標準解讀

《GB/T 20274.1-2023 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第1部分:簡介和一般模型》相較于《GB/T 20274.1-2006 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第1部分:簡介和一般模型》,在內(nèi)容上進行了多方面的更新與調(diào)整,以適應(yīng)當前信息技術(shù)發(fā)展及信息安全的新形勢。這些變化主要包括但不限于以下幾個方面:

首先,在術(shù)語定義上,《GB/T 20274.1-2023》對一些關(guān)鍵概念進行了重新界定或補充說明,確保了標準中使用的專業(yè)詞匯更加準確、統(tǒng)一,有助于提高標準的理解性和執(zhí)行性。

其次,新版標準加強了對于信息系統(tǒng)安全保障評估方法論的描述,引入了更多現(xiàn)代化的安全保障理念和技術(shù)手段,比如風險評估、持續(xù)監(jiān)控等,并且詳細規(guī)定了如何根據(jù)組織的具體情況選擇合適的評估方法,從而使得整個評估過程更具針對性和有效性。

再者,《GB/T 20274.1-2023》還特別強調(diào)了安全控制措施的選擇與實施應(yīng)基于全面的風險管理視角,要求評估時不僅要考慮已知威脅,也要對未來可能出現(xiàn)的安全挑戰(zhàn)有所預(yù)見,這體現(xiàn)了標準制定者對于長期安全規(guī)劃的關(guān)注。

此外,新版標準增加了關(guān)于信息安全管理體系(ISMS)建設(shè)指導(dǎo)的內(nèi)容,鼓勵企業(yè)或機構(gòu)通過建立和完善自身的ISMS來提升整體的信息安全水平,同時也為那些希望獲得國際認證的企業(yè)提供了參考依據(jù)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-03-17 頒布
  • 2023-10-01 實施
?正版授權(quán)
GB/T 20274.1-2023信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第1頁
GB/T 20274.1-2023信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第2頁
GB/T 20274.1-2023信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第3頁
GB/T 20274.1-2023信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第4頁
GB/T 20274.1-2023信息安全技術(shù)信息系統(tǒng)安全保障評估框架第1部分:簡介和一般模型_第5頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T202741—2023

.

代替GB/T202741—2006

.

信息安全技術(shù)

信息系統(tǒng)安全保障評估框架

第1部分簡介和一般模型

:

Informationsecuritytechnology—

Evaluationframeworkforinformationsystemssecurityassuresure—

Part1Introductionandeneralmodel

:g

2023-03-17發(fā)布2023-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T202741—2023

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………1

信息系統(tǒng)安全保障模型和等級

5…………2

保障概念

5.1……………2

保障模型

5.2……………2

保障能力等級

5.3………………………3

信息系統(tǒng)安全保障要素

6…………………3

信息系統(tǒng)安全保障要素的結(jié)構(gòu)

6.1……………………3

信息系統(tǒng)安全保障要素的生成

6.2……………………5

信息系統(tǒng)安全保障評估框架

7……………6

信息系統(tǒng)安全保障評估概念和關(guān)系

7.1………………6

信息系統(tǒng)安全保障評估內(nèi)容

7.2………………………7

信息系統(tǒng)安全保障評估判定

7.3………………………8

參考文獻

………………………9

GB/T202741—2023

.

前言

本文件按照標準化工作導(dǎo)則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息安全技術(shù)信息系統(tǒng)安全保障評估框架的第部分

GB/T20274《》1。GB/T20274

已經(jīng)發(fā)布了以下部分

:

第部分簡介和一般模型

———1:;

第部分技術(shù)保障

———2:;

第部分管理保障

———3:;

第部分工程保障

———4:。

本文件代替信息安全技術(shù)信息系統(tǒng)安全保障評估框架第部分簡介

GB/T20274.1—2006《1:

和一般模型與相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

》,GB/T20274.1—2006,,:

刪除了不適用界限見年版的第章

a)(20061);

更改了信息系統(tǒng)和信息系統(tǒng)安全保障的定義刪除了其他術(shù)語增加了組織安全策略術(shù)

b)“”“”,,“”

語和定義刪除了縮略語見第章年版的和

,(3,20063.13.2);

更改了目標讀者的描述見第章年版的

c)(4,20064.2);

刪除了評估上下文和信息系統(tǒng)安全保障評估框架的文檔結(jié)構(gòu)見年版的和

d)“”“”(20064.34.4);

將一般模型更改為信息系統(tǒng)安全保障模型和等級增加了保障能力等級概念見第

e)“”“”,(5

章年版的和

,20065.15.2);

將信息系統(tǒng)安全保障描述材料更改為信息系統(tǒng)安全保障要素刪除了和的內(nèi)

f)“”“”,ISPPISST

容見第章年版的

(6,20065.5);

刪除了信息安全整體和應(yīng)用和安全保障要求的使用見年版的和

g)“”“”(20065.3.45.5.3);

更改了信息系統(tǒng)安全保障評估概念和關(guān)系的圖表及文字描述見年版的

h)“”(7.1,20065.3.2);

將在信息系統(tǒng)生命周期中的安全保障更改為信息系統(tǒng)安全保障評估內(nèi)容見年

i)“”“”(7.2,2006

版的

5.2.2.2);

更改了信息系統(tǒng)安全保障評估內(nèi)容的文字描述和圖表內(nèi)容見年版的

j)“”(7.2,20065.3.3);

將信息系統(tǒng)安全保障評估和評估結(jié)果更改為信息系統(tǒng)安全保障評估判定刪除了有關(guān)

k)“”“”,

和相關(guān)的內(nèi)容增加了評估準則和保障等級判定要求見年版的第

ISPPISST,(7.3,20066

)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國信息安全測評中心國家信息技術(shù)安全研究中心國家計算機網(wǎng)絡(luò)與信息安

:、、

全管理中心公安部第一研究所國家工業(yè)信息安全發(fā)展研究中心國家信息中心吉林信息安全測評中

、、、、

心四川省信息安全測評中心廣東省信息安全測評中心陜西省網(wǎng)絡(luò)與信息安全測評中心中國南方電

、、、、

網(wǎng)有限責任公司南方電網(wǎng)數(shù)字電網(wǎng)集團有限公司昆侖數(shù)智科技有限公司泰康保險集團股份有限公

、、、

司中國醫(yī)學(xué)科學(xué)院北京協(xié)和醫(yī)院華潤數(shù)科控股有限公司四川大學(xué)北京百度網(wǎng)訊科技有限公司浪

、、、、、

潮云信息技術(shù)股份公司浙江木鏈物聯(lián)網(wǎng)科技有限公司杭州安恒信息技術(shù)股份有限公司沈陽東軟系

、、、

統(tǒng)集成工程有限公司啟明星辰信息技術(shù)集團股份有限公司北京神州綠盟科技有限公司鼎鉉商用密

、、、

碼測評技術(shù)深圳有限公司中國電子科技網(wǎng)絡(luò)信息安全有限公司山西軒轅信息安全技術(shù)有限公司

()、、。

本文件主要起草人任望邸麗清江常青李斌徐秋伊梁智溢張普含杜宇鴿宋璟謝豐彭勇

:、、、、、、、、、、、

GB/T202741—2023

.

孟曉陽郭昊劉占豐昌彥偉龐智梁偉宮月王丹琛張曉娜陳禹高強李秋香史大為陳永剛

、、、、、、、、、、、、、、

趙增振于盟張格潘承亞楊天識陶蓉呂華輝明哲滕征岑劉磊陳靚萬娟卿粼波王美玲

、、、、、、、、、、、、、、

郭賓王文佳趙呈東朱衛(wèi)國張敏王海棠唐曉莉鮑捷李濱丞趙少飛譚銳能李智林葉建偉

、、、、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2006GB/T20274.1—2006;

本次為第一次修訂

———。

GB/T202741—2023

.

引言

信息安全技術(shù)信息系統(tǒng)安全保障評估框架以信息技術(shù)安全技術(shù)

GB/T20274《》GB/T18336《

信息技術(shù)安全評估準則為基礎(chǔ)從產(chǎn)品擴展到信息技術(shù)系統(tǒng)并進一步同其他國內(nèi)外信息系統(tǒng)安全

》,,

領(lǐng)域的標準和規(guī)范進行結(jié)合擴展和補充以形成描述和評估信息系統(tǒng)安全保障內(nèi)容和能力的通用框

,,

架是指導(dǎo)信息系統(tǒng)安全保障評估的基礎(chǔ)性和框架性標準為從事信息系統(tǒng)安全保障工

。GB/T20274,

作的所有相關(guān)方包括設(shè)計開發(fā)者工程實施者評估者認證認可者等提供一種標準化規(guī)范化的通用

(,、)、

描述語言結(jié)構(gòu)和方法旨在給出信息系統(tǒng)安全保障的基本概念和模型確立在技術(shù)管

、。GB/T20274,、

理和工程方面的安全保障要求和能力等級要求由四個部分構(gòu)成

,。

第部分簡介和一般模型目的在于給出信息系統(tǒng)安全保障的基本概念和模型提出信息系

———1:。,

統(tǒng)安全保障評估的框架

。

第部分技術(shù)保障目的在于確立信息系統(tǒng)在技術(shù)方面的安全保障基本要求及相應(yīng)的能力

———2:。

等級要求

。

第部分管理保障目的在于確立信息系統(tǒng)在管理方面的安全保障基本要求及相應(yīng)的能力

———3:。

等級要求

。

第部分工程保障目的在于確立信息系統(tǒng)在工程方面的安全保障基本要求及相應(yīng)的能力

———4:。

等級要求

GB/T202741—2023

.

信息安全技術(shù)

信息系統(tǒng)安全保障評估框架

第1部分簡介和一般模型

:

1范圍

本文件給出了信息系統(tǒng)安全保障的基本概念和模型提出了信息系統(tǒng)安全保障評估框架

,。

本文件適用于指導(dǎo)系統(tǒng)建設(shè)者運營者服務(wù)提供者和評估者等開展信息系統(tǒng)安全保障工作

、、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則第部分簡介和一般

GB/T18336.1—20151:

模型

信息安全技術(shù)術(shù)語

GB/T25069—2022

3術(shù)語和定義

和中

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論