标准解读

《GB/Z 29830.2-2013 信息技术 安全技术 信息技术安全保障框架 第2部分:保障方法》这一标准详细规定了在构建和维护信息技术系统时应遵循的安全保障方法。该文件作为指导性技术文件,旨在通过提供一套系统化的方法来帮助组织提高其信息技术系统的安全性。

本标准介绍了多种保障方法,包括但不限于风险评估、安全控制的选择与实施、持续监控以及应急响应计划的制定等。这些方法共同构成了一个全面的信息安全保障体系,旨在确保信息资产得到充分保护的同时,也能满足业务连续性和合规性的要求。

风险评估是整个安全保障过程中的基础步骤之一,它要求对可能面临的风险进行全面识别,并基于此确定相应的防护措施。接着,根据风险评估的结果选择合适的安全控制措施,并将其有效地集成到信息系统之中。此外,还强调了定期进行安全状态监测的重要性,以便及时发现潜在威胁并采取相应行动。最后,建立有效的应急响应机制对于快速恢复服务、减少损失至关重要。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2013-11-12 颁布
  • 2014-02-01 实施
©正版授权
GB/Z 29830.2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法_第1页
GB/Z 29830.2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法_第2页
GB/Z 29830.2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法_第3页
GB/Z 29830.2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法_第4页
GB/Z 29830.2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法_第5页
已阅读5页,还剩47页未读 继续免费阅读

下载本文档

GB/Z 29830.2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z298302—2013/ISO/IECTR15443-22005

.:

信息技术安全技术

信息技术安全保障框架

第2部分保障方法

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part2Assurancemethods

:

[ISO/IECTR15443-2:2005,IDT]

2013-11-12发布2014-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/Z298302—2013/ISO/IECTR15443-22005

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

意图

1.1…………………1

适用领域

1.2……………1

限制

1.3…………………1

规范性引用文件

2…………………………2

术语定义和缩略语

3、………………………3

方法概述和表达

4…………………………3

保障的生存周期阶段与图示符号

5………………………3

保障途径与图示符号

5.1………………4

实用性与符号表示

5.2…………………4

安全相关性与符号表示

5.3……………4

概览表

5.4………………4

表达方法学

5.5…………………………6

保障方法

6…………………6

信息技术安全评估准则

6.1ISO/IEC15408………6

可信计算机系统评估准则

6.2TCSEC……………7

信息技术安全评估准则和方法学

6.3ITSEC/ITSEM……………8

加拿大可信产品评估准则

6.4CTCPEC…………9

韩国信息安全评估准则和方法学

6.5KISEC/KISEM…………10

维护阶段的评定

6.6RAMP………………………11

评估评定的维护一般性的

6.7ERM()……………12

可信技术评价程序

6.8TTAP……………………13

可信产品评估程序

6.9TPEP……………………13

统一过程®®

6.10Rational(RUP)…………………14

系统生存周期过程

6.11ISO/IEC15288……………15

软件生存周期过程

6.12ISO/IEC12207…………16

模型

6.13V-……………17

软件产品评价

6.14ISO/IEC14598…………………18

基线安全服务

6.15X/Open………………………19

严格符合性测试

6.16SCT…………20

系统安全工程能力成熟度模型®

6.17ISO/IEC21827(SSE-CMM)…………21

可信任能力成熟度模型

6.18TCMM……………22

集成化能力成熟度模型®

6.19CMMI………………23

软件过程评估

6.20ISO/IEC15504…………………24

GB/Z298302—2013/ISO/IECTR15443-22005

.:

能力成熟度模型®针对软件

6.21CMM()…………25

®系统工程能力成熟度模型®

6.22SE-CMM………26

可信任软件开发方法

6.23TSDM…………………26

提供方符合性声明

6.24SDoC………………………27

®软件需求能力成熟度模型®

6.25SA-CMM………28

系列质量管理

6.26ISO9000………………………29

以人为中心的设计

6.27ISO13407(HCD)………30

开发者良源一般情况

6.28()…………31

鉴定保障

6.29ISO/IEC17025………………………31

信息和通信技术安全管理

6.30ISO/IEC13335(MICTS)………32

信息安全管理系统规格说明与使用指导

6.31BS7799-2……33

信息安全管理实践指南

6.32ISO/IEC17799……………………34

缺陷补救一般性

6.33FR()…………35

基线保护指南

6.34IT………………35

渗透测试

6.35………………………36

人员认证与安全无关

6.36()…………37

人员认证与安全有关

6.37()………………………38

参考文献

……………………40

图评价过程的流程

1ISO/IEC14598…………………19

表框架中的保障方法图示符号

1—………………………4

表框架中保障方法概览

2-………………5

表®关键过程领域

3SA-CMM…………28

表鉴定过程

4……………32

GB/Z298302—2013/ISO/IECTR15443-22005

.:

前言

信息技术安全技术信息技术安全保障框架分为以下个部分

GB/Z29830《》3:

第部分综述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分为的第部分

GB/Z298302。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分采用翻译法等同采用信息技术安全技术信息技术安全保

ISO/IECTR15443-2:2005《

障框架第部分保障方法

2:》。

本部分由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本部分主要起草单位中国电子技术标准化研究院

:。

本部分的主要起草人张明天罗锋盈王延鸣陈星杨建军

:、、、、。

GB/Z298302—2013/ISO/IECTR15443-22005

.:

引言

本指导性技术文件的目的是为了获得一个给定交付件满足其所指出的信息安全保障需求的信心

,,

给出各种保障方法并指导信息安全专业人员如何选择一个合适的保障方法或组合一些方法本指

,()。

导性技术文件审视了不同类型组织所提出的保障方法和途径包括已批准的标准和事实标准

,。

为了达到这一目的本指导性技术文件由以下个方面内容组成

,7:

一个框架模型用于定位现有的保障方法并给出它们之间的关系

a),;

一组保障方法以及对它们的描述和引用

b);

特定保障方法的共性和个性的表达

c);

现有保障方法的定性比较其中尽可能进行定量比较

d),;

与当前保障方法关联的保障模式的标识

e);

不同保障方法之间关系的描述以及

f);

有关保障方法的应用组合和认知的指导

g)、。

本指导性技术文件由部分组成对保障途径分析和相互间的关系处理如下

3,、:

第部分综述和框架概述了一些基础性概念例如保障保障框架等并给出了安全保障方法的

1:。,、,

一般性描述其目的是帮助理解本标准的第部分和第部分内容第部分针对信息安全管理人员

。23。1

和其他人员其中包括负责开发安全保障程序确定他们的交付件的安全保障参加安全评估审计或参

,、、

加其他保障活动的人员

第部分保障方法描述由不同类型的组织提出和使用的各种安全保障方法和途径不论它

2:。IT,

们是被一般公认的事实上被认可的或标准的并把这些保障方法与第部分的保障模型关联起来重

、;1。

点是识别对保障有影响的保障方法的定性特征在可能的地方还将定义保障级别该材料面向安

,,。IT

全专业人员帮助理解如何在产品或服务的特定的生存周期阶段中获得保障

,。

使用定义在中的术语和定义

GB/Z29830.2—2013GB/Z29830.1—2013。

该部分应与一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各种保障方法的保障特征这个分析有助于保障机构在确定每

3:。。

一种保障途径的相对值并确定保障途径使这些途径提供最适合于运行环境的具体上下文的需求的保

,

障结果而且这个分析还有助于保障机构运用保障方法的结果实现交付件所预想的确信度这部分

。,,。

材料面向的对象是那些必须选择保障方法和保障途径的安全专业人员

IT。

使用定义在中的术语和定义

GB/Z29830.3—2013GB/Z29830.1—2013。

该部分应与一并使用

GB/Z29830.1—2013。

本指导性技术文件分析了一些可能不为安全所专有的保障方法然而在指导性技术文件中所

IT;,

给出的指导将限于安全需求只对安全领域提供相应的指导并不期望这一指导对一般的质量

IT。IT,

管理评估或符合性具有指导意义

、IT。

GB/Z298302—2013/ISO/IECTR15443-22005

.:

信息技术安全技术

信息技术安全保障框架

第2部分保障方法

:

1范围

11意图

.

的本部分收集了一些保障方法其中还包括一些对整体安全具有作用但不是专

GB/Z29830,ICT

对安全的保障方法本部分概括了这些方法的目标描述了它们的特征以及引用文件和标准等

ICT。,。

原则上安全保障的最终结果是对运行中的产品系统或服务的保障因此最终的保障是应

,ICT、。,

用于产品系统或服务的生存阶段中每一种保障方法所得到的保障增量之和大量可用的保障方法均

、。

提供了应用于一个给定领域的必要指导以便获得公认的保障

,。

本部分使用中的基本保障概念和术语以一种概览的方式对本部分中所收

GB/Z29830.1—2013,,

集的每一项保障方法进行分类

通过使用这一分类本部分指导专业人员选择保障方法以及保障方法的可能组合以适合于

,ICT,

给定的安全产品系统或服务及其特定的环境

ICT、。

12适用领域

.

本部分以一种概括和概览的方式给出有关保障方法的指导为了从本部分所收集的方法中获得一

个量少的可用方法集合应采用排除其中不适宜的方法这一方式从中选择之

,。

这一概括是描述性的

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论