GB/T 20274.1-2023 英文版 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第1部分：簡(jiǎn)介和一般模型

GB/T 20274.1-2023 英文版

?

前言
本文件按照GB/T 1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
本文件是GB/T 20274《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》的第1部分。GB/T 20274已經(jīng)發(fā)布了以下部分:
第1部分:簡(jiǎn)介和一般模型;
第2部分:技術(shù)保障;
第3部分：管理保障:
第4部分:工程保障
本文件代替GB/T 20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第1部分簡(jiǎn)和一般模型》,與GB/T 20274.1-2006相比,除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外,要技術(shù)變化如下:
a)刪除了不適用界限(見(jiàn)2006年版的第1章)
b)更改了“信息系統(tǒng)”和“信息系統(tǒng)安全保障”的定義，刪除了其他術(shù)語(yǔ),增加了“組織安全策略”術(shù)語(yǔ)和定義，刪除了縮略語(yǔ)(見(jiàn)第3章2006年版的31和3.2);
C)更改了目標(biāo)讀者的描述(見(jiàn)第4章,2006年版的4.2):
d)刪除了“評(píng)估上下文”和“信息系統(tǒng)安全保障評(píng)估框架的文檔結(jié)構(gòu)”(見(jiàn)2006年版的4.3和4.4)e)將“一般模型”更改為“信息系統(tǒng)安全保障模型和等級(jí)”,增加了保障能力等級(jí)概念(見(jiàn)第5章,2006年版的5.1和5.2):
0將“信息系統(tǒng)安全保障描述材料”更改為“信息系統(tǒng)安全保障要素”,刪除了ISPP和SST的內(nèi)容(見(jiàn)第6章,2006年版的5.5);
g)刪除了“信息安全整體和應(yīng)用”和“安全保障要求的使用”(見(jiàn)2006年版的5.3.4和5.5.3);6更改了“信息系統(tǒng)安全保障評(píng)估概念和關(guān)系”的圖表及文字描述(見(jiàn)7,1,2006年版的5.3.2);o將“在信息系統(tǒng)生命周期中的安全保障”更改為“信息系統(tǒng)安全保障評(píng)估內(nèi)容”(見(jiàn)7.2,2006年版的5.2.2.2);
更改了“信息系統(tǒng)安全保障評(píng)估內(nèi)容”的文字描述和圖表內(nèi)容(見(jiàn)7.2,2006年版的5.3.3);
將“信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果”更改為“信息系統(tǒng)安全保障評(píng)估判定”,刪除了有關(guān)ISPP和ISST相關(guān)的內(nèi)容,增加了評(píng)估準(zhǔn)則和保障等級(jí)判定要求(見(jiàn)7.3,2006年版的第6章)請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

引言
GB/T 20274《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》以GB/T 18336《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》為基礎(chǔ),從產(chǎn)品擴(kuò)展到信息技術(shù)系統(tǒng)，并進(jìn)一步同其他國(guó)內(nèi)外信息系統(tǒng)安全領(lǐng)域的標(biāo)準(zhǔn)和規(guī)范進(jìn)行結(jié)合，擴(kuò)展和補(bǔ)充，以形成描述和評(píng)估信息系統(tǒng)安全保障內(nèi)容和能力的通用框架。GB/T 20274是指導(dǎo)信息系統(tǒng)安全保障評(píng)估的基礎(chǔ)性和框架性標(biāo)準(zhǔn)，為從事信息系統(tǒng)安全保障工作的所有相關(guān)方(包括設(shè)計(jì)開發(fā)者工程實(shí)施者，評(píng)估者、認(rèn)證認(rèn)可者等)提供一種標(biāo)準(zhǔn)化、規(guī)范化的通用描述語(yǔ)言、結(jié)構(gòu)和方法。GB/T 20274旨在給出信息系統(tǒng)安全保障的基本概念和模型，確立在技術(shù)、管理和工程方面的安全保障要求和能力等級(jí)要求，由四個(gè)部分構(gòu)成。第1部分:簡(jiǎn)介和一般模型。目的在于給出信息系統(tǒng)安全保障的基本概念和模型，提出信息系統(tǒng)安全保障評(píng)估的框架。
第2部分:技術(shù)保障。目的在于確立信息系統(tǒng)在技術(shù)方面的安全保障基本要求及相應(yīng)的能力等級(jí)要求。
第3部分:管理保障。目的在于確立信息系統(tǒng)在管理方面的安全保障基本要求及相應(yīng)的能力等級(jí)要求。
第4部分:工程保障。目的在于確立信息系統(tǒng)在工程方面的安全保障基本要求及相應(yīng)的能力等級(jí)要求。

1范圍
本文件給出了信息系統(tǒng)安全保障的基本概念和模型,提出了信息系統(tǒng)安全保障評(píng)估框架本文件適用于指導(dǎo)系統(tǒng)建設(shè)者、運(yùn)營(yíng)者、服務(wù)提供者和評(píng)估者等開展信息系統(tǒng)安全保障工作。
2規(guī)范性引用文件
下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件:不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。
GB/T 18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型術(shù)語(yǔ)
GB/T 25069-2022信息安全技術(shù)
3術(shù)語(yǔ)和定義
GB/T 25069-2022和GB/T 18336.1-2015中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

4概述
與信息系統(tǒng)安全保障評(píng)估工作相關(guān)的相關(guān)方,一般包括信息系統(tǒng)建設(shè)者、信息系統(tǒng)運(yùn)營(yíng)者、服務(wù)提供者和評(píng)估者等。信息系統(tǒng)建設(shè)者包括規(guī)劃、設(shè)計(jì)和工程實(shí)施人員。建設(shè)者參考通用描述語(yǔ)言、方法和結(jié)構(gòu)，從信息系統(tǒng)安全保障的技術(shù),管理和工程領(lǐng)域來(lái)表達(dá)其信息系統(tǒng)安全保障要求。使用本文件能幫助建設(shè)者更好地描述其信息系統(tǒng)安全需求，編制符合其運(yùn)行環(huán)境要求的信息系統(tǒng)安全保障方案和規(guī)范等。建設(shè)者可根據(jù)信息系統(tǒng)安全保障的評(píng)估，了解其信息系統(tǒng)安全保障的現(xiàn)狀，并根據(jù)評(píng)估結(jié)果，進(jìn)一步完善和持續(xù)改進(jìn)其信息系統(tǒng)的安全保障能力。
信息系統(tǒng)運(yùn)營(yíng)者參考通用描述語(yǔ)言、方法和結(jié)構(gòu),從信息系統(tǒng)安全保障的技術(shù)和管理領(lǐng)域來(lái)表達(dá)其信息系統(tǒng)安全保障要求。運(yùn)營(yíng)者能使用本文件同信息系統(tǒng)的建設(shè)者等相關(guān)人員進(jìn)行更加有效的溝通和相互理解。運(yùn)營(yíng)者可根據(jù)信息系統(tǒng)安全保障的評(píng)估，了解其信息系統(tǒng)安全保障的現(xiàn)狀，還可根據(jù)評(píng)估結(jié)果，進(jìn)一步完善和持續(xù)改進(jìn)其信息系統(tǒng)的安全保障能力,獲得其信息系統(tǒng)安全保障的信心。
服務(wù)提供者參考通用描述語(yǔ)言、方法和結(jié)構(gòu)，從信息系統(tǒng)安全保障的技術(shù)、管理和工程領(lǐng)域來(lái)表達(dá)相關(guān)的信息系統(tǒng)安全保障要求,并與系統(tǒng)運(yùn)營(yíng)者和建設(shè)者進(jìn)行有效的溝通和項(xiàng)目實(shí)施。
評(píng)估者參考本文件來(lái)定義信息系統(tǒng)安全保障評(píng)估的內(nèi)容,并依據(jù)定義的評(píng)估內(nèi)容開展信息系統(tǒng)安全保障評(píng)估工作。
5信息系統(tǒng)安全保障模型和等級(jí)

6信息系統(tǒng)安全保障要素
6.1信息系統(tǒng)安全保障要素的結(jié)構(gòu)
安全保障要素根據(jù)安全技術(shù)、安全管理和安全工程領(lǐng)域的不同，分為安全技術(shù)保障要求、安全管理保障要求和安全工程保障要求。安全保障要素使用“類一子類一組件”層次化的結(jié)構(gòu)。用戶應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇特定的安全保障要求。安全保障要素的不同結(jié)構(gòu)之間的關(guān)系如圖3所示。

7信息系統(tǒng)安全保障評(píng)估框架
7.1信息系統(tǒng)安全保障評(píng)估概念和關(guān)系
信息系統(tǒng)安全保障評(píng)估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估，通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評(píng)估的評(píng)估對(duì)象是信息系統(tǒng)，信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程，涉及信息系統(tǒng)整個(gè)生存周期，因此信息系統(tǒng)安全保障的評(píng)估也應(yīng)提供一種動(dòng)態(tài)持續(xù)的信心。安全保障要素的充分識(shí)別及正確實(shí)施也是降低風(fēng)險(xiǎn)的一個(gè)重要前提。信息系統(tǒng)安全保障評(píng)估的概念和關(guān)系如圖5所示。
7.2信息系統(tǒng)安全保障評(píng)估內(nèi)容
在信息系統(tǒng)安全保障模型中，信息系統(tǒng)的生存周期層面和安全保障要素層面不是相互孤立的，而是相互關(guān)聯(lián)、密不可分的。它們之間的關(guān)系如圖6所示
7.3信息系統(tǒng)安全保障評(píng)估判定
信息系統(tǒng)安全保障能力等級(jí)通過(guò)信息系統(tǒng)安全保障評(píng)估進(jìn)行判定。在評(píng)估信息系統(tǒng)時(shí),評(píng)估者應(yīng)說(shuō)明:
信息系統(tǒng)所具備的安全保障要素是否具備充分性，能將面臨的風(fēng)險(xiǎn)控制在可接受的范圍內(nèi);a)
b)信息系統(tǒng)所具備的安全保障要素是否被正確地設(shè)計(jì)和實(shí)現(xiàn),并判定相應(yīng)的等級(jí)。評(píng)估者宜針對(duì)信息系統(tǒng)的工程保障、技術(shù)保障和管理保障三個(gè)層面獨(dú)立進(jìn)行評(píng)估,并給出相應(yīng)評(píng)估結(jié)論。針對(duì)信息系統(tǒng)整體的評(píng)估,應(yīng)綜合工程、技術(shù)和管理三個(gè)層面的評(píng)估結(jié)果,三個(gè)層面中的最低保障能力等級(jí)作為整體信息系統(tǒng)的評(píng)估結(jié)果。

參考文獻(xiàn)