标准解读
《GB/T 30273-2013 信息安全技术 信息系统安全保障通用评估指南》是一项国家标准,旨在为信息系统安全保障的评估提供一套系统的方法和指导原则。该标准适用于对信息系统进行安全性的评估活动,包括但不限于新建设的信息系统以及正在运行中的信息系统。
根据此标准,信息系统安全保障被定义为确保信息系统的机密性、完整性和可用性达到预定水平的一系列活动或过程。它涵盖了从需求分析到设计、实现直至运营维护整个生命周期的安全管理措施和技术手段的应用。本标准强调了风险管理和持续改进的重要性,鼓励组织通过建立有效的信息安全管理体系来提升其整体安全性。
在具体实施方面,《GB/T 30273-2013》提出了一个四阶段模型:准备与规划、执行与操作、监控与评审以及保持与改进。每个阶段都包含了一系列详细的操作步骤和要求,如确定评估范围、选择适当的评估方法(如检查表法、访谈法等)、收集证据材料、分析结果并形成报告等。此外,还特别指出了需要关注的关键领域,比如物理环境安全、网络安全、数据保护等方面。
对于参与评估工作的人员来说,《GB/T 30273-2013》也给出了明确的角色分配建议,强调团队成员间应有良好的沟通协作机制,并且所有参与者都需要具备相应的专业知识背景。同时,标准中还包含了关于如何处理敏感信息的规定,以确保在整个评估过程中不会泄露任何重要资料。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2013-12-31 颁布
- 2014-07-15 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T30273—2013
信息安全技术
信息系统安全保障通用评估指南
Informationsecuritytechnology—Commonmethodologyforinformation
systemssecurityassuranceevaluation
2013-12-31发布2014-07-15实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T30273—2013
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
符号和缩略语
4……………2
概述
5………………………3
系列标准和本标准结构之间的关系
5.1GB/T20274…………………3
评估裁决
5.2……………3
通用评估模型
6……………4
评估模型概述
6.1………………………4
评估输入任务
6.2………………………4
评估活动
6.3……………5
评估输出任务
6.4………………………5
信息系统保护轮廓评估
7…………………9
概述
7.1…………………9
目的
7.2…………………9
评估相关要求
7.3………………………9
评估活动
7.4……………9
信息系统安全目标评估
8…………………18
概述
8.1…………………18
目的
8.2…………………18
评估要求
8.3……………18
评估活动
8.4……………19
信息系统安全保障措施评估
9……………30
信息系统安全技术保障措施评估
9.1…………………30
信息系统安全管理保障措施评估
9.2…………………74
信息系统安全工程保障措施评估
9.3………………113
信息系统保障级评估
10…………………126
概述
10.1………………126
目的
10.2………………126
相互关系
10.3…………………………126
基本执行评估活动
10.4ISAL1()……………………126
计划和跟踪级评估活动
10.5ISAL2()………………127
充分定义级评估活动
10.6ISAL3()…………………129
Ⅰ
GB/T30273—2013
量化控制级评估活动
10.7ISAL4()…………………131
持续改进级评估活动
10.8ISAL5()…………………132
附录规范性附录通用评估指南
A()…………………134
参考文献
……………………135
Ⅱ
GB/T30273—2013
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准主要起草单位中国信息安全测评中心华北计算技术研究所中国信息安全测评中心华中
:、、
测评中心
。
本标准主要起草人江常青张利姚轶崭佟鑫班晓芳翁正军王鸿娴
:、、、、、、。
Ⅲ
GB/T30273—2013
引言
本标准是系列标准信息安全技术信息系统安全保障评估框架的配套指南文件
GB/T20274《》。
本标准的目标读者是采用系列标准对信息系统进行安全性评估的评估者以及评估申
GB/T20274
请者开发者编制者
、、ISPP/ISST。
Ⅳ
GB/T30273—2013
信息安全技术
信息系统安全保障通用评估指南
1范围
本标准描述了评估者在使用系列标准所定义的准则进行评估时需要完成的评估活
GB/T20274
动为评估者在具体评估活动中的评估行为和活动提供指南
,。
本标准适用于采用系列标准对信息系统进行安全性的评估和对的评估
GB/T20274ISPP/ISST。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息安全技术信息系统安全保障评估框架第部分简介和一般模型
GB/T20274.1—20061:
信息安全技术信息系统安全保障评估框架第部分技术保障
GB/T20274.2—20082:
信息安全技术信息系统安全保障评估框架第部分管理保障
GB/T20274.3—20083:
信息安全技术信息系统安全保障评估框架第部分工程保障
GB/T20274.4—20084:
3术语和定义
下列术语和定义适用于本文件
。
31
.
核查check
评估者采用简单比较形成一个裁决
。
注使用此动词的语句描
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论