中国标准英文版 数据库收录: 159759 更新: 2024-05-05

[PDF] GB/T 20274.1-2023 - 自动发货. 英文版

标准搜索结果: 'GB/T 20274.1-2023'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 20274.1-2023 英文版 185 GB/T 20274.1-2023 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型 有效

基本信息
标准编号 GB/T 20274.1-2023 (GB/T20274.1-2023)
中文名称 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
英文名称 Information security technology -- Evaluation framework for information systems security assuresure -- Part 1: Introduction and general model
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.030
字数估计 15,123
发布日期 2023-03-17
实施日期 2023-10-01
旧标准 (被替代) GB/T 20274.1-2006
起草单位 中国信息安全测评中心、国家信息技术安全研究中心、国家计算机网络与信息安全管理中心、公安部第一研究所、国家工业信息安全发展研究中心、国家信息中心、吉林信息安全测评中心、四川省信息安全测评中心、广东省信息安全测评中心、陕西省网络与信息安全测评中心、中国南方电网有限责任公司、南方电网数字电网集团有限公司、昆仑数智科技有限公司、泰康保险集团股份有限公司、中国医学科学院北京协和医院、华润数科控股有限公司、四川大学、北京百度网讯科技有限公司、浪潮云信息技术股份公司、浙江木链物联网科技有限公司、杭州安恒信息技术股份有限
归口单位 全国信息安全标准化技术委员会(SAC/TC 260)
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 20274.1-2023: 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
GB/T 20274.1-2023 英文名称: Information security technology -- Evaluation framework for information systems security assuresure -- Part 1: Introduction and general model
中华人民共和国国家标准
代替GB/T 20274.1-2006
信息安全技术
信息系统安全保障评估框架
第1部分:简介和一般模型
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件给出了信息系统安全保障的基本概念和模型,提出了信息系统安全保障评估框架。
本文件适用于指导系统建设者、运营者、服务提供者和评估者等开展信息系统安全保障工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般
模型
GB/T 25069-2022 信息安全技术 术语
3 术语和定义
GB/T 25069-2022和GB/T 18336.1-2015中界定的以及下列术语和定义适用于本文件。
4 概述
与信息系统安全保障评估工作相关的相关方,一般包括信息系统建设者、信息系统运营者、服务提
供者和评估者等。
信息系统建设者包括规划、设计和工程实施人员。建设者参考通用描述语言、方法和结构,从信息
系统安全保障的技术、管理和工程领域来表达其信息系统安全保障要求。使用本文件能帮助建设者更
好地描述其信息系统安全需求,编制符合其运行环境要求的信息系统安全保障方案和规范等。建设者
可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,并根据评估结果,进一步完善和持
续改进其信息系统的安全保障能力。
信息系统运营者参考通用描述语言、方法和结构,从信息系统安全保障的技术和管理领域来表达其
信息系统安全保障要求。运营者能使用本文件同信息系统的建设者等相关人员进行更加有效的沟通和
相互理解。运营者可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,还可根据评估结
果,进一步完善和持续改进其信息系统的安全保障能力,获得其信息系统安全保障的信心。
服务提供者参考通用描述语言、方法和结构,从信息系统安全保障的技术、管理和工程领域来表达
相关的信息系统安全保障要求,并与系统运营者和建设者进行有效的沟通和项目实施。
评估者参考本文件来定义信息系统安全保障评估的内容,并依据定义的评估内容开展信息系统安
全保障评估工作。
5 信息系统安全保障模型和等级
5.1 保障概念
信息系统运行于特定的现实环境中,它从属某个组织,受到来自组织内部及外部环境的约束,因
此,信息系统的安全保障除了要在充分分析信息系统本身的技术、业务、管理等特性的基础上提出相应
的要求外,还要考虑这些约束条件产生的要求。
信息系统安全保障是针对信息系统在运行环境中所面临的各种风险,制定信息系统安全保障策
略,设计并实现信息系统安全保障架构或模型,采取工程、技术、管理等安全保障要素,将风险减少至预
定可接受的程度,从而保障其使命要求。保障策略是组织在对风险、资产和使命综合理解的基础上所作
出的指导性文件。保障策略的制定,反映了组织对信息系统安全保障及其目标的理解,它的制定和贯彻
执行对组织信息系统安全保障起着纲领性的指导作用。具体关系如图1所示。
5.2 保障模型
信息系统安全保障模型包含安全保障要素、生存周期和能力成熟度三个维度。安全保障要素是将
保障策略具化到技术、管理和工程等不同层面形成的保障要求。生存周期维度是强调安全保障要素的
识别要贯穿信息系统从规划组织、开发采购、实施交付、运行维护和废弃等生存周期阶段。信息系统安
全保障能力等级是在确保安全保障要素充分性的基础上,通过能力成熟度来评价信息系统安全保障能
力。信息系统安全保障模型如图2所示。
本模型主要特点为:
a) 强调信息系统安全保障要素的概念,信息系统的安全保障是通过综合技术、管理、工程的安全
保障要素来实施和实现信息系统的安全保障策略,通过对信息系统的技术、管理、工程要求的
评估,提供了对信息系统安全保障的信心;
b) 强调信息系统安全保障的持续发展的动态安全模型,即强调信息系统安全保障需要贯穿于整
个信息系统生存周期的全过程;
c) 通过能力成熟度等级来评价基于生存周期的过程安全保障要素的保障能力,从而达到保障组
织执行其使命的根本目的。
图2 信息系统安全保障模型
5.3 保障能力等级
信息系统安全保障能力等级包含两个维度的要素,第一个维度是依据风险评估选择的信息系统安
全保障要素(包含技术保障要求、管理保障要求和工程保障要求),这些安全保障要素的识别贯彻整个生
存周期过程,能将风险降低到可接受的程度(即保障对策的充分性)。第二个维度是安全保障要素被正
确实现的能力成熟度(即保障对策的正确性),如安全保障要素被实现的有序性、主动性、规范性、可量化
性、可持续性等方面的度量。两个维度相结合进行评估,能充分定义信息系统安全保障的信心程度,即
信息系统安全保障能力等级。
信息系统安全保障能力等级划分为五个等级,从低到高依次为:
a) 基本执行级:特征为随机、被动地实现基本实践,依赖个人经验,无法复制;
b) 计划跟踪级:特征为主动地实现了基本实践的计划与执行,但没有形成体系化;
c) 充分定义级:特征为基本实践的规范定义与执行;
d) 量化控制级:特征为建立了量化目标,基本实践的实现能进行度量与预测;
e) 持续优化级:特征为能根据组织的整体目标,不断改进和优化实现基本实践。
6 信息系统安全保障要素
6.1 信息系统安全保障要素的结构
安全保障要素根据安全技术、安全管理和安全工程领域的不同,分为安全技术保障要求、安全管理
保障要求和安全工程保障要求。安全保障要素使用“类-子类-组件”层次化的结构。用户应根据风险
评估的结果选择特定的安全保障要求。安全保障要素的不同结构之间的关系如图3所示。
图3 安全保障要素的结构
安全保障类是最通用的一组安全保障要求的组合,类的所有成员关注同一个安全问题,区别在于覆
盖不同的安全保障目的。根据安全保障要求所属领域的不同,分为安全技术保障类、安全管理保障类和
安全工程保障类。类的成员被称为子类。
安全保障子类是若干组安全保障要求的组合,这些要求针对同一个安全保障目的,但在强度和程度
上有所区别。安全技术保障类、安全管理保障类和安全工程保障类的子类分别为安全技术保障子类、安
全管理保障子类和安全工程保障子类。子类的成员被称为安全保障组件,每个安全保障子类由一个或
多个实现此安全保障目的的安全保障组件组成。
安全保障组件是描述一个明确的安全保障要求的集合,并且它是本文件定义的结构中所包含可选
的最小安全保障要求集合。安全保障组件是实现其安全保障子类的安全保障目的的信息安全保障具体
控制措施。根据安全保障要求所属领域的不同,分为安全技术保障组件、安全管理保障组件和安全工程
保障组件。安全保障组件由可选的安全保障元素组成。
安全保障组件是实现安全保障目的的信息安全保障具体控制措施,安全保障组件间的依赖和安全
保障组件允许的操作说明如下。
a) 安全保障组件间的依赖。
安全保障组件间可能存在依赖关系。当一个安全保障组件无法充分表达安全保障要求并且依
赖于另一个安全保障组件的存在时,依赖关系就产生了。依赖关系可能存在于安全技术保障、
安全管理保障和安全工程保障各自内部的组件之间,也可能存在于安全技术保障、安全管理保
障和安全工程保障的组件之间。
b) 安全保障组件允许的操作。
安全保障组件依据本文件中定义的那样使用,或者通过使用安全保障组件允许的操作对安全
保障组件进行裁剪,以满足特定的安全策略或对抗特定的威胁。安全保障组件说明并定义了
组件是否允许“赋值”和“选择”操作、在哪些情况下能对组件使用这些操作以及使用这些操作
的后果。任何安全保障组件都允许“反复”和“细化”操作。这四个操作如下所述:
1) 反复:在不同操作时,组件多次使用;
2) 赋值:当组件被应用时,规定所填入的参数;
3) 选择:从组件表中选定若干项;
4)细化:当组件被应用时,对组件增加细节。
6.2 信息系统安全保障要素的生成
6.2.1 安全保障要素生成过程
图4给出了确认信息系统安全保障要素的一种方法例证,通过它能引申出安全保障要素。提供的
例证并不限制生成信息系统安全保障要素具体的分析过程、开发方法、评估体制等。
6.2.2 确定信息系统
为明确信息系统的特定范畴,信息系统运营者或建设者应从管理体系、技术体系和业务体系等方面
进行分析和描述信息系统,进而识别相关的假设、威胁和组织安全策略等。
在管理体系中,应对信息系统现有的管理组织结构、所使用的相应规章制度和所涉及的重要资产进
行描述。
a) 组织描述:描述组织内同信息系统相关的管理/使用/开发/集成/支持等,特别是相关安全保障
管理的组织。
b) 管理制度、法规描述:列出同信息系统管理相关的目前使用的相应规章制度和相关法规。
c) 系统资产描述:描述信息系统的物理资产(指信息系统中的各种硬件和物理设施等)、软件资产
(应用软件和系统软件等)和信息资产(指在信息系统计划组织、开发采购、实施交付、运行维护
和废弃这一信息系统生存周期过程中产生的同信息系统本身相关的有价值的信息以及信息系
统所存储、处理和传输的各种相关的办公、管理和业务等信息)。
在技术体系中,应对现有的各种应用、相应的网络基础设施和所使用的技术标准进行描述。
业务体系从业务角度和应用角度出发,基于技术体系,对组织的主要业务应用应进行分类和描
述,并通过业务流程和业务信息流(描述主要业务应用的接口和相应数据流,数据流描述应包括数据的
类型以及数据传送的一般方式)来进一步解释。
6.2.3 确定安全环境
安全环境包括所有的明确相关的法律政策、组织的策略、物理环境,它定义了信息系统的运行环境。
为建立安全环境,信息系统运营者应分析这些因素。
关于假设、安全威胁、组织安全策略的描述应注意以下内容:
a) 对假设的陈述:如果环境满足该假定,信息系统被认为是安全的;
b) 安全威胁的陈述:指明信息系统相关的安全分析中发现的所有威胁。
注1:本文件使用威胁动机、假定的攻击方法、作为攻击基础的任何弱点和被攻击的资产名称等词汇描述一个威胁。
对安全风险的评估是通过给出每一种威胁实际发生的可能性、该威胁成功实施的可能性以及可能造成的被破
坏后果来实现的。
c) 组织安全策略的陈述:阐明相关的策略和规则。
注2:对特定的信息系统,可能明确提及这样的策略,然而对一般的信息系统,可能需要假设出组织的安全策略。
6.2.4 确定安全保障目的
环境安全性分析结果被用来阐明安全目的,对抗其所面临的威胁,并说明被认定的组织化的安全策
略和假设。安全保障目的应和已说明的信息系统运行的法律法规要求、组织环境要求和物理环境一致。
确定安全保障目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由信息系
统来处理,哪些由其环境来处理。这种归类基于工程判断、安全政策、经济因素和可接受的风险决策相
结合的过程。
6.2.5 确定安全保障要素
信息系统安全保障要素是将安全保障目的细化为一系列信息系统及其环境的安全保障要求,一旦
这些要求得到满足,就能保证信息系统达到它的安全保障目的。
应分别从安全技术领域的技术保障要求、安全管理领域的管理保障要求以及安全工程领域的工程
保障要求来提出安全保障要素。
7 信息系统安全保障评估框架
7.1 信息系统安全保障评估概念和关系
信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活
动进行客观的评估,通过信息系统安全保障评估所搜集的客观证据,向信息系统的所有相关方提供信息
系统的安全保障工作能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观
信心。信息系统安全保障评估的评估对象是信息系统,信息系统不仅包含了仅讨论技术的信息技术系
统,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的
过程,涉及信息系统整个生存周期,因此信息系统安全保障的评估也应提供一种动态持续的信心。
安全保障要素的充分识别及正确实施也是降低风险的一个重要前提。信息系统安全保障评估的概
念和关系如图5所示。
7.2 信息系统安全保障评估内容
在信息系统安全保障模型中,信息系统的生存周期层面和安全保障要素层面不是相互孤立的,而是
相互关联、密不可分的。它们之间的关系如图6所示。
图6 信息系统安全保障生存周期的安全保障要素
在信息系统生存周期模型中,将信息系统的整个生存周期抽象成规划组织、开发采购、实施交付、运
行维护和废弃五个阶段,并包含在运行维护阶段的变更产生的反馈,形成信息系统生存周期完整的闭环
结构。在信息系统的生存周期中的任何时间点,都应综合信息系统安全保障的技术、管理和工程等安全
保障要素对信息系统进行安全保障。
a) 规划组织阶段:由于组织的使命要求和业务要求产生了信息系统安全保障建设和使用的需求。
在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设的
开始应综合考虑系统的安全保障要素,使信息系统的建设和信息系统安全保障的建设同步规
划、同步建设和同步使用。
b) 开发采购阶段:此阶段是规划组织阶段的细化、深入和具体体现,在此阶段中,进行系统需求分
析、考虑系统运行的需求、进行系统体系的设计以及相关的预算申请和项目准备等管理活动。
在此阶段,应基于系统需求和风险、策略将信息系统安全保障作为一个整体进行系统体系的设
计和建设,以全局视野建立信息系统安全保障整体规划。组织根据具体要求,对系统整体的技
术、管理安全保障或设计进行评估,以保证对信息系统的整体规划满足组织的建设要求和相关
国家规定、行业准则和组织的其他要求。
c) 实施交付阶段:在此阶段,组织可通过对承建方进行安全服务资格要求和信息安全专业人员资
格要求以确保施工组织的服务能力;组织还可通过信息系统安全保障的工程保障对实施施工
过程进行监理和评估,最终确保所交付系统的安全性。
d) 运行维护阶段:信息系统进入运行维护阶段后,对信息系统的管理、运行维护和使用人员的能
力等方面进行综合保障,是信息系统得以安全正常运行的根本保证。信息系统投入运行后并
......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版