GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障

上传人：中国标准出版社 IP属地：四川上传时间：2023-02-03 格式：PDF 页数：52 大小：571.92KB 积分：81

标准解读

GB/T 20274.4-2008是中国关于信息安全技术领域的一个重要标准，专注于信息系统安全保障评估框架的第四部分——工程保障。这一部分详细阐述了在设计、实施、运行及维护信息系统时，如何确保其安全性的一系列原则、方法和要求。以下是该标准内容的详述：

该标准首先明确了工程保障在信息系统安全中的核心作用，强调了从工程项目管理的角度出发，将安全融入信息系统生命周期的每一个阶段，以实现全面和持续的安全保障。

1. 范围与适用性
标准明确了其适用范围，即适用于各类组织的信息系统工程项目的安全保障工作，包括但不限于政府机构、企业、以及提供信息技术服务的组织。它覆盖了从信息系统规划、需求分析、设计、开发、实施、运维到废弃的全生命周期过程。

2. 工程保障原则
提出了若干关键原则，如安全需求的早期融入、安全设计的一致性与完整性、安全控制措施的有效实施与验证、以及持续的安全监控与改进。这些原则指导着工程实践中安全措施的选择与执行。

3. 安全需求管理
强调了明确和细化信息系统安全需求的重要性，要求在项目初期通过风险评估来识别安全需求，并确保这些需求在整个项目周期中得到跟踪与满足。

4. 安全设计与实施
介绍了如何在信息系统的设计阶段集成安全控制措施，确保设计满足既定的安全需求。同时，提供了实施过程中应遵循的最佳实践，包括安全配置管理、代码审查、安全测试等，以减少漏洞并提高系统的健壮性。

5. 安全运维与改进
讨论了信息系统运行期间的安全管理，包括定期的安全审计、事件响应、补丁管理及安全培训等。强调了持续监控系统安全状态的必要性，并基于监测结果进行必要的安全策略调整和改进。

6. 审核与认证
提到了在工程保障过程中引入第三方审核和认证机制的价值，用以独立验证安全控制措施的有效性和符合性，增强系统的可信度。

如需获取更多详尽信息，请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

现行
正在执行有效
2008-07-18 颁布
2008-12-01 实施

©正版授权

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障_第1页

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障_第2页

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障_第3页

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障_第4页

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障_第5页

免费预览已结束，剩余47页可下载查看

 下载本文档

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障-免费下载试读页

文档简介

犐犆犛３５．０４０

犔８０

中华人民共和国国家标准

犌犅／犜２０２７４．４—２００８

信息安全技术

信息系统安全保障评估框架

第４部分：工程保障

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋４：犈狀犵犻狀犲犲狉犻狀犵犪狊狊狌狉犪狀犮犲

２００８０７１８发布２００８１２０１实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

书

犌犅／犜２０２７４．４—２００８

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

１范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４本部分的结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

５信息系统安全工程保障框架!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１信息系统安全工程保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．２信息系统安全工程保障控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．３信息系统安全工程能力成熟度级别!!!!!!!!!!!!!!!!!!!!!!!!!４

６信息安全工程保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

６．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

６．２安全工程保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

６．３安全工程保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．４安全工程保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

７ＰＲＭ安全工程保障控制类：风险过程!!!!!!!!!!!!!!!!!!!!!!!!!６

７．１风险过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!!６

７．２系统定义（ＰＲＭ＿ＳＤＦ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

７．３评估威胁（ＰＲＭ＿ＡＴＴ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

７．４评估脆弱性（ＰＲＭ＿ＡＶＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

７．５评估影响（ＰＲＭ＿ＡＩＭ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．６评估安全风险（ＰＲＭ＿ＡＳＲ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

８ＰＥＮ安全工程保障控制类：工程过程!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．１工程过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．２确定安全要求（ＰＥＮ＿ＩＳＲ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

８．３高层安全设计（ＰＥＮ＿ＨＳＤ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２１

８．４详细安全设计（ＰＥＮ＿ＤＳＤ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

８．５安全工程实施（ＰＥＮ＿ＳＥＥ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

８．６提供安全输入（ＰＥＮ＿ＰＳＩ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２６

８．７监视安全态势（ＰＥＮ＿ＭＳＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

８．８管理安全控制（ＰＥＮ＿ＭＳＣ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

８．９协调安全（ＰＥＮ＿ＣＯＳ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３５

９ＰＡＳ安全工程保障控制类：保障过程!!!!!!!!!!!!!!!!!!!!!!!!!３６

９．１保障过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!!３６

９．２验证和确认安全（ＰＡＳ＿ＶＶＳ）!!!!!!!!!!!!!!!!!!!!!!!!!!!３７

９．３建立保证证据（ＰＡＳ＿ＥＡＥ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１０安全工程保障控制类能力级!!!!!!!!!!!!!!!!!!!!!!!!!!!!４１

１０．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４１

１０．２安全工程能力级别说明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４１

Ⅰ

书

犌犅／犜２０２７４．４—２００８

１０．３信息系统安全工程能力级别要求!!!!!!!!!!!!!!!!!!!!!!!!!４４

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４５

图１安全工程过程生命周期!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

图２安全工程保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

图３安全工程保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

图４安全工程保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

图５风险过程说明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

图６系统定义（ＰＲＭ＿ＳＤＦ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!!!７

图７评估威胁（ＰＲＭ＿ＡＴＴ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!!!８

图８评估脆弱性（ＰＲＭ＿ＡＶＬ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!１０

图９评估影响（ＰＲＭ＿ＡＩＭ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!!１３

图１０评估安全风险（ＰＲＭ＿ＡＳＲ）安全工程保障控制子类分解!!!!!!!!!!!!!!!１５

图１１工程过程安全工程保障控制类介绍!!!!!!!!!!!!!!!!!!!!!!!!１８

图１２确定安全要求（ＰＥＮ＿ＩＳＲ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!１８

图１３高层安全设计（ＰＥＮ＿ＨＳＤ）安全工程保障控制子类分解!!!!!!!!!!!!!!!２１

图１４详细安全设计（ＰＥＮ＿ＤＳＤ）安全工程保障控制子类分解!!!!!!!!!!!!!!!２２

图１５安全工程实施（ＰＥＮ＿ＳＥＥ）安全工程保障控制子类分解!!!!!!!!!!!!!!!２４

图１６提供安全输入（ＰＥＮ＿ＰＳＩ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!２６

图１７监视安全态势（ＰＥＮ＿ＭＳＰ）安全工程保障控制子类分解!!!!!!!!!!!!!!!２９

图１８管理安全控制（ＰＥＮ＿ＭＳＣ）安全工程保障控制子类分解!!!!!!!!!!!!!!!３２

图１９协调安全（ＰＥＮ＿ＣＯＳ）安全工程保障控制子类分解!!!!!!!!!!!!!!!!!３５

图２０保障过程安全工程保障控制类说明!!!!!!!!!!!!!!!!!!!!!!!!３７

图２１验证和确认安全（ＰＡＳ＿ＶＶＳ）安全工程保障控制子类分解!!!!!!!!!!!!!!３７

图２２建立保证证据（ＰＡＳ＿ＥＡＥ）安全工程保障控制子类分解!!!!!!!!!!!!!!!３９

图２３信息系统安全工程能力要求级别图!!!!!!!!!!!!!!!!!!!!!!!!４４

表１安全工程生命周期和过程域对应表!!!!!!!!!!!!!!!!!!!!!!!!!３

Ⅱ

犌犅／犜２０２７４．４—２００８

前言

ＧＢ／Ｔ２０２７４《信息安全技术信息系统安全保障评估框架》分为以下四个部分：

———第１部分：简介和一般模型

———第２部分：技术保障

———第３部分：管理保障

———第４部分：工程保障

本部分是ＧＢ／Ｔ２０２７４的第４部分。

本部分由全国信息安全标准化技术委员会提出并归口。

本部分起草单位：中国信息安全产品测评认证中心。

本部分主要起草人：吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶崭、班晓芳、

李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山。

Ⅲ

犌犅／犜２０２７４．４—２００８

信息安全技术

信息系统安全保障评估框架

第４部分：工程保障

１范围

ＧＢ／Ｔ２０２７４的本部分建立了信息系统安全工程保障的框

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

1. 本站所提供的标准文本仅供个人学习、研究之用，未经授权，严禁复制、发行、汇编、翻译或网络传播等，侵权必究。
2. 本站所提供的标准均为PDF格式电子版文本（可阅读打印），因数字商品的特殊性，一经售出，不提供退换货服务。
3. 标准文档要求电子版与印刷版保持一致，所以下载的文档中可能包含空白页，非文档质量问题。

关联标准

引用标准：
GB/T 20274.1

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障

标准解读

文档简介

温馨提示

最新文档

评论

关联标准

GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障

标准解读

文档简介

温馨提示

最新文档

评论

关联标准

相关文档