路径: 主页 > GB > 第60页 > GBZ29830.1-2013 | 标准编号 | GB/Z 29830.1-2013 (GB/Z29830.1-2013) | | 中文名称 | 信息技术 安全技术 信息技术安全保障框架 第1部分:综述和框架 | | 英文名称 | Information technology -- Security technology -- A framework for IT security assurance -- Part 1: Overview and framework | | 行业 | 国家标准 | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 24,217 | | 采用标准 | ISO/IEC TR 15443-1-2005, IDT | | 标准依据 | 国家标准公告2013年第22号 | | 发布机构 | 中华人民共和国卫生部 | | 范围 | GB/Z 29830的本部分的意图是, 以一种能使递增地获得交付件安全功能确信度的方式, 按照一般生存周期模型, 介绍交付件的安全保障方法、联系及其分类。 | GB/Z 29830.1-2013
Information technology.Security technology.A framework for IT security assurance.Part 1.Overview and framework
ICS 35.040
L80
中华人民共和国国家标准化指导性技术文件
信息技术 安全技术
信息技术安全保障框架
第1部分.综述和框架
(ISO/IEC TR15443-1.2005,IDT)
2013-11-12发布
2014-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
1.1 意图 1
1.2 途径 1
1.3 应用 1
1.4 适用领域 1
1.5 限制性 1
2 术语和定义 1
3 缩略语 5
4 概念 6
4.1 为什么需要保障 6
4.2 保障与信心的区别 6
4.3 什么是交付件 7
4.4 利益攸关方 7
4.5 保障需求 8
4.6 保障方法对IT安全的适用性 8
4.7 保障模式 9
4.8 保障风险量化与机制增强 9
4.9 保障减少安全风险 9
4.10 量化保障 9
5 选择安全保障 10
5.1 保障需求描述 10
5.2 经济方面 11
5.3 组织方面 11
5.4 保障类型 12
5.5 技术方面 12
5.6 优化方面的考虑 13
6 框架 13
6.1 保障途径 13
6.2 保障方法 13
6.3 生存周期方面 14
6.4 正确性保障与有效性保障 15
6.5 保障方法分类 15
6.6 组合保障 16
6.7 保障评定 17
参考文献 18
图1 保障方法与一个简化的典型的生存周期阶段的关系 15
图2 现有保障方法的分类 16
表1 保障方法示例 14
前言
GB/Z 29830《信息技术 安全技术 信息技术安全保障框架》分为以下3个部分.
---第1部分.综述和框架;
---第2部分.保障方法;
---第3部分.保障方法分析。
本部分为GB/Z 29830的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分采用翻译法等同采用ISO/IEC TR15443-1.2005《信息技术 安全技术 信息技术安全保
障框架 第1部分.综述和框架》。
本部分做了如下编辑性修改.
---国际标准2.9与2.16为重复性内容,转标时删除2.16。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分主要起草单位.中国电子技术标准化研究院。
本部分主要起草人.罗锋盈、张明天、王延鸣、陈星、杨建军。
引 言
本指导性技术文件的目的是,为了获得一个给定交付件满足其所指出的信息安全保障需求的信心,
给出各种保障方法,并指导信息安全专业人员如何选择一个合适的保障方法(或组合一些方法)。这一
报告审视了不同类型组织所提出的保障方法和途径,包括已批准的标准和事实标准。
为了达到这一目的,本指导性技术文件由以下7个方面内容组成.
a) 一个框架模型,用于定位现有的保障方法并给出它们之间的关系;
b) 一组保障方法以及对它们的描述和引用;
c) 特定保障方法的共性和个性的表达;
d) 现有保障方法的定性比较,其中尽可能进行定量比较;
e) 与当前保障方法关联的保障模式的标识;
f) 不同保障方法之间关系的描述;以及
g) 有关保障方法的应用、组合和认知的指导。
本指导性技术文件由3部分组成,对保障途径、分析和相互间的关系处理如下.
第1部分.综述和框架。概述了一些基础性概念,例如保障、保障框架等,并给出了安全保障方法的
一般性描述。其目的是帮助理解本指导性技术文件的第2部分和第3部分内容。第1部分针对信息安
全管理人员和其他人员,其中包括负责开发安全保障程序、确定他们的交付件的安全保障、参加安全评
估审计或参加其他保障活动的人员。
第2部分.保障方法。描述由不同类型的组织提出和使用的各种IT安全保障方法和途径,不论它
们是被一般公认的、事实上被认可的或标准的;并把这些保障方法与第1部分的保障模型关联起来。重
点是识别对保障有影响的保障方法的定性特征,在可能的地方,还将定义保障级别。该材料面向IT安
全专业人员,帮助理解如何在产品或服务的特定的生存周期阶段中获得保障。
第3部分.保障方法分析。分析了各种保障方法的保障特征。这个分析有助于保障机构在确定每
一种保障途径的相对值并确定保障途径,使这些途径提供最适合于运行环境的具体上下文的需求的保
障结果。而且,这个分析还有助于保障机构运用保障方法的结果,实现交付件所预想的确信度。这部分
材料面向的对象是那些必须选择保障方法和保障途径的IT安全专业人员。
本指导性技术文件分析了一些可能不为IT安全所专有的保障方法;然而,在指导性技术文件中所
给出的指导将限于IT安全需求。只对IT安全领域提供相应的指导,并不期望这一指导对一般的质量
管理、评估或IT符合性具有指导意义。
信息技术 安全技术
信息技术安全保障框架
第1部分.综述和框架
1 范围
1.1 意图
GB/Z 29830的本部分的意图是,以一种能使递增地获得交付件安全功能确信度的方式,按照一般
生存周期模型,介绍交付件的安全保障方法、联系及其分类。
1.2 途径
本部分通篇采用的途径是,通过标识各种不同保障途径和保障阶段的框架,概述了一些所需要的基
本概念和术语,以便理解并应用其中所涉及的保障方法。
1.3 应用
本指导性技术文件的第2部分和第3部分通过运用本部分有关保障方法的分类,指导读者针对一
个给定的交付件,选择合适的保障方法以及可能的组合。
1.4 适用领域
本部分给出保障方法的分类指导,其中包括一些不是信息安全领域所特有的保障方法。在必要时,
该标准可用于IT安全之外的一些领域。
1.5 限制性
本部分仅适用于交付件(参考4.3)及其相关组织信息安全问题。
2 术语和定义
下列术语和定义适用于本文件。
注.为支持本部分中的安全保障模型,给出的术语和定义尽可能具有一般性。保障模型要适用于范围宽泛的保障
途径,这就要求不能把特定的术语应用于范围宽泛的保障途径。
为了满足一些可用的保障途径,已存在大量的保障术语,因此,为一个通用的保障模型定义术语是一项困难的任务。
另外在现有的术语中,相似的术语具有不同的定义,并且许多术语是专为一些特定保障途径而定义的,因此为保障模型
构建一个一般化的语言十分困难。面对这些困难,为了确保保障框架的固有特性,并为了适用于大量、广泛的保障方法,
本指导性技术文件精心给出了术语和定义。特别地,为了保持与ISO/IEC 15408第1~3部分和ISO 9000系列标准的
一致性,尽可能地采用相关的ISO 标准。
接下来的一个困难是如何处理同一术语有多个定义,以及如何处理那些由于其一般性含义对保障模型不够充分而
没有使用的定义。......
|