GB/Z 30286-2013信息安全技術(shù)信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)產(chǎn)生指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z30286—2013

信息安全技術(shù)

信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)

產(chǎn)生指南

Informationsecuritytechnology—

Guidefortheproductionofinformationsystem

protectprofileandinformationsystemsecuritytarget

2013-12-31發(fā)布2014-07-15實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/Z30286—2013

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

和概述

4ISPPISST………………………1

和的用途

4.1ISPPISST………………1

和的內(nèi)容

4.2ISPPISST………………1

和的目標(biāo)讀者

4.3ISPPISST…………4

和的產(chǎn)生過程

5ISPPISST………………4

和的描述部分

6ISPPISST………………5

概述

6.1…………………5

和標(biāo)識(shí)

6.2ISPPISST…………………5

和概述

6.3ISPPISST…………………5

應(yīng)用注解

6.4ISPP………………………6

信息系統(tǒng)描述

7……………6

概述

7.1…………………6

信息系統(tǒng)使命描述

7.2…………………6

信息系統(tǒng)概要描述

7.3…………………6

信息系統(tǒng)詳細(xì)描述

7.4…………………6

安全保障需求

8……………7

概述

8.1…………………7

識(shí)別和說明假設(shè)

8.2……………………7

識(shí)別和說明威脅

8.3……………………8

識(shí)別和確定組織安全策略

8.4…………11

明確安全保障需求定義

8.5……………12

安全保障目的

9……………12

概述

9.1…………………12

威脅假設(shè)和組織安全策略的列表

9.2、………………13

信息系統(tǒng)環(huán)境保障目的

9.3……………13

信息系統(tǒng)安全保障目的

9.4……………13

安全保障要求

10…………………………13

概述

10.1………………13

安全技術(shù)保障要求

10.2………………15

安全管理保障要求

10.3………………19

Ⅰ

GB/Z30286—2013

或中的安全工程保障要求

10.4ISPPISST…………20

信息系統(tǒng)概要規(guī)范

11……………………22

概述

11.1………………22

信息系統(tǒng)概要規(guī)范概述

11.2…………22

安全保障措施的選擇

11.3……………23

聲明

12ISPP………………24

概述

12.1………………24

引用

12.2ISPP…………………………24

裁剪

12.3ISPP…………………………24

附加項(xiàng)

12.4ISPP………………………24

符合性聲明

13……………25

概述

13.1………………25

安全保障目的的符合性聲明

13.2……………………25

安全保障要求的符合性聲明

13.3……………………27

附錄資料性附錄從選取

A()GB/T20274.2—2008STRs…………29

附錄資料性附錄從選取

B()GB/T20274.3—2008SMRs…………33

附錄資料性附錄從選取

C()GB/T20274.4—2008SERs…………36

參考文獻(xiàn)

……………………37

Ⅱ

GB/Z30286—2013

前言

本指導(dǎo)性技術(shù)文件按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本指導(dǎo)性技術(shù)文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本指導(dǎo)性技術(shù)文件主要起草單位中國(guó)信息安全測(cè)評(píng)中心中國(guó)信息安全測(cè)評(píng)中心華中測(cè)評(píng)中心

:、、

華北計(jì)算技術(shù)研究所

。

本指導(dǎo)性技術(shù)文件主要起草人江常青張利姚軼嶄佟鑫彭勇陸麗胡衛(wèi)華付敏周瑾

:、、、、、、、、。

Ⅲ

GB/Z30286—2013

引言

本指導(dǎo)性技術(shù)文件是信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架系列標(biāo)準(zhǔn)的配套

GB/T20274《》

指南文件為信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)

,(InformationSystemProtectProfile,ISPP)

的編制提供指導(dǎo)

(InformationSystemSecurityTarget,ISST)。

本指導(dǎo)性技術(shù)文件的使用者應(yīng)熟悉系列標(biāo)準(zhǔn)

GB/T20274。

Ⅳ

GB/Z30286—2013

信息安全技術(shù)

信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)

產(chǎn)生指南

1范圍

本指導(dǎo)性技術(shù)文件給出了編制信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的過程為編

(ISPP)(ISST),

寫和提供指導(dǎo)

ISPPISST。

本指導(dǎo)性技術(shù)文件適用于應(yīng)用系列標(biāo)準(zhǔn)進(jìn)行信息系統(tǒng)安全性保障評(píng)估的評(píng)估者和確

GB/T20274

認(rèn)評(píng)估者行為的認(rèn)證者系統(tǒng)開發(fā)者等

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第部分簡(jiǎn)介和一般模型

GB/T20274.1—20061:

信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第部分技術(shù)保障

GB/T20274.2—20082:

信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第部分管理保障

GB/T20274.3—20083:

信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第部分工程保障

GB/T20274.4—20084:

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984—2007

3術(shù)語和定義

界定的

GB/T20274.1—2006、GB/T20274.2—2008、GB/T20274.3—2008、GB/T20274.4—2008

術(shù)語和定義適用于本文件

。

4ISPP和ISST概述

41ISPP和I