标准解读

《GB/T 30273-2013 信息安全技术 信息系统安全保障通用评估指南》是一项国家标准,旨在为信息系统安全保障的评估提供一套系统的方法和指导原则。该标准适用于对信息系统进行安全性的评估活动,包括但不限于新建设的信息系统以及正在运行中的信息系统。

根据此标准,信息系统安全保障被定义为确保信息系统的机密性、完整性和可用性达到预定水平的一系列活动或过程。它涵盖了从需求分析到设计、实现直至运营维护整个生命周期的安全管理措施和技术手段的应用。本标准强调了风险管理和持续改进的重要性,鼓励组织通过建立有效的信息安全管理体系来提升其整体安全性。

在具体实施方面,《GB/T 30273-2013》提出了一个四阶段模型:准备与规划、执行与操作、监控与评审以及保持与改进。每个阶段都包含了一系列详细的操作步骤和要求,如确定评估范围、选择适当的评估方法(如检查表法、访谈法等)、收集证据材料、分析结果并形成报告等。此外,还特别指出了需要关注的关键领域,比如物理环境安全、网络安全、数据保护等方面。

对于参与评估工作的人员来说,《GB/T 30273-2013》也给出了明确的角色分配建议,强调团队成员间应有良好的沟通协作机制,并且所有参与者都需要具备相应的专业知识背景。同时,标准中还包含了关于如何处理敏感信息的规定,以确保在整个评估过程中不会泄露任何重要资料。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2013-12-31 颁布
  • 2014-07-15 实施
©正版授权
GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南_第1页
GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南_第2页
GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南_第3页
GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南_第4页
GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南_第5页
已阅读5页,还剩139页未读 继续免费阅读

下载本文档

GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T30273—2013

信息安全技术

信息系统安全保障通用评估指南

Informationsecuritytechnology—Commonmethodologyforinformation

systemssecurityassuranceevaluation

2013-12-31发布2014-07-15实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T30273—2013

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

符号和缩略语

4……………2

概述

5………………………3

系列标准和本标准结构之间的关系

5.1GB/T20274…………………3

评估裁决

5.2……………3

通用评估模型

6……………4

评估模型概述

6.1………………………4

评估输入任务

6.2………………………4

评估活动

6.3……………5

评估输出任务

6.4………………………5

信息系统保护轮廓评估

7…………………9

概述

7.1…………………9

目的

7.2…………………9

评估相关要求

7.3………………………9

评估活动

7.4……………9

信息系统安全目标评估

8…………………18

概述

8.1…………………18

目的

8.2…………………18

评估要求

8.3……………18

评估活动

8.4……………19

信息系统安全保障措施评估

9……………30

信息系统安全技术保障措施评估

9.1…………………30

信息系统安全管理保障措施评估

9.2…………………74

信息系统安全工程保障措施评估

9.3………………113

信息系统保障级评估

10…………………126

概述

10.1………………126

目的

10.2………………126

相互关系

10.3…………………………126

基本执行评估活动

10.4ISAL1()……………………126

计划和跟踪级评估活动

10.5ISAL2()………………127

充分定义级评估活动

10.6ISAL3()…………………129

GB/T30273—2013

量化控制级评估活动

10.7ISAL4()…………………131

持续改进级评估活动

10.8ISAL5()…………………132

附录规范性附录通用评估指南

A()…………………134

参考文献

……………………135

GB/T30273—2013

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准主要起草单位中国信息安全测评中心华北计算技术研究所中国信息安全测评中心华中

:、、

测评中心

本标准主要起草人江常青张利姚轶崭佟鑫班晓芳翁正军王鸿娴

:、、、、、、。

GB/T30273—2013

引言

本标准是系列标准信息安全技术信息系统安全保障评估框架的配套指南文件

GB/T20274《》。

本标准的目标读者是采用系列标准对信息系统进行安全性评估的评估者以及评估申

GB/T20274

请者开发者编制者

、、ISPP/ISST。

GB/T30273—2013

信息安全技术

信息系统安全保障通用评估指南

1范围

本标准描述了评估者在使用系列标准所定义的准则进行评估时需要完成的评估活

GB/T20274

动为评估者在具体评估活动中的评估行为和活动提供指南

,。

本标准适用于采用系列标准对信息系统进行安全性的评估和对的评估

GB/T20274ISPP/ISST。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息系统安全保障评估框架第部分简介和一般模型

GB/T20274.1—20061:

信息安全技术信息系统安全保障评估框架第部分技术保障

GB/T20274.2—20082:

信息安全技术信息系统安全保障评估框架第部分管理保障

GB/T20274.3—20083:

信息安全技术信息系统安全保障评估框架第部分工程保障

GB/T20274.4—20084:

3术语和定义

下列术语和定义适用于本文件

31

.

核查check

评估者采用简单比较形成一个裁决

注使用此动词的语句描

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论