标准解读

GB/T 20274.4-2008是中国关于信息安全技术领域的一个重要标准,专注于信息系统安全保障评估框架的第四部分——工程保障。这一部分详细阐述了在设计、实施、运行及维护信息系统时,如何确保其安全性的一系列原则、方法和要求。以下是该标准内容的详述:

该标准首先明确了工程保障在信息系统安全中的核心作用,强调了从工程项目管理的角度出发,将安全融入信息系统生命周期的每一个阶段,以实现全面和持续的安全保障。

1. 范围与适用性
标准明确了其适用范围,即适用于各类组织的信息系统工程项目的安全保障工作,包括但不限于政府机构、企业、以及提供信息技术服务的组织。它覆盖了从信息系统规划、需求分析、设计、开发、实施、运维到废弃的全生命周期过程。

2. 工程保障原则
提出了若干关键原则,如安全需求的早期融入、安全设计的一致性与完整性、安全控制措施的有效实施与验证、以及持续的安全监控与改进。这些原则指导着工程实践中安全措施的选择与执行。

3. 安全需求管理
强调了明确和细化信息系统安全需求的重要性,要求在项目初期通过风险评估来识别安全需求,并确保这些需求在整个项目周期中得到跟踪与满足。

4. 安全设计与实施
介绍了如何在信息系统的设计阶段集成安全控制措施,确保设计满足既定的安全需求。同时,提供了实施过程中应遵循的最佳实践,包括安全配置管理、代码审查、安全测试等,以减少漏洞并提高系统的健壮性。

5. 安全运维与改进
讨论了信息系统运行期间的安全管理,包括定期的安全审计、事件响应、补丁管理及安全培训等。强调了持续监控系统安全状态的必要性,并基于监测结果进行必要的安全策略调整和改进。

6. 审核与认证
提到了在工程保障过程中引入第三方审核和认证机制的价值,用以独立验证安全控制措施的有效性和符合性,增强系统的可信度。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2008-07-18 颁布
  • 2008-12-01 实施
©正版授权
GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障_第1页
GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障_第2页
GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障_第3页
GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障_第4页
GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障_第5页
免费预览已结束,剩余47页可下载查看

下载本文档

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障-免费下载试读页

文档简介

犐犆犛35.040

犔80

中华人民共和国国家标准

犌犅/犜20274.4—2008

信息安全技术

信息系统安全保障评估框架

第4部分:工程保障

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋4:犈狀犵犻狀犲犲狉犻狀犵犪狊狊狌狉犪狀犮犲

20080718发布20081201实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

犌犅/犜20274.4—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4本部分的结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5信息系统安全工程保障框架!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1信息系统安全工程保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.2信息系统安全工程保障控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3信息系统安全工程能力成熟度级别!!!!!!!!!!!!!!!!!!!!!!!!!4

6信息安全工程保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2安全工程保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.3安全工程保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6.4安全工程保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

7PRM安全工程保障控制类:风险过程!!!!!!!!!!!!!!!!!!!!!!!!!6

7.1风险过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!!6

7.2系统定义(PRM_SDF)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7.3评估威胁(PRM_ATT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7.4评估脆弱性(PRM_AVL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.5评估影响(PRM_AIM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.6评估安全风险(PRM_ASR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

8PEN安全工程保障控制类:工程过程!!!!!!!!!!!!!!!!!!!!!!!!!17

8.1工程过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!!17

8.2确定安全要求(PEN_ISR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.3高层安全设计(PEN_HSD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

8.4详细安全设计(PEN_DSD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

8.5安全工程实施(PEN_SEE)!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

8.6提供安全输入(PEN_PSI)!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.7监视安全态势(PEN_MSP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

8.8管理安全控制(PEN_MSC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

8.9协调安全(PEN_COS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

9PAS安全工程保障控制类:保障过程!!!!!!!!!!!!!!!!!!!!!!!!!36

9.1保障过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!!36

9.2验证和确认安全(PAS_VVS)!!!!!!!!!!!!!!!!!!!!!!!!!!!37

9.3建立保证证据(PAS_EAE)!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

10安全工程保障控制类能力级!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

10.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

10.2安全工程能力级别说明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

犌犅/犜20274.4—2008

10.3信息系统安全工程能力级别要求!!!!!!!!!!!!!!!!!!!!!!!!!44

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

图1安全工程过程生命周期!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

图2安全工程保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

图3安全工程保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

图4安全工程保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

图5风险过程说明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

图6系统定义(PRM_SDF)安全工程保障控制子类分解!!!!!!!!!!!!!!!!!!7

图7评估威胁(PRM_ATT)安全工程保障控制子类分解!!!!!!!!!!!!!!!!!!8

图8评估脆弱性(PRM_AVL)安全工程保障控制子类分解!!!!!!!!!!!!!!!!10

图9评估影响(PRM_AIM)安全工程保障控制子类分解!!!!!!!!!!!!!!!!!13

图10评估安全风险(PRM_ASR)安全工程保障控制子类分解!!!!!!!!!!!!!!!15

图11工程过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!18

图12确定安全要求(PEN_ISR)安全工程保障控制子类分解!!!!!!!!!!!!!!!!18

图13高层安全设计(PEN_HSD)安全工程保障控制子类分解!!!!!!!!!!!!!!!21

图14详细安全设计(PEN_DSD)安全工程保障控制子类分解!!!!!!!!!!!!!!!22

图15安全工程实施(PEN_SEE)安全工程保障控制子类分解!!!!!!!!!!!!!!!24

图16提供安全输入(PEN_PSI)安全工程保障控制子类分解!!!!!!!!!!!!!!!!26

图17监视安全态势(PEN_MSP)安全工程保障控制子类分解!!!!!!!!!!!!!!!29

图18管理安全控制(PEN_MSC)安全工程保障控制子类分解!!!!!!!!!!!!!!!32

图19协调安全(PEN_COS)安全工程保障控制子类分解!!!!!!!!!!!!!!!!!35

图20保障过程安全工程保障控制类说明!!!!!!!!!!!!!!!!!!!!!!!!37

图21验证和确认安全(PAS_VVS)安全工程保障控制子类分解!!!!!!!!!!!!!!37

图22建立保证证据(PAS_EAE)安全工程保障控制子类分解!!!!!!!!!!!!!!!39

图23信息系统安全工程能力要求级别图!!!!!!!!!!!!!!!!!!!!!!!!44

表1安全工程生命周期和过程域对应表!!!!!!!!!!!!!!!!!!!!!!!!!3

犌犅/犜20274.4—2008

前言

GB/T20274《信息安全技术信息系统安全保障评估框架》分为以下四个部分:

———第1部分:简介和一般模型

———第2部分:技术保障

———第3部分:管理保障

———第4部分:工程保障

本部分是GB/T20274的第4部分。

本部分由全国信息安全标准化技术委员会提出并归口。

本部分起草单位:中国信息安全产品测评认证中心。

本部分主要起草人:吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶崭、班晓芳、

李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山。

犌犅/犜20274.4—2008

信息安全技术

信息系统安全保障评估框架

第4部分:工程保障

1范围

GB/T20274的本部分建立了信息系统安全工程保障的框

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论