GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx

上传人:夺命阿水 文档编号:1681371 上传时间:2024-11-24 格式:DOCX 页数:11 大小:98.77KB
返回 下载 相关 举报
GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx_第1页
第1页 / 共11页
GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx_第2页
第2页 / 共11页
GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx_第3页
第3页 / 共11页
GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx_第4页
第4页 / 共11页
GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx》由会员分享,可在线阅读,更多相关《GB_T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.docx(11页珍藏版)》请在课桌文档上搜索。

1、目次前古1引言I1.1位困I2规范性引用文件I3术语和定义I4概述I5估息系统安全保障模型和等级25.1 保障概念25.2 保障模型25.3 保障能力等级36信息系统安全保障要素36.1 信息系统安全保隔要素的结构36.2 倍息系统安全保障要素的生成57信息系统安全保障评估框架67.1 倍息系统安全保障评估概念和关系67.2 信息系统安全保障评估内容77.3 信息系统安全保障评估判定8参考文舔9本文件按照GBT1.j-2020标准化工作导则第1部分:标准化文件的结构和起草规则3的规定起草.本文件是GB20274信息安全技术信息系统安全保障评估框架3的第1部分.GBT20274已经发布了以下部分

2、:一第1部分:简介和一般模型:一第2部分:技术保障:第3部分:管理保障;第4部分:工程保障.本文件代替GB20274.1-2006信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型,与Gwr20274.1-20061.t,除结构调整和编辑性改动外.主要技术变化如卜.:a)删除了不适用界限(见2006年版的第1章);b)更改了“信息麟”和“信息系统安全保渤”的定义,删覆了K他术语.增加了“组织安全策珞”术语和定义,删除缩略泄(见第3章,2006年版的3.1和3.2);O更改了目标读者的描述(见第4牵,2006年版的4.2);d)删除了“评估上下文”和“信息系统安全保障评估框架的文档结构

3、”(见2006年版的4.3和4.4);O将“一般模型”更改为“信息系统安全保障模型和等级”,增加了保隙能力等级概念(见第5章.2006年版的5.1和5.2):D将“信息系统安全保障描述材料”更改为“信息系统安全保障要索”.删除门SPPA1.1.SST的内容(见第6章,2006年版的5.;g)删除了“信息安全整体和应用”和“安全保障要求的使用”(见2006年版的5.3.I和$5.3);h)更改f”信息系统安全保障评估概念和关系”的图表及文字描述(见7.1,2006年版的5.3.2);i)将“在信息系统生命周期中的安全保障”更改为“信息系统安全保期评估内容”(见7.2,2006年版的5.22.2)

4、:j)更改了“信息系统安全保障评估内容”的文字描述和图表内容(见72,2006年版的5.3.3);k)将“信息系统安全保障评估和评估结果”更改为“信息系统安全保障评怙判定”,删除了有关ISPP和ISST相关的内容,增加JFk准忆和保障等级判定要求(见7.3,2006年版的第6章)。请注意本文件的某些内容可他涉及专利。本文件的发布机构不承担识别与利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.本文件,起草单位:中国信息安全测评中心、国家信息技术安全研究中心、国家计界机网络与信息安全管理中心、公安部第一研究所、国家工业信息安全发展研究中心、国家信息中心、吉林信息安全

5、测评中心、四川省信息安全测评中心、广东省信息安全测评中心、陕西省网络与信息安全测评中心、中国南方电网有限责任公司、南方电网数字电网集团有限公司、昆仑钦智科技有限公司、泰康保触团股份有限公司、中国医学科学院北京协和医院、华润数科控股有限公司、四川大学、北京百度网讯科技有限公司、浪潮云信息技术股份公司、浙江木St物联网科技有限公司、杭州安恒信息技术股份有限公司、$之阳东软系统近成I.程俳R公司、启明星.显正息技术比团股份钉限公司、北京神州绿盟科技有限公司、篇铉商用密码测评技术(深圳)有限公司、中国电子科技网络信息安全有限公司、山西轩辕信息安全技术有限公司.本文件主要起草人:任里、团图册、江常青、槐

6、、徐秋伊、梁耀、张普含、杜宇饴、宋璟、谢夫鲂勇、GBT20274信息安全技术信息系统安全保障评估框架?以GBnr183364信息技术安全技术信息技术安全评估准则3为基础,从产M扩展到信息技术系统,并进一步同其他国内外信息系统安全缴域的标准和规范迸行结合,犷展和补充,以形成描述和评估信息系统安全保障内容和能力的通用框架,GBT20274是指导信息系统安全保障评估的暴础性和框架性标准,为从事信息系统安全保障工作的所有相关方(包括设计开发者工程实施者,评估者、认证认可者等)提供一种标准化、规范化的通用描述语言、结构和方法.GBT20274旨在给出信息系统安全保障的基本概念和模型,确立在技木、管理和工

7、程方面的安全保障要求和能力等级要求,由四个部分构成.第I部分:简介和一般模型.目的在F给出信息系统安全保障的基本概念和模型,提出信息系统安全保障评怙的框架.一第2部分:技术保障。目的在于确立信息系统在技术方面的安全保障基本要求及相应的能力等级要求。一第3部分:管理保您.目的在于确立信息系统在管理方面的安全保障基本要求及相应的能力等级要求。-第4陆分:工程保障。口的在于确立信息系统在工程方面的安全保障葩本要求及相应的能力等级要求。供者和评估者等.信息系统建设者包括规划、设计和工程实施人员”建设者参考通用描述语言、方法和结构,从信息系统安全保障的技术、管理和工程领域来表达其信息系统安全保障要求。使

8、用本文件能帮助建设者更好地描述其信息系统安全需求,编制符合其运行环境娈求的信息系统安全保障方案和规范等,建设者可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,并根据评估结果,近一步完善和持续改进其信息系统的安全保障能力.信息系统运营者参考通用描述语者、方法和结构,从信息系统安全保障的技术和管理领域来表达其信息系统安全保障要求。运营者能使用本文件同信息系统的建议者等相关人员进行更加有效的沟通和相互理解,送件者可根据信息系统安全保I障的iffe,了解其信息系统安全保障的现状,还可根据W估结果,进一步完善和持续改进其信息系统的安全保障能力,获得其信息系统安全网章的信心。服务提供者参考通用

9、描述语言、方法和结构,从信息系统安全保障的技术、管理和工.程领域来表达相关的信息系统安全保障要求并与系统运营者和建设者遂行有效的沟通和项目实施.评估者参考本文件来定义信息系统安全保障评估的内容,并依据定义的评估内容开展信息系统安全保障评估工作。信息系统运行于特定的现实环境中,它从属某个组织,受到来自组织内部及外部环境的约束,因此,信息系统的安全保阵除了要在充分分析信息系统本身的技术、业务、管理等特性的基咄上提出相应的要求外,还要考虑这些约束条件产生的要求.信息系统安全保障是针对信息系统在运行环境中所面临的各种风险,制定信息系统安全保障策略,设计并实现信息系统安全保障架构或模型,采取工程、技术、

10、管理等安全保Ki要素,将J服战少至预定可接受的程度,从而保障其使命要求。保障策略是组织在对网缸资产和使命粽合理解的基础上所作出的指导性文件.保诲策略的制定,反映了组织对信息系统安全保障及其目标的理解,它的制定和贯彻执行对组织佶息系统安全保障起着纲筑性的指导作用o具体关系如图1所示。S14UBJ曲段全0mM关系5.2ftMU2信息系统安全保障模型包含安全保障要素、生存周期和能力成熟度三个维险”安全保障要素是将保障策珞具化5J技术、管理和工程等不同层面形成的保障要求,生存周期雉度是强网安全保障要索的识别要货穿信息系统从规划组织、开发采购、实施交付运行维护和废弃等生存周期阶段.信息系统安全保障能力等

11、级是在确保安全保障要素充分性的基轴匕通过能力成熟度来评价信息系统安全保障能力,信息系统安全保障模型如图2所示。本模型主要特点为:a)强调信息系统安全保障要素的概念,信息系统的安全保障是通过综合技术、管理、工程的安全保障要素来实施和实现信息系统的安全保障策略.通过对信息系统的技术、管理、工程要求的评估提供了对信息系统安全保障的信心:b)初调信息系统安全保障的持续发展的动态安全模型,即强谓信息系统安全保障j要货穿于整个信息系统生存周期的全过程:O通过能力成熟度等破来评价用于生存周期的过程安全保障要素的保障能力,从而达到保障组织执行其使命的根本目的,图2值息融段全保Q帼!5.3信息系统安全保障徙力等

12、级包含两个维度的要素,第一个维度是依据风险评估选择的信息系统安全保障要素(包含技术保障要求、管理保障要求和工程保障要求),这些安全保障要素的识别贯彻修个生存周期过程,能将风险降低到Ur接受的程度(即保障对策的充分性)。第二个维安是安全保障要索被正确实现的能力成熟度(即保障对策的正确性),如安全保障要素被实现的有序性、主动性、规范性、可贵化性、可持续性等方面的度量,两个维度相结合进行评估,能充分定义信息系统安全保皿的信心程度,即信息系统安全保障能力等线,信息系统安全保牌能力等级划分为五个等级.从低到高依次为:a)用本执行锁:特征为随机、被动地实现框本实践,依赖个人经验,无法电制;b)计划艰踪级:

13、特征为主动地实现了基本实践的十划与执行,但没有形成体系化:c)充分定义级:特征为基本实践的规范定义与执行:d)G化控制线:特征为建立门4化H标,基本实践的实现能进行度限与预测:e)持续优化线:特征为能根据组织的整体目标,不断改进和优化实现基本实践。6MJ碑安全保皿K安全保障要素根据安全技术、安全管理和安全工程领域的不同,分为安全技术保障要求、安全管理保障要求和安全工程保障要求.安全保障要素使川“类-子类一组件”层次化的结构.用户应根据风险评估的结果选择褥定的安全保障要求.安全保障要素的不同结构之间的关系如图3所示.S3安全保(的结构安全保障类是,通用的一组安全保障要求的组合,类的所有成员关注同

14、一个安全问座,区别在于国靛不同的安全保障目的.根据安全保障要求所属领域的不同,分为安全技术保障类、安全管理保障类和安全工程保障类.类的成员被称为子类.安全保障子类是若干组安全保赚要求的殂合,这些要求针对同一个安全保隙日的,但在强度和程度上有所区别.安全技术保障类、安全管理保障类和安全工程保障类的子类分别为安全技术保障了类、安全管理保障子类和安全工程保障f类.子类的成员被称为安全保障组件,每个安全保障f类由一个或多个实现此安全保障H的的安全保障祖件纲成。安全保障组件是描述一个明确的安全保障要求的集合,并且它是本文件定义的结构中所包含可选的最小安全保障要求集合.安全保障组件是实现其安全保障子类的安

15、全保障目的的信息安全保障具体控制措施,根据安全保障要求所属领域的不同,分为安全技术保障殂件、安全管理保障组件和安全工程保障组件“安全保障组件由可选的安全保障元素组成.安全保障祖件是实现安全保障目的的信息安全保障具体控制措施,安全保障组件间的依赖和安全保障组件允许的操作说明如下.a)安全保障犯件间的依班。安全保障组件间可能存在依赖关系.当一个安全保障组件无法充分表达安全保除要求并且依敕于另一个安全保障现件的存在时,依赖关系就产生了.依赖关系可能存在于安全技术保障、安全管理保隘和安全工程保障各自内部的组件之间,也可能存在于安全技术保障、安全管理保障和安全工程保障的组件之间.b)安全保障组件允许的操

16、作。安全保障组件依据本文件中定义的那样使用,或者通过使用安全保障组件允许的操作对安全保障祖件进行裁剪,以满足特定的安全策略或对抗特定的或胁。安全保障祖件说明并定义了组件是否允许“赋值”和“选抒”操作、在哪共情况下能对组件使用这些操作以及使用这些操作的后果.任何安全阚组件都允许“反狂”和“细化”怏f乍.这四个操作如下所述:1)反笈:在不同操作时,批件多次使用:2)赋值:当组件被应用时,规定所填入的参数:3)选择:从如件表中选定若干项:4)细化r当组件被应用时.X幽件增加细保6.2IU原捱安全保mj&21图4给出了确认信息系统安全保障要素的一种方法例证,通过它能引申出安全保障要索提供的例证并不限制

17、生成信息系统安全保障要素具体的分析过程、开发方法、评估体制等。4安全保M6.2299JMi为明确信息系统的特定范畴,信息系统运营者或建法者应从管理体系、技木体系和业务体系等方面进行分析和描述信息系统,进而iJ3J相关的假设、成胁和组织安全策各等.在管理体系中,应对信息系统现有的管理组织结构、所使用的相应规章制度和所涉及的重要资产进行描述。a)田曲描述:描述组织内同佶息系统相关的管理侬用/开发/集成/支持等,特别是相关安全保障管理的fIE1.b管理制度、法规描述:列出同信息系统管理相关的目前使用的相应规章制度和相关法规,O系统资产描述:描述信息系统的物理资产(指信息系统中的各种硬件和物理设施等)

18、、软件资产侪阴J软件和系统软件等)和信息资产(指在信息系统计划组织、开发赖J、实施交付、运行维护和废弃这一信息系统生存周期过程中产生的同信息系统本身相关的有价值的信息以及信息系统所存储、处理和传输的各种相关的办公、管理和业务等信息h在技术体系中,应对现有的各种应用、相应的网络基础设施和所使用的技术标准进行描述.业务体系从业务角度和应用角度出发,基于技木体系,对组织的主要业务应用应进行分类和描述,并通过业务流程和业务信息流(描述主要业务应用的接口和相应数据流,数据流描述应包括数据的类型以及数据传送的一般方式)来进一步解释,6.2.3安全环境包括所有的明确相关的法律政策、组织的策略、物理环境,它定

19、义了信息系统的运行环境,为建立安全环境,信息系统运营者应分析这些因素。关干假设、安全威胁、组织安全策略的描述应注意以下内容:G对假设的陈述:如果环境满足该假定,信息系统被认为是安全的:b)安全威胁的陟述:指明信息系统相关的安全分析中发现的所有威胁.注1:本文件使用威胁动机、假定的攻击方法、作为攻击基硅的任何弱点和我攻的资产名称等词汇描述一个威胁,对安全侬的评估是通过给出徒种威肺交际发生的可能性、该成肺成功实艇的可能性以及可能造成的被破坏后果来实现的.O组织安全策略的陈述:阐明相关的策略和规则.注2:对特定的信息系统,可能H1.1.腌隹及这样的策玷,然而对-股的信息系统,可能需要假设出组织的安全

20、策略,6.2.4 安全保。目的环境安全性分析结果被用来阐明安全目的.对抗其所面临的威胁.并说明被认定的组织化的安全策略和假设.安全保障目的应和已说明的信.&系统运行的法律法规要求、组织环境要求和物理环境一致.确定安全保障目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问即是直接由伯息系统来处理哪些由其环境来处理.这种归类基于工程判断、安全政策、羟济囚索和可接受的风险决策相结合的过程.6.2.5 M安全保I*HR信息系统安全保障要索是将安全保障目的细化为一系列信息系统及其环境的安全保障要求,一旦这些要求得到满足,就能保证信息系统达到它的安全保障目的,应分别从安全技术领域的技术保阵要求、安全

21、管理领域的管理保障要求以及安全工程领域的工程保隙要求来提出安全保障要素,7侑息系统安全保障评估4臊7.1 1息赭皮安全保M稣S和关系信息系统安全保隔评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估,调过信息系统安全保障评估所搜集的客观证掘,向信息系统的所有相关方提供信息系统的安全保障工作能终实现其安全保障策略,能够将其所面临的风险降低到我可接受的程僮的主观信心。信息系统安全保障评估的评估对象是信息系统,信息系统不仅包含/仅M论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域,信息系统安全保障是一个动态持续的过程,涉及信息系统整个生存周期

22、,因此信息系统安全保障的评估也应提供一种动态持续的信心.安全保障要素的充分识别及正确实施也是降低风险的一个更要前提,信息系统安全保阳评估的做念和关系如图5所示。B5值加KIt安全保和关系7.2 值患系或安全保。估内容在信息系统安全保障根型中信息系统的生行周期层面和安全保障要素层面不是相互说立的,而是相互关联、密不可分的.它们之间的关系如图6所示.96值息神安全保I生存Ji期的安全保在信忠系统生存周期模型中,物伯息系统的整个生存周期抽望成现划组织、开发果购、实施交付、运行维护和暧弃五个阶段.并包含在运行维护阶段的变更产生的反馈.形成信息系统生存周期完整的闭环结构,在信息系统的生存周期中的任何时间

23、点,都应综合信息系统安全保障的技术,管理和工程等安全保障要素对信息系统进行安全保障,a)规划组织阶段:田于组织的使命要求和业务要求产生了信息系统安全保障建设和使用的需求.在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设的开始向统合考虑系统的安全保障要素,使信息系统的建设利伯息系统安全保障的建设同步规划、同步建设和同步使用.b)开发采购阶段:此阶段是规划组织阶段的细化、深入和具体体现,在此阶段中,进行系统需求分析、考虑系统运行的需求、进行系统体系的设计以及相关的预算申请和项目准备等管理活动.在此阶段,应基于系统需求和风险、策略将信息系统安全保障作为个整体进行系统体

24、系的设计和建设,以全局视野建立信息系统安全保障整体规划,组织收据具体要求,对系统整体的技术.管理安全保障或设计进行评估,以保证对信息系统的整体规划满足组织的建设要求和相关国家规定、行业准则和组织的其他要求.C)实施交付粉段:在此阶段,组乡1可通过对承建方遂行安全服务资格要求和信息安全专业人员资格要求以确保施工组织的服务能力:组n斑可通过信息系统安全保障的工程保障对实施施工过程进行监理和评估,最终确保所交付系统的安全性。(T)运行维护阶段:信息系统进入运行维护阶段后,对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障.是信息系统得以安全正常运行的出本保证.信息系统投入运行后并不是一成不

25、变的,随着业务和需求的变更、外界环境的变更将产生新的要求或增强除有的要求,市新诳入信息系统的初始化规划阶段。O废弃阶段:当信息系统的保障不能满足现有要求时,信息系统远入废弃阶段。信息系统安全保障的评估,是从信息系统安全保障的概念出发,在信息系统的生存周期内,根据组织的要求,在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制措施和管理能力、安全工程实施控制措施和工程实施能力进行标合评估,从而最终得出在其运行环境中信息系统安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评怙。信息系统安全保障能力的评估是信息系统所提供的各项安全技术

26、保障、安全管理保障、安全工程保障的实族i、正确性、质量和能力进行保障(或信心)的强度和程度的特征,是对信息系统安全保障持续改进的能力特征的描述。信息系统安全保障能力等级是信息系统在其运行环境中,实施信息系统安全保障要素的具体实旅情况和实施能力的反映,信息系统安全保障评估主要包括两方面的评估:信息系统在其运行环境中具体的安全保障要求相时于安全保障目的符合性和一致性的评估以及信息系统安全保障措施被正确和高质量实魔的评估.信息系统安全保照评估的内容如图7所示”0代存H1.U半生周1TWtttt女令r以俯力也IR夜KU*IKNKtf)俄评估ff1.7IttJ黑庭安全例评估内客7.3 MJ膜安全丽K例定

27、信息系统安全保障能力等级通过信息系统安全保障评估进行判定.在评估信息系统时,评估者应说明:a)信息系统所具备的安全保障要素是否具备充分性,能将面临的风除控制在可接受的范因内:b)信息系统所具备的安全保隙要素矩否被正确地设计和实现,并判定相应的等级.评估者宜针对信息系统的工程保障、技术保障和管理保障三个层面独立进行评估,并给出相应评估结论。针对信息系统整体的评估,应综合工程、技术和管理三个层面的评估结果,三个层面中的蚣低保障能力等级作为整体信息系统的评估结果.考文IK11GB,T18336.2-2015信息技术安全技术信息技术安全评估准则第2部分:安全功能组件2)GB-TI8336.32OI5信

28、息技术安全技术信息技术安全评估准则第3部分:安全保障组件3GB,20261-2020信息安全技术系统安全工程能力成熟度模型14GB.T29246-2017信息技术安全技术信息安全管理体系概述和词汇5GB.Z29830.12013信息技术安全技术信息技术安全保障框架第1部分:综述和框架6GB.1Z29830.22013信息技术安全技术信息技术安全保障框架第2部分:保障方法7GBZ29830.32013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析8)ITFRe1.ease3.1Inf11na(ionAssuranceTechnica1.FriHnework.Naiiona1.Secu

29、rityAgencyInformationAssuranceSo1.utionsTechnica1.Directors.Scptcmbcr,2OO2(9NISTSP8OO-53Rev.5Securityandprivacycontro1.sforinformationsystemsandorganizations10)SSAMV2.0SystemSecurityEingineeringCapabi1.ityMaturityModdSSE-CMMAppraisa1.Method.Version2.0pri1.I6J999(I11SSE-CMMV2.0SystemSecurityEngineeringCapabi1.ityMaturityMode1.SSE-CMMMode1.DCSeriaionDocumcnuVcrsion2.0,Apri1.1,1999

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号