文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS35.030 CCSL80 GB 中华人民共和国国家标准 GB/T20274.1—2023 代替GB/T20274.1—2006 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型 Informationsecuritytechnology- Evaluation framework for information systems security assuresure- Part 1:Introduction andgeneral model 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T20274.1—2023 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 4 概述 5 信息系统安全保障模型和等级 5.1 保障概念 5.2 保障模型 5.3 保障能力等级 6 信息系统安全保障要素 6.1 信息系统安全保障要素的结构 6.2 信息系统安全保障要素的生成 7信息系统安全保障评估框架 7.1 信息系统安全保障评估概念和关系 7.2 信息系统安全保障评估内容 7.3 信息系统安全保障评估判定 参考文献 GB/T20274.1—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T20274《信息安全技术 信息系统安全保障评估框架》的第1部分。GB/T20274 已经发布了以下部分: ——第1部分:简介和一般模型; 一第2部分:技术保障; 第3部分:管理保障; 一第4部分:工程保障。 本文件代替GB/T20274.1一2006《信息安全技术信息系统安全保障评估框架第1部分:简介 和一般模型》,与GB/T20274.1一2006相比,除结构调整和编辑性改动外,主要技术变化如下: a) 删除了不适用界限(见2006年版的第1章); b) 更改了“信息系统”和“信息系统安全保障”的定义,删除了其他术语,增加了“组织安全策略”术 语和定义,删除了缩略语(见第3章,2006年版的3.1和3.2); 更改了目标读者的描述(见第4章,2006年版的4.2); d) 将“一般模型”更改为“信息系统安全保障模型和等级”,增加了保障能力等级概念(见第5 章,2006年版的5.1和5.2); f) 将“信息系统安全保障描述材料”更改为“信息系统安全保障要素”,删除了ISPP和ISST的内 容(见第6章,2006年版的5.5); h) 更改了“信息系统安全保障评估概念和关系”的图表及文字描述(见7.1,2006年版的5.3.2): i) 将“在信息系统生命周期中的安全保障”更改为“信息系统安全保障评估内容”(见7.2,2006年 版的5.2.2.2); j) 更改了“信息系统安全保障评估内容”的文字描述和图表内容(见7.2,2006年版的5.3.3); k) 将“信息系统安全保障评估和评估结果”更改为“信息系统安全保障评估判定”,删除了有关 ISPP和ISST相关的内容,增加了评估准则和保障等级判定要求(见7.3,2006年版的第6 章)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国信息安全测评中心、国家信息技术安全研究中心、国家计算机网络与信息安 全管理中心、公安部第一研究所、国家工业信息安全发展研究中心、国家信息中心、吉林信息安全测评中 心、四川省信息安全测评中心、广东省信息安全测评中心、陕西省网络与信息安全测评中心、中国南方电 网有限责任公司、南方电网数字电网集团有限公司、昆仑数智科技有限公司、泰康保险集团股份有限公 司、中国医学科学院北京协和医院、华润数科控股有限公司、四川大学、北京百度网讯科技有限公司、浪 潮云信息技术股份公司、浙江木链物联网科技有限公司、杭州安恒信息技术股份有限公司、沈阳东软系 统集成工程有限公司、启明星辰信息技术集团股份有限公司、北京神州绿盟科技有限公司、鼎铉商用密 码测评技术(深圳)有限公司、中国电子科技网络信息安全有限公司、山西轩信息安全技术有限公司 本文件主要起草人:任望、邸丽清、江常青、李斌、徐秋伊、梁智溢、张普含、杜宇鸽、宋璟、谢丰、彭勇、 GB/T20274.1—2023 孟晓阳、郭昊、刘占丰、昌彦伟、庞智、梁伟、宫月、王丹琛、张晓娜、陈禹、高强、李秋香、史大为、陈永刚、 赵增振、于盟、张格、潘承亚、杨天识、陶蓉、吕华辉、明哲、滕征岑、刘磊、陈靓、万娟、卿波、王美玲、 郭宾、王文佳、赵呈东、朱卫国、张敏、王海棠、唐晓莉、鲍捷、李滨丞、赵少飞、谭锐能、李智林、叶建伟。 本文件及其所代替文件的历次版本发布情况为: -2006年首次发布为GB/T20274.1—2006; 一本次为第一次修订。 GB/T20274.1—2023 引言 GB/T20274信息安全技术 信息系统安全保障评估框架》以GB/T18336《信息技术安全技术 信息技术安全评估准则》为基础,从产品扩展到信息技术系统,并进一步同其他国内外信息系统安全 领域的标准和规范进行结合,扩展和补充,以形成描述和评估信息系统安全保障内容和能力的通用框 架。GB/T20274是指导信息系统安全保障评估的基础性和框架性标准,为从事信息系统安全保障工 作的所有相关方(包括设计开发者工程实施者,评估者、认证认可者等)提供一种标准化、规范化的通用 描述语言、结构和方法。GB/T20274旨在给出信息系统安全保障的基本概念和模型,确立在技术、管 理和工程方面的安全保障要求和能力等级要求,由四个部分构成。 第1部分:简介和一般模型。目的在于给出信息系统安全保障的基本概念和模型,提出信息系 统安全保障评估的框架。 第2部分:技术保障。目的在于确立信息系统在技术方面的安全保障基本要求及相应的能力 等级要求。 —第3部分:管理保障。目的在于确立信息系统在管理方面的安全保障基本要求及相应的能力 等级要求。 一第4部分:工程保障。目的在于确立信息系统在工程方面的安全保障基本要求及相应的能力 等级要求。 GB/T20274.1—2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型 1范围 本文件给出了信息系统安全保障的基本概念和模型,提出了信息系统安全保障评估框架 本文件适用于指导系统建设者、运营者、服务提供者和评估者等开展信息系统安全保障工作。 2 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T18336.1—2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般 模型 GB/T25069—2022 信息安全技术 术语 3 术语和定义 GB/T25069—2022和GB/T18336.1—2015中界定的以及下列术语和定义适用于本文件。 3.1 信息系统 Einformationsystem 应用、服务、信息技术资产或其他信息处理组件的组合。 注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过 程控制。 注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联网技术的系 统等。 [来源:GB/T29246—2017,2.39,有修改] 3.2 信息系统安全保障 information systemsecurityassurance 对信息系统的安全属性及功能、效率进行保障的一系列适当行为或过程。 3.3 组织安全策略 organizational securitypolicies 组织为确保其运行而制定的若干安全规则、规程、实践和指南。 [来源:GB/T25069—2022,3.817] 4概述 与信息系统安全保障评估工作相关的相关方,一般包括信息系统建设者、信息系统运营者、服务提 1 GB/T20274.1—2023 供者和评估者等。 信息系统建设者包括规划、设计和工程实施人员。建设者参考通用描述语言、方法和结构,从信息 系统安全保障的技术、管理和工程领域来表达其信息系统安全保障要求。使用本文件能帮助建设者更 好地描述其信息系统安全需求,编制符合其运行环境要求的信息系统安全保障方案和规范等。建设者 可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,并根据评估结果,进一步完善和持 续改进其信息系统的安全保障能力。 信息系统运营者参考通用描述语言、方法和结构,从信息系统安全保障的技术和管理领域来表达其 信息系统安全保障要求。运营者能使用本文件同信息系统的建设者等相关人员进行更加有效的沟通和 相互理解。运营者可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,还可根据评估结 果,进一步完善和持续改进其信息系统的安全保障能力,获得其信息系统安全保障的信心。 服务提供者参考通用描述语言、方法和结构,从信息系统安全保障的技术、管理和工程领域来表达 相关的信息系统安全保障要求,并与系统运营者和建设者进行有效的沟通和项目实施 评估者参考本文件来定义信息系统安全保障评估的内容,并依据定义的评估内容开展信息系统安 全保障评估工作。 5信息系统安全保障模型和等级 5.1保障概念 信息系统运行于特定的现实环境中,它从属某个组织,受到来自组织内部及外部环境的约束,因 此,信息系统的安全保障除了要在充分分析信息系统本身的技术、
GB T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
文档预览
中文文档
14 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共14页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 SC 于
2023-04-21 13:19:16
上传分享
举报
下载
原文档
(3.2 MB)
分享
友情链接
GB-T 35782-2017 道路甩挂运输车辆技术条件.pdf
GM-T 0011-2012 可信计算 可信密码支撑平台功能与接口规范.pdf
SN-T 3246.4-2017 进出口音视频设备检验技术要求 第4部分:投影仪的能效.pdf
GB-T 32608-2016 羽毛球拍及部件的物理参数和试验方法.pdf
GB-T 42467.7-2023 中医临床名词术语 第7部分:儿科学.pdf
GB-T 41908-2022 人类粪便样本采集与处理.pdf
GB-T 38634.3-2020 系统与软件工程 软件测试 第3部分:测试文档.pdf
ISO IEC 27701-2019.pdf
ISO 5393 2017 Rotary tools for threaded fasteners — Performance test method.pdf
GB-T 37093-2018 信息安全技术 物联网感知层接入通信网的安全要求.pdf
DB65-T 3902-2016 烟花爆竹批发、零售及储存库事故隐患排查技术规范 新疆维吾尔自治区.pdf
GB-T 20822-2007 固液法白酒.pdf
大同市建筑节能条例.pdf
T-ZGCSC 003—2023 智慧社区评价指标体系.pdf
SL-T 341-2021 水土保持信息管理技术规程.pdf
DB36-T 1584-2022 电子政务外网企事业单位接入技术规范 江西省.pdf
CSA 量子时代的区块链.pdf
GB-T 40171-2021 磁珠法DNA提取纯化试剂盒检测通则.pdf
T-GDIIA 005—2021 信息技术应用创新项目运行维护服务标准.pdf
DB22-T 1945-2013 信息系统运行维护技术服务规范应用 软件系统部分 吉林省.pdf
1
/
3
14
评价文档
赞助2元 点击下载(3.2 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。