标准解读

《GB/T 30998-2014 信息技术 软件安全保障规范》是由中国国家标准化管理委员会发布的一项国家标准,旨在为软件产品的设计、开发、测试、部署及维护等全生命周期阶段提供一套系统的安全保证方法和要求。该标准适用于各种类型的软件产品及其相关服务的安全保障工作,覆盖了从需求分析到退役处理的整个过程。

根据这项标准,软件安全保障活动被划分为几个关键领域:风险管理、安全需求分析、安全设计与实现、安全验证与确认、配置管理、交付后支持等。每个领域都定义了具体的目标、原则以及推荐的做法,以确保软件在满足功能性和性能要求的同时也能达到预期的安全水平。

对于风险管理而言,强调识别潜在威胁,并评估这些威胁对软件系统可能造成的影响,进而采取相应的控制措施来降低风险;安全需求分析则关注于明确地定义出软件需要具备哪些安全特性或能力;而安全设计与实现部分则指导如何将上述确定下来的需求转化为实际的设计方案并加以实施;通过安全验证与确认活动可以检查所开发出来的软件是否真正达到了最初设定的安全目标;配置管理和交付后支持则是为了保证在整个软件生命周期内都能有效地管理和维护其安全性状态。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2014-09-03 颁布
  • 2015-02-01 实施
©正版授权
GB/T 30998-2014信息技术软件安全保障规范_第1页
GB/T 30998-2014信息技术软件安全保障规范_第2页
GB/T 30998-2014信息技术软件安全保障规范_第3页
GB/T 30998-2014信息技术软件安全保障规范_第4页
免费预览已结束,剩余24页可下载查看

下载本文档

GB/T 30998-2014信息技术软件安全保障规范-免费下载试读页

文档简介

ICS35080

L77.

中华人民共和国国家标准

GB/T30998—2014

信息技术软件安全保障规范

Informationtechnology—Softwaresafetyassurancespecification

2014-09-03发布2015-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T30998—2014

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………4

安全关键软件的确定

4……………………5

确定过程

4.1……………5

软件安全分析

4.2………………………6

软件安全保障一般分析

5…………………7

人员组织及职责

5.1、……………………7

软件安全计划

5.2………………………9

人员认证及培训

5.3……………………10

资源

5.4…………………10

软件生存周期

5.5………………………10

文档要求

5.6……………11

可追踪性

5.7……………11

差异和问题的报告追踪

5.8、…………12

软件配置管理活动

5.9…………………12

软件保障活动

5.10……………………12

工具支持及批准

5.11…………………13

现货软件

5.12…………………………13

外包管理

5.13…………………………13

认证过程

5.14…………………………13

偏离及豁免

5.15………………………14

安全保密性

5.16………………………14

软件开发的安全保障分析

6………………14

概述

6.1…………………14

软件安全需求分析

6.2…………………15

软件设计的安全保障分析

6.3…………16

软件实现的安全保障分析

6.4…………16

软件测试的安全保障分析

6.5…………17

软件运行使用的安全保障分析

7…………18

参考文献

……………………20

GB/T30998—2014

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息技术标准化技术委员会提出归口

(SAC/TC28)。

本标准起草单位中国电子技术标准化研究院复旦大学总装备部武器装备论证研究中心北京东

:、、、

方通科技股份有限公司上海计算机软件技术开发中心万达信息股份有限公司装备学院

、、、。

本标准的主要起草人王卫国李海波丛培勇冯惠陈志峰杨丽蕴李春青张鲁峰钱乐秋李光亚

:、、、、、、、、、、

龚波

GB/T30998—2014

信息技术软件安全保障规范

1范围

本标准规定了获取或开发安全关键软件所必需的软件安全活动数据和文档

、。

本标准适用于定制重用和现货的安全关键软件的开发和获取过程也适用于固件

、,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术软件工程术语

GB/T11457

3术语定义和缩略语

31术语和定义

.

中界定的以及下列术语和定义适用于本文件

GB/T11457。

311

..

事故accident

造成人员伤亡职业疾病设备财产损坏或损失环境破坏等的一个或一系列非预期事件

,,、,。

312

..

组件component

一个系统或子系统的组成元素

313

..

客户customer

获取其他组织所开发的软件的实体包括工程项目设施

,、、。

314

..

分解decomposition

将一个系统或组

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论