搜索结果: GB/T 18336.4-2024, GB/T18336.4-2024, GBT 18336.4-2024, GBT18336.4-2024
| 标准编号 | GB/T 18336.4-2024 (GB/T18336.4-2024) | | 中文名称 | 网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架 | | 英文名称 | Cybersecurity technology - Evaluation criteria for IT security - Part 4: Framework for specification of evaluation methods and activities | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 26,273 | | 发布日期 | 2024-04-25 | | 实施日期 | 2024-11-01 | | 旧标准 (被替代) | GB/T 18336.3-2015 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 18336.4-2024: 网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架
ICS 35.030
CCSL80
中华人民共和国国家标准
部分代替GB/T 18336.3-2015
网络安全技术 信息技术安全评估准则
第4部分:评估方法和活动的规范框架
2024-04-25发布
2024-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅴ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 评估方法和评估活动的一般模型 2
4.1 概念和模型 2
4.2 用派生方法制定评估方法和评估活动 3
4.3 评估方法和评估活动描述中的动词用法 5
4.4 评估方法和评估活动的描述公约 5
5 评估方法的结构 5
5.1 概述 5
5.2 评估方法的规范 6
6 评估活动的结构 10
6.1 概述 10
6.2 评估活动的说明 11
附录NA(资料性) 缩略语 14
参考文献 15
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是GB/T 18336《网络安全技术 信息技术安全评估准则》的第4部分。GB/T 18336已经
发布以下部分:
---第1部分:简介和一般模型;
---第2部分:安全功能组件;
---第3部分:安全保障组件;
---第4部分:评估方法和活动的规范框架;
---第5部分:预定义的安全要求包。
本文件和GB/T 18336.3-2024《网络安全技术 信息技术安全评估准则 第3部分:安全保障组
件》、GB/T 18336.5-2024《信息安全技术 网络技术安全评估准则 第5部分:预定义的安全要求包》
共同代替GB/T 18336.3-2015《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障
组件》。
本文件部分代替GB/T 18336.3-2015《网络技术 安全技术 信息技术安全评估准则 第3部
分:安全保障组件》。与GB/T 18336.3-2015相比,除结构调整和编辑性改动外,主要技术变化如下:
---增加了评估方法和评估活动的一般模型(见第4章);
---删除了保障范型(见GB/T 18336.3-2015年版的第5章);
---删除了安全保障组件(见GB/T 18336.3-2015年版的第6章);
---增加了评估方法的结构(见第5章);
---增加了评估活动的结构(见第6章);
---删除了评估保障级(见GB/T 18336.3-2015年版的第7章);
---删除了组合保障包(见GB/T 18336.3-2015年版的第8章);
---删除了APE类:保障轮廓评估(见GB/T 18336.3-2015年版的第9章);
---删除了ASE类:安全目标评估(见GB/T 18336.3-2015年版的第10章);
---删除了ADV类:开发(见GB/T 18336.3-2015年版的第11章);
---删除了AGD类:指导性文档(见GB/T 18336.3-2015年版的第12章);
---删除了ALC类:生命周期支持(见GB/T 18336.3-2015年版的第13章);
---删除了ATE类:测试(见GB/T 18336.3-2015年版的第14章);
---删除了AVA类:脆弱性评定(见GB/T 18336.3-2015年版的第15章);
---删除了ACO类:组合(见GB/T 18336.3-2015年版的第16章)。
本文件等同采用ISO/IEC 15408-4:2022《信息安全、网络安全和隐私保护 信息技术安全评估准
则 第4部分:评估方法和活动的规范框架》。
本文件做了下列最小限度的编辑性改动:
---为与现有标准协调,将标准名称改为《网络安全技术 信息技术安全评估准则 第4部分:评
估方法和活动的规范框架》;
---增加资料性附录NA“缩略语”。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国信息安全测评中心、中国合格评定国家认可中心、中国电子技术标准化研究
院、中国网络安全审查技术与认证中心、中国电子科技集团公司第十五研究所、中贸促信息技术有限责
任公司、北京邮电大学、中国航天系统科学与工程研究院、国家广播电视总局广播电视科学研究院、北京
奇虎科技有限公司、国网新疆电力有限公司电力科学研究院、启明星辰信息技术集团股份有限公司、
北京神州绿盟科技有限公司、新华三技术有限公司、远江盛邦(北京)网络科技股份有限公司。
本文件主要起草人:石竑松、张宝峰、李凤娟、杨永生、许源、高金萍、刘昱函、林阳荟晨、王晨宇、陶小峰、
王志远、刘佳、王峰、申永波、张屹、李明轩、张锦川、霍珊珊、孙俊、丁峰、吴大鹏、刘健、张益、权晓文、叶建伟、
解伟、万晓兰、谢仕华、毕海英、贾炜、邓辉、王书毅、刘宏伟。
本文件于2001年首次发布为GB/T 18336.3-2001,2008年第一次修订,2015年第二次修订,本次
为第三次修订,部分代替GB/T 18336.3-2015,编号为GB/T 18336.4。
引 言
本文件的读者对象主要是采用GB/T 18336-2024的评估者和确认评估者行为的认证者,以及评
估发起者、开发者、PP/ST作者和其他对IT安全感兴趣的团体。
GB/T 18336拟由五个部分构成。
---第1部分:简介和一般模型。旨在对GB/T 18336进行整体概述,定义信息技术安全评估的一
般概念和原则,并给出了评估的一般模型。
---第2部分:安全功能组件。旨在建立一套可用于描述安全功能要求的功能组件标准化模板。
这些功能组件按类和族的方式进行结构化组织,通过组件选择、细化、裁剪等方式构造出具体
的安全功能要求。
---第3部分:安全保障组件。旨在建立一套可用于描述安全保障要求的保障组件标准化模板。
这些安全保障组件按类和族的方式进行结构化组织,定义针对PP、ST和TOE进行评估的准
则,通过组件选择、细化、裁剪等方式构造出具体的安全保障要求。
---第4部分:评估方法和活动的规范框架。旨在为规范评估方法和活动提供一个标准化框架。
这些评估方法和活动包含在PP、ST及任意支持这些方法和活动的文档中,供评估者基于
GB/T 18336的其他部分中描述的模型开展评估工作。
---第5部分:预定义的安全要求包。旨在提供利益相关者通常使用的安全保障要求和安全功能
要求的包,提供的包示例包括评估保障级(EAL)和组合保障包(CAP)。
针对信息技术(IT)产品的安全评估,GB/T 18336提供了一套通用的安全功能及其保障措施要
求,从而允许各个独立的IT产品的评估结果之间具有可比性。ISO/IEC 18045为GB/T 18336中规定
的一些保障要求提供了配套的方法。
本文件描述了一个框架,可用于从ISO/IEC 18045的工作单元派生评估活动,并将其分组为评估
方法(EM)。评估活动或评估方法可能包含在PP和任何支持它们的文件中。当PP、PP-配置、PP-模
块、包或安全目标 (ST)确定要使用特定的评估方法/评估活动时,ISO/IEC 18045要求评估人员在确定
评估者裁定时,遵循并报告相关的评估方法/评估活动。如GB/T 18336.1中所述,在某些情况下,评估
授权机构能决定不批准使用特定的评估方法/评估活动:在这种情况下,评估授权机构能决定不按照
ST所要求的评估方法/评估活动进行评估。
本文件还允许为扩展SAR定义评估活动,在这种情况下,评估活动的派生与为扩展SAR定义的等
效行为元素和工作单元相关。如果本文件中引用ISO/IEC 18045或ISO/IEC 15408-3对SAR的使用
(如定义评估活动的基本原理时),那么在扩展SAR的情况下,这种引用也将适用于为扩展SAR定义的
等效行为元素和工作单元。
为简明起见,本文件指定了如何定义评估方法和评估活动,但本身没有规定评估方法或评估活动的
实例。
在GB/T 18336的其他部分和GB/T 30270-2024中出现的下述注描述了在那些文件中关于粗体
字和斜体字的使用。本文件没有使用那些惯例,但这里注仍被保留以与其他标准一致。
注:本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分文本。族内组件之间的关系约定使用粗体突
出显示,对所有新的要求也约定使用粗体字。对于分层的组件,当其要求被增强或修改,且超出了前一个组件
的要求时,以粗体显示。此外,除了前面的组件之外,任何新的或增强的允许的操作使用粗体突出显示。
约定使用斜体来表示具有精确含义的文本。对于安全保障要求,该约定也适用于与评估相关的特殊动词。
网络安全技术 信息技术安全评估准则
第4部分:评估方法和活动的规范框架
1 范围
本文件提供了一个标准化框架,用以规定客观的、可重复的和可重现的评估方法和评估活动。
本文件未规定如何评估、采用或维持评估方法和评估活动。这方面的内容由那些在其感兴趣的特
定领域内提出评估方法和评估活动的相关方负责。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
ISO/IEC 15408-1 信息安全、网络安全和隐私保护 信息技术安全评估准则 第1部分:简介和
注:GB/T 18336.1-2024 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型(ISO/IEC 15408-
1:2022,IDT)
ISO/IEC 15408-2 信息安全、网络安全和隐私保护 信息技术安全评估准则......
|