ICS35040

L80.

中華人民共和國國家標準化指導性技術文件

GB/Z298301—2013/ISO/IECTR15443-12005

.:

信息技術安全技術

信息技術安全保障框架

第1部分綜述和框架

:

Informationtechnology—Securitytechnology—Aframeworkfor

ITsecuritassurance—Part1Overviewandframework

y:

(ISO/IECTR15443-1:2005,IDT)

2013-11-12發布2014-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

中華人民共和國

國家標準化指導性技術文件

信息技術安全技術

信息技術安全保障框架

第1部分綜述和框架

:

GB/Z29830.1—2013/ISO/IECTR15443-1:2005

*

中國標準出版社出版發行

北京市朝陽區和平里西街甲號

2(100029)

北京市西城區三里河北街號

16(100045)

網址

:

服務熱線

:400-168-0010

年月第一版

20144

*

書號

:155066·1-48740

版權專有侵權必究

GB/Z298301—2013/ISO/IECTR15443-12005

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

途徑

1.2…………………1

應用

1.3…………………1

適用領域

1.4……………1

限制性

1.5………………1

術語和定義

2………………1

縮略語

3……………………5

概念

4………………………6

為什么需要保障

4.1……………………6

保障與信心的區別

4.2…………………6

什么是交付件

4.3………………………7

利益攸關方

4.4…………………………7

保障需求

4.5……………8

保障方法對安全的適用性

4.6IT………………………8

保障模式

4.7……………9

保障風險量化與機制增強

4.8…………9

保障減少安全風險

4.9…………………9

量化保障

4.10……………9

選擇安全保障

5……………10

保障需求描述

5.1………………………10

經濟方面

5.2……………11

組織方面

5.3……………11

保障類型

5.4……………12

技術方面

5.5……………12

優化方面的考慮

5.6……………………13

框架

6………………………13

保障途徑

6.1……………13

保障方法

6.2……………13

生存周期方面

6.3………………………14

正確性保障與有效性保障

6.4…………15

保障方法分類

6.5………………………15

組合保障

6.6……………16

保障評定

6.7……………17

Ⅰ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

參考文獻

……………………18

圖保障方法與一個簡化的典型的生存周期階段的關系

1……………15

圖現有保障方法的分類

2………………16

表保障方法示例

1………………………14

Ⅱ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

前言

信息技術安全技術信息技術安全保障框架分為以下個部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298301。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術安全技術信息技術安全保

ISO/IECTR15443-1:2005《

障框架第部分綜述和框架

1:》。

本部分做了如下編輯性修改

:

國際標準與為重復性內容轉標時刪除

———2.92.16,2.16。

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分主要起草單位中國電子技術標準化研究院

:。

本部分主要起草人羅鋒盈張明天王延鳴陳星楊建軍

:、、、、。

Ⅲ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

引言

本指導性技術文件的目的是為了獲得一個給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導信息安全專業人員如何選擇一個合適的保障方法或組合一些方法這一

,()。

報告審視了不同類型組織所提出的保障方法和途徑包括已批準的標準和事實標準

,。

為了達到這一目的本指導性技術文件由以下個方面內容組成

,7:

一個框架模型用于定位現有的保障方法并給出它們之間的關系

a),;

一組保障方法以及對它們的描述和引用

b);

特定保障方法的共性和個性的表達

c);

現有保障方法的定性比較其中盡可能進行定量比較

d),;

與當前保障方法關聯的保障模式的標識

e);

不同保障方法之間關系的描述以及

f);

有關保障方法的應用組合和認知的指導

g)、。

本指導性技術文件由部分組成對保障途徑分析和相互間的關系處理如下

3,、:

第部分綜述和框架概述了一些基礎性概念例如保障保障框架等并給出了安全保障方法的

1:。,、,

一般性描述其目的是幫助理解本指導性技術文件的第部分和第部分內容第部分針對信息安

。23。1

全管理人員和其他人員其中包括負責開發安全保障程序確定他們的交付件的安全保障參加安全評

,、、

估審計或參加其他保障活動的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認的事實上被認可的或標準的并把這些保障方法與第部分的保障模型關聯起來重

、;1。

點是識別對保障有影響的保障方法的定性特征在可能的地方還將定義保障級別該材料面向安

,,。IT

全專業人員幫助理解如何在產品或服務的特定的生存周期階段中獲得保障

,。

使用定義在中的術語和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個分析有助于保障機構在確定每

3:。。

一種保障途徑的相對值并確定保障途徑使這些途徑提供最適合于運行環境的具體上下文的需求的保

,

障結果而且這個分析還有助于保障機構運用保障方法的結果實現交付件所預想的確信度這部分

。,,。

材料面向的對象是那些必須選擇保障方法和保障途徑的安全專業人員

IT。

使用定義在中的術語和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應與一并使用

GB/Z29830.1—2013。

本指導性技術文件分析了一些可能不為安全所專有的保障方法然而在指導性技術文件中所

IT;,

給出的指導將限于安全需求只對安全領域提供相應的指導并不期望這一指導對一般的質量

IT。IT,

管理評估或符合性具有指導意義

、IT。

Ⅳ

GB/Z298301—2013/ISO/IECTR15443-12005

.:

信息技術安全技術

信息技術安全保障框架

第1部分綜述和框架

:

1范圍

11意圖

.

的本部分的意圖是以一種能使遞增地獲得交付件安全功能確信度的方式按照一般

GB/Z29830,,

生存周期模型介紹交付件的安全保障方法聯系及其分類

,、。

12途徑

.

本部分通篇采用的途徑是通過標識各種不同保障途徑和保障階段的框架概述了一些所需要的基

,,

本概念和術語以便理解并應用其中所涉及的保障方法

,。

13應用

.

本指導性技術文件的第部分和第部分通過運用本部分有關保障方法的分類指導讀者針對一

23,

個給定的交付件選擇合適的保障方法以及可能的組合

,。

14適用領域

.

本部分給出保障方法的分類指導其中包括一些不是信息安全領域所特有的保障方法在必要時

,。,

該標準可用于安全之外的一些領域

IT。

15限制性

.

本部分僅適用于交付件參考及其相關組織信息安全問題

(4.3)。

2術語和定義

下列術語和定義適用于本文件

。

注為支持本部分中的安全保障模型給出的術語和定義盡可能具有一般性保障模型要適用于范圍寬泛的保障

:,。

途徑這就要求不能把特定的術語應用于范圍寬泛的保障途徑

,。

為了滿足一些可用的保障途徑已存在大量的保障術語因此為一個通用的保障模型定義術語是一項困難的任務

,,,。

另外在現有的術語中相似的術語具有不同的定義