GB/T 20274.1-2023 英文版 信息安全技术 信息系统安全保障评估框架 第1部分
GB/T 20274.1-2023 英文版 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
GB/T 20274.1-2023 英文版
前言
本文件按照GB/T 1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是GB/T 20274《信息安全技术信息系统安全保障评估框架》的第1部分。GB/T 20274已经发布了以下部分:
第1部分:简介和一般模型;
第2部分:技术保障;
第3部分:管理保障:
第4部分:工程保障
本文件代替GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第1部分简和一般模型》,与GB/T 20274.1-2006相比,除结构调整和编辑性改动外,要技术变化如下:
a)删除了不适用界限(见2006年版的第1章)
b)更改了“信息系统”和“信息系统安全保障”的定义,删除了其他术语,增加了“组织安全策略”术语和定义,删除了缩略语(见第3章2006年版的31和3.2);
C)更改了目标读者的描述(见第4章,2006年版的4.2):
d)删除了“评估上下文”和“信息系统安全保障评估框架的文档结构”(见2006年版的4.3和4.4)e)将“一般模型”更改为“信息系统安全保障模型和等级”,增加了保障能力等级概念(见第5章,2006年版的5.1和5.2):
0将“信息系统安全保障描述材料”更改为“信息系统安全保障要素”,删除了ISPP和SST的内容(见第6章,2006年版的5.5);
g)删除了“信息安全整体和应用”和“安全保障要求的使用”(见2006年版的5.3.4和5.5.3);6更改了“信息系统安全保障评估概念和关系”的图表及文字描述(见7,1,2006年版的5.3.2);o将“在信息系统生命周期中的安全保障”更改为“信息系统安全保障评估内容”(见7.2,2006年版的5.2.2.2);
更改了“信息系统安全保障评估内容”的文字描述和图表内容(见7.2,2006年版的5.3.3);
将“信息系统安全保障评估和评估结果”更改为“信息系统安全保障评估判定”,删除了有关ISPP和ISST相关的内容,增加了评估准则和保障等级判定要求(见7.3,2006年版的第6章)请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任
引言
GB/T 20274《信息安全技术信息系统安全保障评估框架》以GB/T 18336《信息技术安全技术信息技术安全评估准则》为基础,从产品扩展到信息技术系统,并进一步同其他国内外信息系统安全领域的标准和规范进行结合,扩展和补充,以形成描述和评估信息系统安全保障内容和能力的通用框架。GB/T 20274是指导信息系统安全保障评估的基础性和框架性标准,为从事信息系统安全保障工作的所有相关方(包括设计开发者工程实施者,评估者、认证认可者等)提供一种标准化、规范化的通用描述语言、结构和方法。GB/T 20274旨在给出信息系统安全保障的基本概念和模型,确立在技术、管理和工程方面的安全保障要求和能力等级要求,由四个部分构成。第1部分:简介和一般模型。目的在于给出信息系统安全保障的基本概念和模型,提出信息系统安全保障评估的框架。
第2部分:技术保障。目的在于确立信息系统在技术方面的安全保障基本要求及相应的能力等级要求。
第3部分:管理保障。目的在于确立信息系统在管理方面的安全保障基本要求及相应的能力等级要求。
第4部分:工程保障。目的在于确立信息系统在工程方面的安全保障基本要求及相应的能力等级要求。
1范围
本文件给出了信息系统安全保障的基本概念和模型,提出了信息系统安全保障评估框架本文件适用于指导系统建设者、运营者、服务提供者和评估者等开展信息系统安全保障工作。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型术语
GB/T 25069-2022信息安全技术
3术语和定义
GB/T 25069-2022和GB/T 18336.1-2015中界定的以及下列术语和定义适用于本文件。
4概述
与信息系统安全保障评估工作相关的相关方,一般包括信息系统建设者、信息系统运营者、服务提供者和评估者等。信息系统建设者包括规划、设计和工程实施人员。建设者参考通用描述语言、方法和结构,从信息系统安全保障的技术,管理和工程领域来表达其信息系统安全保障要求。使用本文件能帮助建设者更好地描述其信息系统安全需求,编制符合其运行环境要求的信息系统安全保障方案和规范等。建设者可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,并根据评估结果,进一步完善和持续改进其信息系统的安全保障能力。
信息系统运营者参考通用描述语言、方法和结构,从信息系统安全保障的技术和管理领域来表达其信息系统安全保障要求。运营者能使用本文件同信息系统的建设者等相关人员进行更加有效的沟通和相互理解。运营者可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,还可根据评估结果,进一步完善和持续改进其信息系统的安全保障能力,获得其信息系统安全保障的信心。
服务提供者参考通用描述语言、方法和结构,从信息系统安全保障的技术、管理和工程领域来表达相关的信息系统安全保障要求,并与系统运营者和建设者进行有效的沟通和项目实施。
评估者参考本文件来定义信息系统安全保障评估的内容,并依据定义的评估内容开展信息系统安全保障评估工作。
5信息系统安全保障模型和等级
6信息系统安全保障要素
6.1信息系统安全保障要素的结构
安全保障要素根据安全技术、安全管理和安全工程领域的不同,分为安全技术保障要求、安全管理保障要求和安全工程保障要求。安全保障要素使用“类一子类一组件”层次化的结构。用户应根据风险评估的结果选择特定的安全保障要求。安全保障要素的不同结构之间的关系如图3所示。
7信息系统安全保障评估框架
7.1信息系统安全保障评估概念和关系
信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估,通过信息系统安全保障评估所搜集的客观证据,向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是信息系统,信息系统不仅包含了仅讨论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程,涉及信息系统整个生存周期,因此信息系统安全保障的评估也应提供一种动态持续的信心。安全保障要素的充分识别及正确实施也是降低风险的一个重要前提。信息系统安全保障评估的概念和关系如图5所示。
7.2信息系统安全保障评估内容
在信息系统安全保障模型中,信息系统的生存周期层面和安全保障要素层面不是相互孤立的,而是相互关联、密不可分的。它们之间的关系如图6所示
7.3信息系统安全保障评估判定
信息系统安全保障能力等级通过信息系统安全保障评估进行判定。在评估信息系统时,评估者应说明:
信息系统所具备的安全保障要素是否具备充分性,能将面临的风险控制在可接受的范围内;a)
b)信息系统所具备的安全保障要素是否被正确地设计和实现,并判定相应的等级。评估者宜针对信息系统的工程保障、技术保障和管理保障三个层面独立进行评估,并给出相应评估结论。针对信息系统整体的评估,应综合工程、技术和管理三个层面的评估结果,三个层面中的最低保障能力等级作为整体信息系统的评估结果。
参考文献
