GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第1部分：簡(jiǎn)介和一般模型

犐犆犛３５．０４０

犔８０

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅／犜２０２７４．１—２００６

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第１部分：簡(jiǎn)介和一般模型

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋１：犐狀狋狉狅犱狌犮狋犻狅狀犪狀犱犵犲狀犲狉犪犾犿狅犱犲犾

２００６０５３１發(fā)布２００６１２０１實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

書

犌犅／犜２０２７４．１—２００６

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

０．１信息系統(tǒng)安全保障的含義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

０．２信息系統(tǒng)安全保障評(píng)估框架的編制目的和意義!!!!!!!!!!!!!!!!!!!!Ⅵ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．１術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．２縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

４概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

４．１引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

４．２信息系統(tǒng)安全保障評(píng)估框架的目標(biāo)讀者!!!!!!!!!!!!!!!!!!!!!!!４

４．３評(píng)估上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．４信息系統(tǒng)安全保障評(píng)估框架的文檔結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!６

５一般模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．２安全保障上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．３信息系統(tǒng)安全保障評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

５．４ＩＳＰＰ和ＩＳＳＴ的生成!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

５．５信息系統(tǒng)安全保障描述材料!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

６信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!１７

６．１介紹!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

６．２ＩＳＰＰ（信息系統(tǒng)保護(hù)輪廓）和ＩＳＳＴ（信息系統(tǒng)安全目標(biāo)）的要求!!!!!!!!!!!!!１８

６．３ＴＯＥ的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

６．４評(píng)估結(jié)果的聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

６．５ＴＯＥ評(píng)估結(jié)果的應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

附錄Ａ（規(guī)范性附錄）信息系統(tǒng)保護(hù)輪廓!!!!!!!!!!!!!!!!!!!!!!!!２０

Ａ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

Ａ．２信息系統(tǒng)保護(hù)輪廓內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

Ａ．２．１內(nèi)容和表述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

Ａ．２．２ＩＳＰＰ引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

Ａ．２．３ＴＯＥ描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

Ａ．２．４ＴＯＥ安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２１

Ａ．２．５安全保障目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２１

Ａ．２．６信息系統(tǒng)安全保障要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

Ａ．２．７ＩＳＰＰ應(yīng)用注解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

Ａ．２．８符合性聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

附錄Ｂ（規(guī)范性附錄）信息系統(tǒng)安全目標(biāo)規(guī)范!!!!!!!!!!!!!!!!!!!!!!２４

Ⅰ

書

犌犅／犜２０２７４．１—２００６

Ｂ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

Ｂ．２信息系統(tǒng)安全目標(biāo)內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

Ｂ．２．１內(nèi)容和形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

Ｂ．２．２ＩＳＳＴ引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

Ｂ．２．３ＴＯＥ描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

Ｂ．２．４ＴＯＥ安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２６

Ｂ．２．５安全保障目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２６

Ｂ．２．６安全保障要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

Ｂ．２．７ＴＯＥ概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

Ｂ．２．８ＩＳＰＰ聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

Ｂ．２．９符合性聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

附錄Ｃ（資料性附錄）信息系統(tǒng)描述!!!!!!!!!!!!!!!!!!!!!!!!!!３０

Ｃ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

Ｃ．２信息系統(tǒng)描述規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

Ｃ．３信息系統(tǒng)描述說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

附錄Ｄ（資料性附錄）信息系統(tǒng)安全保障級(jí)說明!!!!!!!!!!!!!!!!!!!!!３３

Ｄ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

Ｄ．２信息系統(tǒng)使命分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

Ｄ．３信息系統(tǒng)威脅分級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

Ｄ．４信息系統(tǒng)安全保障級(jí)（ＩＳＡＬ）矩陣!!!!!!!!!!!!!!!!!!!!!!!!!３４

Ｄ．５信息系統(tǒng)安全保障級(jí)（ＩＳＡＬ）分級(jí)要求!!!!!!!!!!!!!!!!!!!!!!!３４

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

圖１評(píng)估上下文!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

圖２信息系統(tǒng)安全概念和關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

圖３信息系統(tǒng)安全保障模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

圖４信息系統(tǒng)安全保障生命周期的安全保障要素!!!!!!!!!!!!!!!!!!!!!９

圖５信息系統(tǒng)安全保障評(píng)估概念和關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!１０

圖６信息系統(tǒng)安全保障評(píng)估說明!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

圖７信息系統(tǒng)安全保障評(píng)估整體和應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!１２

圖８ＩＳＰＰ和ＩＳＳＴ的生成過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

圖９安全保障控制要求的組織和結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!１５

圖１０安全保障要求的應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

圖１１評(píng)估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

圖Ａ．１信息系統(tǒng)保護(hù)輪廓內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!２１

圖Ｂ．１信息系統(tǒng)安全目標(biāo)內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

圖Ｃ．１信息系統(tǒng)安全保障評(píng)估的信息系統(tǒng)描述規(guī)范!!!!!!!!!!!!!!!!!!!３０

圖Ｃ．２信息系統(tǒng)技術(shù)參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

圖Ｄ．１信息系統(tǒng)安全管理能力成熟度級(jí)要求示例圖!!!!!!!!!!!!!!!!!!!３５

圖Ｄ．２某信息系統(tǒng)安全工程能力成熟度級(jí)要求示例圖!!!!!!!!!!!!!!!!!!３５

表１信息系統(tǒng)安全保障評(píng)估框架使用指南!!!!!!!!!!!!!!!!!!!!!!!!６

Ⅱ

犌犅／犜２０２７４．１—２００６

表Ｄ．１信息系統(tǒng)使命分類示例!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

表Ｄ．２信息系統(tǒng)威脅分類示例!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

表Ｄ．３信息系統(tǒng)安全保障級(jí)矩陣示例!!!!!!!!!!!!!!!!!!!!!!!!!３４

表Ｄ．４信息系統(tǒng)安全保障級(jí)要求示例!!!!!!!!!!!!!!!!!!!!!!!!!３４

Ⅲ

犌犅／犜２０２７４．１—２００６

前言

ＧＢ／Ｔ２０２７４《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》分為四個(gè)部分：

———第１部分：簡(jiǎn)介和一般模型

———第２部分：技術(shù)保障

———第３部分：管理保障

———第４部分：工程保障

本部分的附錄Ａ和附錄Ｂ為規(guī)范性附錄，附錄Ｃ和附錄Ｄ為資料性附錄。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本部分起草單位：中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心。

本標(biāo)準(zhǔn)主要起草人：吳世忠、王海生、陳曉樺、王貴駟、李守鵬、江常青、彭勇、張利、班曉芳、李靜、

王慶、鄒琪、錢偉明、江典盛、陸麗、姚軼嶄、孫成昊、門雪松、杜宇鴿、楊再山。

Ⅴ

犌犅／犜２０２７４．１—２００６

引言

０．１信息系統(tǒng)安全保障的含義

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)

的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性

和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。信息系統(tǒng)安全保障涵蓋

以下幾個(gè)方面：

ａ）信息系統(tǒng)安全保障應(yīng)貫穿信息系統(tǒng)的整個(gè)生命周期，包括規(guī)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行

維護(hù)和廢棄５個(gè)階段，以獲得信息系統(tǒng)安全保障能力的持續(xù)性。

ｂ）信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全

面保障信息系統(tǒng)安全。在安全技術(shù)上，不僅要考慮具體的產(chǎn)品和技術(shù)，更要考慮信息系統(tǒng)的安

全技術(shù)體系架構(gòu)；在安全管理上，不僅要考慮基本安全管理實(shí)踐，更要結(jié)合組織的特點(diǎn)建立相

應(yīng)的安全保障管理體系，形成長(zhǎng)效和持續(xù)改進(jìn)的安全管理機(jī)制；在安全工程上，不僅要考慮信

息系統(tǒng)建設(shè)的最終結(jié)果，更要結(jié)合系統(tǒng)工程的方法，注重工程過程各個(gè)階段的規(guī)范化實(shí)施；在

人員安全上，要考慮與信息系統(tǒng)相關(guān)的所有人員包括規(guī)劃者、設(shè)計(jì)者、管理者、運(yùn)營(yíng)維護(hù)者、評(píng)

估者、使用者等的安全意識(shí)以及安全專業(yè)技能和能力等。

ｃ）信息系統(tǒng)安全保障是基于過程的保障。通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制等風(fēng)險(xiǎn)

管理活動(dòng)，降低信息系統(tǒng)的風(fēng)險(xiǎn)，從而實(shí)現(xiàn)信息系統(tǒng)安全保障。

ｄ）信息系統(tǒng)安全保障的目的不僅是保護(hù)信息和資產(chǎn)的安全，更重要是通過保障信息系統(tǒng)安全保

障信息系統(tǒng)所支持的業(yè)務(wù)的安全，從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的。

ｅ）信息系統(tǒng)安全保障是主觀和客觀的結(jié)合。通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全

保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。

因此，它是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動(dòng)，是主觀和客觀綜合評(píng)估

的結(jié)果。

ｆ）保障信息系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責(zé)，而且需要社會(huì)各方參與，包括電信、電力、國(guó)

家信息安全基礎(chǔ)設(shè)施等提供的支撐。保障信息系統(tǒng)安全不僅要滿足系統(tǒng)所有者自身的安全需

求，而且要滿足國(guó)家相關(guān)法律、政策的要求，包括為其他機(jī)構(gòu)或個(gè)人提供保密、公共安全和國(guó)家

安全等社會(huì)職責(zé)。

０．２信息系統(tǒng)安全保障評(píng)估框架的編制目的和意義

本標(biāo)準(zhǔn)不僅可以作為信息系統(tǒng)安全保障評(píng)估的基礎(chǔ)標(biāo)準(zhǔn)，也可以為從事信息系統(tǒng)安全保障工作的

所有相關(guān)方（包括設(shè)計(jì)開發(fā)者、工程實(shí)施者、評(píng)估者、認(rèn)證認(rèn)可者等）提供一種標(biāo)準(zhǔn)化、規(guī)范化的通用描述

語言、結(jié)構(gòu)和方法。本標(biāo)準(zhǔn)是ＧＢ／Ｔ１８３３６—２００１在信息系統(tǒng)領(lǐng)域的擴(kuò)展和補(bǔ)充，它是以

ＧＢ／Ｔ１８３３６—２００１為基礎(chǔ)，吸收其科學(xué)方法和結(jié)構(gòu)，將ＧＢ／Ｔ１８３３６—２００１從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到

信息技術(shù)系統(tǒng)，并進(jìn)一步同其他國(guó)內(nèi)外信息系統(tǒng)安全領(lǐng)域的標(biāo)準(zhǔn)和規(guī)范進(jìn)行結(jié)合、擴(kuò)展和補(bǔ)充，以形成

描述和評(píng)估信息系統(tǒng)安全保障內(nèi)容和能力的通用框架。在本標(biāo)準(zhǔn)中，信息系統(tǒng)作為評(píng)估對(duì)象，不僅涉及

具體產(chǎn)品和產(chǎn)品系統(tǒng)，而且還包含信息系統(tǒng)運(yùn)行環(huán)境的管理、工程等，是用于采集、處理、存儲(chǔ)、傳輸、分

發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員等的總和。

本標(biāo)準(zhǔn)屬于信息系統(tǒng)安全保障的基礎(chǔ)性和框架性標(biāo)準(zhǔn)，定義了信息系統(tǒng)安全保障的主要的通用要

Ⅵ

犌犅／犜２０２７４．１—２００６

求，制定此標(biāo)準(zhǔn)的意義在于：

ａ）為信息系統(tǒng)安全的設(shè)計(jì)、實(shí)施、建設(shè)、測(cè)評(píng)、審核提供規(guī)范的、通用的描述語言。

ｂ）有利