GB/Z 29830.1-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第1部分：綜述和框架

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z298301—2013/ISO/IECTR15443-12005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第1部分綜述和框架

:

Informationtechnology—Securitytechnology—Aframeworkfor

ITsecuritassurance—Part1Overviewandframework

y:

(ISO/IECTR15443-1:2005,IDT)

2013-11-12發(fā)布2014-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)

國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第1部分綜述和框架

:

GB/Z29830.1—2013/ISO/IECTR15443-1:2005

*

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽(yáng)區(qū)和平里西街甲號(hào)

2(100029)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

20144

*

書號(hào)

:155066·1-48740

版權(quán)專有侵權(quán)必究

GB/Z298301—2013/ISO/IECTR15443-12005

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

途徑

1.2…………………1

應(yīng)用

1.3…………………1

適用領(lǐng)域

1.4……………1

限制性

1.5………………1

術(shù)語(yǔ)和定義

2………………1

縮略語(yǔ)

3……………………5

概念

4………………………6

為什么需要保障

4.1……………………6

保障與信心的區(qū)別

4.2…………………6

什么是交付件

4.3………………………7

利益攸關(guān)方

4.4…………………………7

保障需求

4.5……………8

保障方法對(duì)安全的適用性

4.6IT………………………8

保障模式

4.7……………9

保障風(fēng)險(xiǎn)量化與機(jī)制增強(qiáng)

4.8…………9

保障減少安全風(fēng)險(xiǎn)

4.9…………………9

量化保障

4.10……………9

選擇安全保障

5……………10

保障需求描述

5.1………………………10

經(jīng)濟(jì)方面

5.2……………11

組織方面

5.3……………11

保障類型

5.4……………12

技術(shù)方面

5.5……………12

優(yōu)化方面的考慮

5.6……………………13

框架

6………………………13

保障途徑

6.1……………13

保障方法

6.2……………13

生存周期方面

6.3………………………14

正確性保障與有效性保障

6.4…………15

保障方法分類

6.5………………………15

組合保障

6.6……………16

保障評(píng)定

6.7……………17

Ⅰ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

參考文獻(xiàn)

……………………18

圖保障方法與一個(gè)簡(jiǎn)化的典型的生存周期階段的關(guān)系

1……………15

圖現(xiàn)有保障方法的分類

2………………16

表保障方法示例

1………………………14

Ⅱ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架分為以下個(gè)部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298301。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術(shù)安全技術(shù)信息技術(shù)安全保

ISO/IECTR15443-1:2005《

障框架第部分綜述和框架

1:》。

本部分做了如下編輯性修改

:

國(guó)際標(biāo)準(zhǔn)與為重復(fù)性內(nèi)容轉(zhuǎn)標(biāo)時(shí)刪除

———2.92.16,2.16。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分主要起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院

:。

本部分主要起草人羅鋒盈張明天王延鳴陳星楊建軍

:、、、、。

Ⅲ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

引言

本指導(dǎo)性技術(shù)文件的目的是為了獲得一個(gè)給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導(dǎo)信息安全專業(yè)人員如何選擇一個(gè)合適的保障方法或組合一些方法這一

,()。

報(bào)告審視了不同類型組織所提出的保障方法和途徑包括已批準(zhǔn)的標(biāo)準(zhǔn)和事實(shí)標(biāo)準(zhǔn)

,。

為了達(dá)到這一目的本指導(dǎo)性技術(shù)文件由以下個(gè)方面內(nèi)容組成

,7:

一個(gè)框架模型用于定位現(xiàn)有的保障方法并給出它們之間的關(guān)系

a),;

一組保障方法以及對(duì)它們的描述和引用

b);

特定保障方法的共性和個(gè)性的表達(dá)

c);

現(xiàn)有保障方法的定性比較其中盡可能進(jìn)行定量比較

d),;

與當(dāng)前保障方法關(guān)聯(lián)的保障模式的標(biāo)識(shí)

e);

不同保障方法之間關(guān)系的描述以及

f);

有關(guān)保障方法的應(yīng)用組合和認(rèn)知的指導(dǎo)

g)、。

本指導(dǎo)性技術(shù)文件由部分組成對(duì)保障途徑分析和相互間的關(guān)系處理如下

3,、:

第部分綜述和框架概述了一些基礎(chǔ)性概念例如保障保障框架等并給出了安全保障方法的

1:。,、,

一般性描述其目的是幫助理解本指導(dǎo)性技術(shù)文件的第部分和第部分內(nèi)容第部分針對(duì)信息安

。23。1

全管理人員和其他人員其中包括負(fù)責(zé)開發(fā)安全保障程序確定他們的交付件的安全保障參加安全評(píng)

,、、

估審計(jì)或參加其他保障活動(dòng)的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認(rèn)的事實(shí)上被認(rèn)可的或標(biāo)準(zhǔn)的并把這些保障方法與第部分的保障模型關(guān)聯(lián)起來重

、;1。

點(diǎn)是識(shí)別對(duì)保障有影響的保障方法的定性特征在可能的地方還將定義保障級(jí)別該材料面向安

,,。IT

全專業(yè)人員幫助理解如何在產(chǎn)品或服務(wù)的特定的生存周期階段中獲得保障

,。

使用定義在中的術(shù)語(yǔ)和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個(gè)分析有助于保障機(jī)構(gòu)在確定每

3:。。

一種保障途徑的相對(duì)值并確定保障途徑使這些途徑提供最適合于運(yùn)行環(huán)境的具體上下文的需求的保

,

障結(jié)果而且這個(gè)分析還有助于保障機(jī)構(gòu)運(yùn)用保障方法的結(jié)果實(shí)現(xiàn)交付件所預(yù)想的確信度這部分

。,,。

材料面向的對(duì)象是那些必須選擇保障方法和保障途徑的安全專業(yè)人員

IT。

使用定義在中的術(shù)語(yǔ)和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

本指導(dǎo)性技術(shù)文件分析了一些可能不為安全所專有的保障方法然而在指導(dǎo)性技術(shù)文件中所

IT;,

給出的指導(dǎo)將限于安全需求只對(duì)安全領(lǐng)域提供相應(yīng)的指導(dǎo)并不期望這一指導(dǎo)對(duì)一般的質(zhì)量

IT。IT,

管理評(píng)估或符合性具有指導(dǎo)意義

、IT。

Ⅳ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第1部分綜述和框架

:

1范圍

11意圖

.

的本部分的意圖是以一種能使遞增地獲得交付件安全功能確信度的方式按照一般

GB/Z29830,,

生存周期模型介紹交付件的安全保障方法聯(lián)系及其分類

,、。

12途徑

.

本部分通篇采用的途徑是通過標(biāo)識(shí)各種不同保障途徑和保障階段的框架概述了一些所需要的基

,,

本概念和術(shù)語(yǔ)以便理解并應(yīng)用其中所涉及的保障方法

,。

13應(yīng)用

.

本指導(dǎo)性技術(shù)文件的第部分和第部分通過運(yùn)用本部分有關(guān)保障方法的分類指導(dǎo)讀者針對(duì)一

23,

個(gè)給定的交付件選擇合適的保障方法以及可能的組合

,。

14適用領(lǐng)域

.

本部分給出保障方法的分類指導(dǎo)其中包括一些不是信息安全領(lǐng)域所特有的保障方法在必要時(shí)

,。,

該標(biāo)準(zhǔn)可用于安全之外的一些領(lǐng)域

IT。

15限制性

.

本部分僅適用于交付件參考及其相關(guān)組織信息安全問題

(4.3)。

2術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件

。

注為支持本部分中的安全保障模型給出的術(shù)語(yǔ)和定義盡可能具有一般性保障模型要適用于范圍寬泛的保障

:,。

途徑這就要求不能把特定的術(shù)語(yǔ)應(yīng)用于范圍寬泛的保障途徑

,。

為了滿足一些可用的保障途徑已存在大量的保障術(shù)語(yǔ)因此為一個(gè)通用的保障模型定義術(shù)語(yǔ)是一項(xiàng)困難的任務(wù)

,,,。

另外在現(xiàn)有的術(shù)語(yǔ)中相似的術(shù)語(yǔ)具有不同的定義