ICS35040

L80.

中華人民共和國國家標準

GB/T30270—2013/ISO/IEC180452005

:

信息技術安全技術

信息技術安全性評估方法

Informationtechnology—Securitytechnology—

MethodologyforITsecurityevaluation

(ISO/IEC18045:2005,IDT)

2013-12-31發布2014-07-15實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T30270—2013/ISO/IEC180452005

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

概述

5………………………3

文檔約定

6…………………3

行文方式

6.1……………3

動詞用法

6.2……………3

通用評估指南

6.3………………………4

和本標準結構間的關系

6.4ISO/IEC15408…………4

評估者裁定

6.5…………………………4

通用評估任務

7……………5

簡介

7.1…………………5

評估輸入任務

7.2………………………5

評估輸出任務

7.3………………………7

保護輪廓評估

8……………12

簡介

8.1…………………12

評估相互關系

8.2PP…………………12

評估活動

8.3PP………………………12

類安全目標評估

9ASE:…………………28

簡介

9.1…………………28

評估相互關系

9.2ST…………………28

評估活動

9.3ST………………………29

評估

10EAL1……………50

簡介

10.1………………50

目的

10.2………………50

評估相互關系

10.3EAL1……………50

配置管理活動

10.4……………………50

交付和運行活動

10.5…………………51

開發活動

10.6…………………………52

指導性文檔活動

10.7…………………56

測試活動

10.8…………………………60

評估

11EAL2……………63

Ⅰ

GB/T30270—2013/ISO/IEC180452005

:

簡介

11.1………………63

目的

11.2………………64

評估相互關系

11.3EAL2……………64

配置管理活動

11.4……………………64

交付和運行活動

11.5…………………66

開發活動

11.6…………………………68

指導性文檔活動

11.7…………………74

測試活動

11.8…………………………78

脆弱性評定活動

11.9…………………87

評估

12EAL3……………94

簡介

12.1………………94

目的

12.2………………94

評估相互關系

12.3EAL3……………94

配置管理活動

12.4……………………94

交付和運行活動

12.5…………………98

開發活動

12.6…………………………100

指導性文檔活動

12.7…………………107

生命周期支持活動

12.8………………112

測試活動

12.9…………………………114

脆弱性評定活動

12.10………………126

評估

13EAL4……………134

簡介

13.1………………134

目的

13.2………………134

評估相互關系

13.3EAL4……………135

配置管理活動

13.4……………………135

交付和運行活動

13.5…………………141

開發活動

13.6…………………………144

指導性文檔活動

13.7…………………159

生命周期支持活動

13.8………………163

測試活動

13.9…………………………167

脆弱性評定活動

13.10………………179

缺陷糾正子活動

14………………………193

缺陷糾正評估

14.1(ALC_FLR.1)…………………193

缺陷糾正評估

14.2(ALC_FLR.2)…………………194

缺陷糾正評估

14.3(ALC_FLR.3)…………………197

附錄規范性附錄通用評估指南

A()…………………202

Ⅱ

GB/T30270—2013/ISO/IEC180452005

:

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準采用翻譯法等同采用國際標準信息技術安全技術信息技術安全

ISO/IEC18045:2005《

性評估方法

》。

與本標準中規范性引用的國際文件有一致性對應關系的我國文件如下

:

信息技術安全技術信息技術安全性評估準則

———GB/T18336—2008(ISO/IEC15408:

2005,IDT)。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位中國信息安全測評中心吉林信息安全測評中心華中信息安全測評中心

:、、。

本標準主要起草人李守鵬吳世忠黃元飛李斌劉暉劉春明郭穎付敏譚運猛徐長醒

:、、、、、、、、、、

宋小龍簡余良郭濤甘杰夫張寶峰石竑松楊永生畢海英高金萍王峰李鳳娟唐喜慶曾華春

、、、、、、、、、、、、。

Ⅲ

GB/T30270—2013/ISO/IEC180452005

:

引言

本標準提出的信息技術安全性評估方法僅限于對中定義的評

(IT)ISO/IEC15408EAL1~EAL4

估不提供及其他保證包的評估指南

,EAL5~EAL7。

本標準的讀者對象主要是采用的評估者和確認評估者行為的認證者以及評估發

ISO/IEC15408,

起者開發者作者和其他對安全感興趣的團體

、、PP/STIT。

本標準并不能解決所有有關安全評估的問題有些問題還需要進一步的解釋這些解釋將由

IT,。

各評估體制決定如何處理即便它們要遵從多方互認協議可以由各體制處理的評估方法相關活動列

,。

表見附錄

A。

本標準提出了依據信息技術安全技術信息技術安全性評估準則進行信息技

ISO/IEC15408《》

術安全評估時的評估方法是的配套標準

,ISO/IEC15408。

Ⅳ

GB/T30270—2013/ISO/IEC180452005

:

信息技術安全技術

信息技術安全性評估方法

1范圍

本標準描述了在采用信息技術安全技術信息技術安全性評估準則所定義的

ISO/IEC15408《》

準則和評估證據進行評估時評估者應執行的最小行為集是的配套標準

,,ISO/IEC15408。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改版適用于本文件

。,()。

所有部分信息技術安全技術信息技術安全性評估準則

I