标准解读
《GB/T 30270-2013 信息技术 安全技术 信息技术安全性评估方法》是中国国家标准之一,主要针对信息技术产品和服务的安全性进行评估提供了一套系统的方法。该标准基于国际通用的通用准则(Common Criteria, CC)框架,并结合中国国情进行了适应性调整。其目的是通过定义一套标准化的安全性评估过程和要求,来保证信息技术产品的安全性和可信度。
标准中首先明确了适用范围,适用于所有类型的信息技术产品和服务的安全性评估工作。接着详细介绍了评估流程,包括准备阶段、评估计划制定、评估活动执行以及最终报告编制等几个关键步骤。在每个阶段,都给出了具体的操作指南与要求,以确保整个评估过程能够科学合理地进行。
对于评估对象来说,《GB/T 30270-2013》不仅涵盖了硬件设备如服务器、网络设备等,还包括软件应用系统、移动应用程序等多种形式的信息技术产品。同时,也考虑到了不同应用场景下的特殊需求,在标准内提供了灵活的选择项供评估人员根据实际情况选用。
此外,该标准还特别强调了对评估过程中所使用工具和技术手段的要求,比如测试环境搭建、漏洞扫描工具选择等方面都有明确规定。这有助于提高评估结果的一致性和可靠性。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T30270—2013/ISO/IEC180452005
:
信息技术安全技术
信息技术安全性评估方法
Informationtechnology—Securitytechnology—
MethodologyforITsecurityevaluation
(ISO/IEC18045:2005,IDT)
2013-12-31发布2014-07-15实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T30270—2013/ISO/IEC180452005
:
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………3
概述
5………………………3
文档约定
6…………………3
行文方式
6.1……………3
动词用法
6.2……………3
通用评估指南
6.3………………………4
和本标准结构间的关系
6.4ISO/IEC15408…………4
评估者裁定
6.5…………………………4
通用评估任务
7……………5
简介
7.1…………………5
评估输入任务
7.2………………………5
评估输出任务
7.3………………………7
保护轮廓评估
8……………12
简介
8.1…………………12
评估相互关系
8.2PP…………………12
评估活动
8.3PP………………………12
类安全目标评估
9ASE:…………………28
简介
9.1…………………28
评估相互关系
9.2ST…………………28
评估活动
9.3ST………………………29
评估
10EAL1……………50
简介
10.1………………50
目的
10.2………………50
评估相互关系
10.3EAL1……………50
配置管理活动
10.4……………………50
交付和运行活动
10.5…………………51
开发活动
10.6…………………………52
指导性文档活动
10.7…………………56
测试活动
10.8…………………………60
评估
11EAL2……………63
Ⅰ
GB/T30270—2013/ISO/IEC180452005
:
简介
11.1………………63
目的
11.2………………64
评估相互关系
11.3EAL2……………64
配置管理活动
11.4……………………64
交付和运行活动
11.5…………………66
开发活动
11.6…………………………68
指导性文档活动
11.7…………………74
测试活动
11.8…………………………78
脆弱性评定活动
11.9…………………87
评估
12EAL3……………94
简介
12.1………………94
目的
12.2………………94
评估相互关系
12.3EAL3……………94
配置管理活动
12.4……………………94
交付和运行活动
12.5…………………98
开发活动
12.6…………………………100
指导性文档活动
12.7…………………107
生命周期支持活动
12.8………………112
测试活动
12.9…………………………114
脆弱性评定活动
12.10………………126
评估
13EAL4……………134
简介
13.1………………134
目的
13.2………………134
评估相互关系
13.3EAL4……………135
配置管理活动
13.4……………………135
交付和运行活动
13.5…………………141
开发活动
13.6…………………………144
指导性文档活动
13.7…………………159
生命周期支持活动
13.8………………163
测试活动
13.9…………………………167
脆弱性评定活动
13.10………………179
缺陷纠正子活动
14………………………193
缺陷纠正评估
14.1(ALC_FLR.1)…………………193
缺陷纠正评估
14.2(ALC_FLR.2)…………………194
缺陷纠正评估
14.3(ALC_FLR.3)…………………197
附录规范性附录通用评估指南
A()…………………202
Ⅱ
GB/T30270—2013/ISO/IEC180452005
:
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准采用翻译法等同采用国际标准信息技术安全技术信息技术安全
ISO/IEC18045:2005《
性评估方法
》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下
:
信息技术安全技术信息技术安全性评估准则
———GB/T18336—2008(ISO/IEC15408:
2005,IDT)。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准主要起草单位中国信息安全测评中心吉林信息安全测评中心华中信息安全测评中心
:、、。
本标准主要起草人李守鹏吴世忠黄元飞李斌刘晖刘春明郭颖付敏谭运猛徐长醒
:、、、、、、、、、、
宋小龙简余良郭涛甘杰夫张宝峰石竑松杨永生毕海英高金萍王峰李凤娟唐喜庆曾华春
、、、、、、、、、、、、。
Ⅲ
GB/T30270—2013/ISO/IEC180452005
:
引言
本标准提出的信息技术安全性评估方法仅限于对中定义的评
(IT)ISO/IEC15408EAL1~EAL4
估不提供及其他保证包的评估指南
,EAL5~EAL7。
本标准的读者对象主要是采用的评估者和确认评估者行为的认证者以及评估发
ISO/IEC15408,
起者开发者作者和其他对安全感兴趣的团体
、、PP/STIT。
本标准并不能解决所有有关安全评估的问题有些问题还需要进一步的解释这些解释将由
IT,。
各评估体制决定如何处理即便它们要遵从多方互认协议可以由各体制处理的评估方法相关活动列
,。
表见附录
A。
本标准提出了依据信息技术安全技术信息技术安全性评估准则进行信息技
ISO/IEC15408《》
术安全评估时的评估方法是的配套标准
,ISO/IEC15408。
Ⅳ
GB/T30270—2013/ISO/IEC180452005
:
信息技术安全技术
信息技术安全性评估方法
1范围
本标准描述了在采用信息技术安全技术信息技术安全性评估准则所定义的
ISO/IEC15408《》
准则和评估证据进行评估时评估者应执行的最小行为集是的配套标准
,,ISO/IEC15408。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改版适用于本文件
。,()。
所有部分信息技术安全技术信息技术安全性评估准则
I
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 九年级语文《中国人失掉自信力了吗》教学课件
- 建筑涂料配送服务承诺书模板
- 咨询公司运营总监聘任合同
- 栓皮供货合同模板
- 水上机械租赁合同范例
- 模特培训预售合同范例
- 库存货销售合同范例
- 兼职摄像师录制合同
- 出纳代理服务合同范例
- 建筑工程市场调查单位劳动合同
- CPK与CP详细讲解资料(课堂PPT)
- 建筑公司合规性评价报告
- 促销策略课件
- 大数据和人工智能知识考试题库600题(含答案)
- 2023年上海机场集团有限公司校园招聘笔试题库及答案解析
- 勘察质量及安全保障措施
- 高保真音频功率放大器
- 架桥机安全教育培训试卷
- 临时工用工协议书简单版(7篇)
- 国家电网公司施工项目部标准化管理手册(2021年版)线路工程分册
- 马克·夏加尔课件
评论
0/150
提交评论