GB/T 20274.1-2023信息安全技術信息系統(tǒng)安全保障評估框架第1部分：簡介和一般模型

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T202741—2023

.

代替GB/T202741—2006

.

信息安全技術

信息系統(tǒng)安全保障評估框架

第1部分簡介和一般模型

:

Informationsecuritytechnology—

Evaluationframeworkforinformationsystemssecurityassuresure—

Part1Introductionandeneralmodel

:g

2023-03-17發(fā)布2023-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T202741—2023

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………1

信息系統(tǒng)安全保障模型和等級

5…………2

保障概念

5.1……………2

保障模型

5.2……………2

保障能力等級

5.3………………………3

信息系統(tǒng)安全保障要素

6…………………3

信息系統(tǒng)安全保障要素的結(jié)構

6.1……………………3

信息系統(tǒng)安全保障要素的生成

6.2……………………5

信息系統(tǒng)安全保障評估框架

7……………6

信息系統(tǒng)安全保障評估概念和關系

7.1………………6

信息系統(tǒng)安全保障評估內(nèi)容

7.2………………………7

信息系統(tǒng)安全保障評估判定

7.3………………………8

參考文獻

………………………9

GB/T202741—2023

.

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息安全技術信息系統(tǒng)安全保障評估框架的第部分

GB/T20274《》1。GB/T20274

已經(jīng)發(fā)布了以下部分

:

第部分簡介和一般模型

———1:;

第部分技術保障

———2:;

第部分管理保障

———3:;

第部分工程保障

———4:。

本文件代替信息安全技術信息系統(tǒng)安全保障評估框架第部分簡介

GB/T20274.1—2006《1:

和一般模型與相比除結(jié)構調(diào)整和編輯性改動外主要技術變化如下

》,GB/T20274.1—2006,,:

刪除了不適用界限見年版的第章

a)(20061);

更改了信息系統(tǒng)和信息系統(tǒng)安全保障的定義刪除了其他術語增加了組織安全策略術

b)“”“”,,“”

語和定義刪除了縮略語見第章年版的和

,(3,20063.13.2);

更改了目標讀者的描述見第章年版的

c)(4,20064.2);

刪除了評估上下文和信息系統(tǒng)安全保障評估框架的文檔結(jié)構見年版的和

d)“”“”(20064.34.4);

將一般模型更改為信息系統(tǒng)安全保障模型和等級增加了保障能力等級概念見第

e)“”“”,(5

章年版的和

,20065.15.2);

將信息系統(tǒng)安全保障描述材料更改為信息系統(tǒng)安全保障要素刪除了和的內(nèi)

f)“”“”,ISPPISST

容見第章年版的

(6,20065.5);

刪除了信息安全整體和應用和安全保障要求的使用見年版的和

g)“”“”(20065.3.45.5.3);

更改了信息系統(tǒng)安全保障評估概念和關系的圖表及文字描述見年版的

h)“”(7.1,20065.3.2);

將在信息系統(tǒng)生命周期中的安全保障更改為信息系統(tǒng)安全保障評估內(nèi)容見年

i)“”“”(7.2,2006

版的

5.2.2.2);

更改了信息系統(tǒng)安全保障評估內(nèi)容的文字描述和圖表內(nèi)容見年版的

j)“”(7.2,20065.3.3);

將信息系統(tǒng)安全保障評估和評估結(jié)果更改為信息系統(tǒng)安全保障評估判定刪除了有關

k)“”“”,

和相關的內(nèi)容增加了評估準則和保障等級判定要求見年版的第

ISPPISST,(7.3,20066

章

)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國信息安全測評中心國家信息技術安全研究中心國家計算機網(wǎng)絡與信息安

:、、

全管理中心公安部第一研究所國家工業(yè)信息安全發(fā)展研究中心國家信息中心吉林信息安全測評中

、、、、

心四川省信息安全測評中心廣東省信息安全測評中心陜西省網(wǎng)絡與信息安全測評中心中國南方電

、、、、

網(wǎng)有限責任公司南方電網(wǎng)數(shù)字電網(wǎng)集團有限公司昆侖數(shù)智科技有限公司泰康保險集團股份有限公

、、、

司中國醫(yī)學科學院北京協(xié)和醫(yī)院華潤數(shù)科控股有限公司四川大學北京百度網(wǎng)訊科技有限公司浪

、、、、、

潮云信息技術股份公司浙江木鏈物聯(lián)網(wǎng)科技有限公司杭州安恒信息技術股份有限公司沈陽東軟系

、、、

統(tǒng)集成工程有限公司啟明星辰信息技術集團股份有限公司北京神州綠盟科技有限公司鼎鉉商用密

、、、

碼測評技術深圳有限公司中國電子科技網(wǎng)絡信息安全有限公司山西軒轅信息安全技術有限公司

()、、。

本文件主要起草人任望邸麗清江常青李斌徐秋伊梁智溢張普含杜宇鴿宋璟謝豐彭勇

:、、、、、、、、、、、

Ⅰ

GB/T202741—2023

.

孟曉陽郭昊劉占豐昌彥偉龐智梁偉宮月王丹琛張曉娜陳禹高強李秋香史大為陳永剛

、、、、、、、、、、、、、、

趙增振于盟張格潘承亞楊天識陶蓉呂華輝明哲滕征岑劉磊陳靚萬娟卿粼波王美玲

、、、、、、、、、、、、、、

郭賓王文佳趙呈東朱衛(wèi)國張敏王海棠唐曉莉鮑捷李濱丞趙少飛譚銳能李智林葉建偉

、、、、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2006GB/T20274.1—2006;

本次為第一次修訂

———。

Ⅱ

GB/T202741—2023

.

引言

信息安全技術信息系統(tǒng)安全保障評估框架以信息技術安全技術

GB/T20274《》GB/T18336《

信息技術安全評估準則為基礎從產(chǎn)品擴展到信息技術系統(tǒng)并進一步同其他國內(nèi)外信息系統(tǒng)安全

》,,

領域的標準和規(guī)范進行結(jié)合擴展和補充以形成描述和評估信息系統(tǒng)安全保障內(nèi)容和能力的通用框

,,

架是指導信息系統(tǒng)安全保障評估的基礎性和框架性標準為從事信息系統(tǒng)安全保障工

。GB/T20274,

作的所有相關方包括設計開發(fā)者工程實施者評估者認證認可者等提供一種標準化規(guī)范化的通用

(,、)、

描述語言結(jié)構和方法旨在給出信息系統(tǒng)安全保障的基本概念和模型確立在技術管

、。GB/T20274,、

理和工程方面的安全保障要求和能力等級要求由四個部分構成

,。

第部分簡介和一般模型目的在于給出信息系統(tǒng)安全保障的基本概念和模型提出信息系

———1:。,

統(tǒng)安全保障評估的框架

。

第部分技術保障目的在于確立信息系統(tǒng)在技術方面的安全保障基本要求及相應的能力

———2:。

等級要求

。

第部分管理保障目的在于確立信息系統(tǒng)在管理方面的安全保障基本要求及相應的能力

———3:。

等級要求

。

第部分工程保障目的在于確立信息系統(tǒng)在工程方面的安全保障基本要求及相應的能力

———4:。

等級要求

。

Ⅲ

GB/T202741—2023

.

信息安全技術

信息系統(tǒng)安全保障評估框架

第1部分簡介和一般模型

:

1范圍

本文件給出了信息系統(tǒng)安全保障的基本概念和模型提出了信息系統(tǒng)安全保障評估框架

,。

本文件適用于指導系統(tǒng)建設者運營者服務提供者和評估者等開展信息系統(tǒng)安全保障工作

、、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術安全技術信息技術安全評估準則第部分簡介和一般

GB/T18336.1—20151:

模型

信息安全技術術語

GB/T25069—2022

3術語和定義

和中