活動(dòng)

11.7…………………74

測試活動(dòng)

11.8…………………………78

脆弱性評定活動(dòng)

11.9…………………87

評估

12EAL3……………94

簡介

12.1………………94

目的

12.2………………94

評估相互關(guān)系

12.3EAL3……………94

配置管理活動(dòng)

12.4……………………94

交付和運(yùn)行活動(dòng)

12.5…………………98

開發(fā)活動(dòng)

12.6…………………………100

指導(dǎo)性文檔活動(dòng)

12.7…………………107

生命周期支持活動(dòng)

12.8………………112

測試活動(dòng)

12.9…………………………114

脆弱性評定活動(dòng)

12.10………………126

評估

13EAL4……………134

簡介

13.1………………134

目的

13.2………………134

評估相互關(guān)系

13.3EAL4……………135

配置管理活動(dòng)

13.4……………………135

交付和運(yùn)行活動(dòng)

13.5…………………141

開發(fā)活動(dòng)

13.6…………………………144

指導(dǎo)性文檔活動(dòng)

13.7…………………159

生命周期支持活動(dòng)

13.8………………163

測試活動(dòng)

13.9…………………………167

脆弱性評定活動(dòng)

13.10………………179

缺陷糾正子活動(dòng)

14………………………193

缺陷糾正評估

14.1(ALC_FLR.1)…………………193

缺陷糾正評估

14.2(ALC_FLR.2)…………………194

缺陷糾正評估

14.3(ALC_FLR.3)…………………197

附錄規(guī)范性附錄通用評估指南

A()…………………202

GB/T30270—2013/ISO/IEC180452005

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)采用翻譯法等同采用國際標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息技術(shù)安全

ISO/IEC18045:2005《

性評估方法

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則

———GB/T18336—2008(ISO/IEC15408:

2005,IDT)。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)主要起草單位中國信息安全測評中心吉林信息安全測評中心華中信息安全測評中心

:、、。

本標(biāo)準(zhǔn)主要起草人李守鵬吳世忠黃元飛李斌劉暉劉春明郭穎付敏譚運(yùn)猛徐長醒

:、、、、、、、、、、

宋小龍簡余良郭濤甘杰夫張寶峰石竑松楊永生畢海英高金萍王峰李鳳娟唐喜慶曾華春

、、、、、、、、、、、、。

GB/T30270—2013/ISO/IEC180452005

:

引言

本標(biāo)準(zhǔn)提出的信息技術(shù)安全性評估方法僅限于對中定義的評

(IT)ISO/IEC15408EAL1~EAL4

估不提供及其他保證包的評估指南

,EAL5~EAL7。

本標(biāo)準(zhǔn)的讀者對象主要是采用的評估者和確認(rèn)評估者行為的認(rèn)證者以及評估發(fā)

ISO/IEC15408,

起者開發(fā)者作者和其他對安全感興趣的團(tuán)體

、、PP/STIT。

本標(biāo)準(zhǔn)并不能解決所有有關(guān)安全評估的問題有些問題還需要進(jìn)一步的解釋這些解釋將由

IT,。

各評估體制決定如何處理即便它們要遵從多方互認(rèn)協(xié)議可以由各體制處理的評估方法相關(guān)活動(dòng)列

,。

表見附錄

A。

本標(biāo)準(zhǔn)提出了依據(jù)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則進(jìn)行信息技

ISO/IEC15408《》

術(shù)安全評估時(shí)的評估方法是的配套標(biāo)準(zhǔn)

,ISO/IEC15408。

GB/T30270—2013/ISO/IEC180452005

:

信息技術(shù)安全技術(shù)

信息技術(shù)安全性評估方法

1范圍

本標(biāo)準(zhǔn)描述了在采用信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則所定義的

ISO/IEC15408《》

準(zhǔn)則和評估證據(jù)進(jìn)行評估時(shí)評估者應(yīng)執(zhí)行的最小行為集是的配套標(biāo)準(zhǔn)

,,ISO/IEC15408。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改版適用于本文件

。,()。

所有部分信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則

I

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論