GB/T 30270-2013信息技术安全技术信息技术安全性评估方法

ICS35040

L80.

中华人民共和国国家标准

GB/T30270—2013/ISO/IEC180452005

:

信息技术安全技术

信息技术安全性评估方法

Informationtechnology—Securitytechnology—

MethodologyforITsecurityevaluation

(ISO/IEC18045:2005,IDT)

2013-12-31发布2014-07-15实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T30270—2013/ISO/IEC180452005

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

概述

5………………………3

文档约定

6…………………3

行文方式

6.1……………3

动词用法

6.2……………3

通用评估指南

6.3………………………4

和本标准结构间的关系

6.4ISO/IEC15408…………4

评估者裁定

6.5…………………………4

通用评估任务

7……………5

简介

7.1…………………5

评估输入任务

7.2………………………5

评估输出任务

7.3………………………7

保护轮廓评估

8……………12

简介

8.1…………………12

评估相互关系

8.2PP…………………12

评估活动

8.3PP………………………12

类安全目标评估

9ASE:…………………28

简介

9.1…………………28

评估相互关系

9.2ST…………………28

评估活动

9.3ST………………………29

评估

10EAL1……………50

简介

10.1………………50

目的

10.2………………50

评估相互关系

10.3EAL1……………50

配置管理活动

10.4……………………50

交付和运行活动

10.5…………………51

开发活动

10.6…………………………52

指导性文档活动

10.7…………………56

测试活动

10.8…………………………60

评估

11EAL2……………63

Ⅰ

GB/T30270—2013/ISO/IEC180452005

:

简介

11.1………………63

目的

11.2………………64

评估相互关系

11.3EAL2……………64

配置管理活动

11.4……………………64

交付和运行活动

11.5…………………66

开发活动

11.6…………………………68

指导性文档活动

11.7…………………74

测试活动

11.8…………………………78

脆弱性评定活动

11.9…………………87

评估

12EAL3……………94

简介

12.1………………94

目的

12.2………………94

评估相互关系

12.3EAL3……………94

配置管理活动

12.4……………………94

交付和运行活动

12.5…………………98

开发活动

12.6…………………………100

指导性文档活动

12.7…………………107

生命周期支持活动

12.8………………112

测试活动

12.9…………………………114

脆弱性评定活动

12.10………………126

评估

13EAL4……………134

简介

13.1………………134

目的

13.2………………134

评估相互关系

13.3EAL4……………135

配置管理活动

13.4……………………135

交付和运行活动

13.5…………………141

开发活动

13.6…………………………144

指导性文档活动

13.7…………………159

生命周期支持活动

13.8………………163

测试活动

13.9…………………………167

脆弱性评定活动

13.10………………179

缺陷纠正子活动

14………………………193

缺陷纠正评估

14.1(ALC_FLR.1)…………………193

缺陷纠正评估

14.2(ALC_FLR.2)…………………194

缺陷纠正评估

14.3(ALC_FLR.3)…………………197

附录规范性附录通用评估指南

A()…………………202

Ⅱ

GB/T30270—2013/ISO/IEC180452005

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准采用翻译法等同采用国际标准信息技术安全技术信息技术安全

ISO/IEC18045:2005《

性评估方法

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

信息技术安全技术信息技术安全性评估准则

———GB/T18336—2008(ISO/IEC15408:

2005,IDT)。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准主要起草单位中国信息安全测评中心吉林信息安全测评中心华中信息安全测评中心

:、、。

本标准主要起草人李守鹏吴世忠黄元飞李斌刘晖刘春明郭颖付敏谭运猛徐长醒

:、、、、、、、、、、

宋小龙简余良郭涛甘杰夫张宝峰石竑松杨永生毕海英高金萍王峰李凤娟唐喜庆曾华春

、、、、、、、、、、、、。

Ⅲ

GB/T30270—2013/ISO/IEC180452005

:

引言

本标准提出的信息技术安全性评估方法仅限于对中定义的评

(IT)ISO/IEC15408EAL1~EAL4

估不提供及其他保证包的评估指南

,EAL5~EAL7。

本标准的读者对象主要是采用的评估者和确认评估者行为的认证者以及评估发

ISO/IEC15408,

起者开发者作者和其他对安全感兴趣的团体

、、PP/STIT。

本标准并不能解决所有有关安全评估的问题有些问题还需要进一步的解释这些解释将由

IT,。

各评估体制决定如何处理即便它们要遵从多方互认协议可以由各体制处理的评估方法相关活动列

,。

表见附录

A。

本标准提出了依据信息技术安全技术信息技术安全性评估准则进行信息技

ISO/IEC15408《》

术安全评估时的评估方法是的配套标准

,ISO/IEC15408。

Ⅳ

GB/T30270—2013/ISO/IEC180452005

:

信息技术安全技术

信息技术安全性评估方法

1范围

本标准描述了在采用信息技术安全技术信息技术安全性评估准则所定义的

ISO/IEC15408《》

准则和评估证据进行评估时评估者应执行的最小行为集是的配套标准

,,ISO/IEC15408。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改版适用于本文件

。,()。

所有部分信息技术安全技术信息技术安全性评估准则

I