GB/T 31495.1-2015信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法第1部分：概念和模型

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T314951—2015

.

信息安全技術(shù)信息安全保障指標(biāo)體系

及評(píng)價(jià)方法

第1部分概念和模型

:

Informationsecuritytechnology—

Indicatorsystemofinformationsecurityassuranceandevaluationmethods—

Part1Concetsandmodel

:p

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T314951—2015

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

信息安全保障模型

4………………………1

信息安全保障評(píng)價(jià)模型

5…………………2

參考文獻(xiàn)

………………………4

Ⅰ

GB/T314951—2015

.

前言

信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法分為如下部分

GB/T31495《》3:

第部分概念和模型

———1:;

第部分指標(biāo)體系

———2:;

第部分實(shí)施指南

———3:。

本部分為的第部分

GB/T314951。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分起草單位國(guó)家信息中心國(guó)家新聞出版廣電總局監(jiān)管中心中國(guó)信息安全測(cè)評(píng)中心中國(guó)電

:、、、

信集團(tuán)中國(guó)移動(dòng)通信集團(tuán)大連理工大學(xué)國(guó)家能源局信息中心江蘇省信息中心中國(guó)民航大學(xué)中國(guó)

、、、、、、

電力科學(xué)研究院

。

本部分主要起草人何德全呂欣王憲磊王長(zhǎng)勝郭艷卿楊月圓李守鵬呂漢陽(yáng)杜巍肖英

:、、、、、、、、、、

張茉楠羅程吳志軍楊一曼謝東暉程露胡紅升孫小紅徐浩周智陳敏時(shí)雷縉樊暉高昆侖

、、、、、、、、、、、、、、

李鵬李慧

、。

Ⅲ

GB/T314951—2015

.

引言

依據(jù)國(guó)家對(duì)信息安全保障工作的相關(guān)要求提出了信息安全保障評(píng)價(jià)的概念和模型

GB/T31495,、

指標(biāo)體系及實(shí)施指南

。

由部分組成第部分描述了本標(biāo)準(zhǔn)各部分通用的基礎(chǔ)性概念給出了信息安全保障及

314953。1,

信息安全保障評(píng)價(jià)的概念和模型給出了指標(biāo)的測(cè)量模型第部分在第部分的模型指導(dǎo)下給出了信

,;21

息安全保障指標(biāo)體系和指標(biāo)測(cè)量過(guò)程第部分給出了信息安全保障評(píng)價(jià)工作實(shí)施所應(yīng)遵照的要求流

;3、

程和方法

。

主要用于為政府管理部門(mén)的信息安全態(tài)勢(shì)判斷和宏觀決策提供支持為基礎(chǔ)信息網(wǎng)絡(luò)和重

31495:;

要信息系統(tǒng)的管理部門(mén)及運(yùn)營(yíng)單位的信息安全管理工作提供支持

。

Ⅳ

GB/T314951—2015

.

信息安全技術(shù)信息安全保障指標(biāo)體系

及評(píng)價(jià)方法

第1部分概念和模型

:

1范圍

的本部分界定了信息安全保障評(píng)價(jià)的基本概念確立了信息安全保障評(píng)價(jià)的一般

GB/T31495,

模型

。

本部分適用于信息安全保障評(píng)價(jià)工作

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

中界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

信息安全保障informationsecurityassurance

對(duì)信息和信息系統(tǒng)的安全屬性及功能效率進(jìn)行保障的一系列適當(dāng)行為或過(guò)程

、。

32

.

信息安全保障評(píng)價(jià)evaluationofinformationsecurityassurance

收集信息安全保障證據(jù)并獲得信息安全保障值的過(guò)程和途徑

,。

33

.

信息安全保障措施measuresforinformationsecurityassurance

為達(dá)到信息安全目的所采用的保障手段的集合

。

34

.

信息安全保障能力capabilityofinformationsecurityassurance

被保障實(shí)體安全防御響應(yīng)