标准解读

GB/Z 29830.3-2013《信息技术 安全技术 信息技术安全保障框架 第3部分:保障方法分析》是中国国家标准化管理委员会发布的一项指导性技术文件,旨在为组织提供一套系统的方法来评估其信息安全保障措施的有效性。该标准属于GB/Z系列,意味着它提供了指南或建议性质的信息,并不强制执行。

本部分主要聚焦于如何对现有的或计划中的信息技术安全保障措施进行深入分析,以确保这些措施能够有效应对已识别的风险和威胁。具体来说,它涵盖了几个关键方面:

  • 定义与范围:明确了术语定义及标准适用的范围,帮助读者理解背景信息。
  • 保障方法分类:介绍了不同类型的安全保障方法及其特点,包括但不限于基于风险的、基于合规性的以及混合型的方法。
  • 分析过程:详细描述了如何开展安全保障方法分析的过程,从初步准备到最终报告生成的每一步骤都被涵盖在内。
  • 工具和技术:列举了一些可用于支持分析工作的工具和技术,如风险评估模型、安全审计软件等。
  • 案例研究:通过实际案例展示了上述理论和方法的应用方式,有助于加深理解和实践应用。

该标准强调了持续监控与改进的重要性,指出安全保障是一个动态过程,需要根据环境变化不断调整策略。同时,也提醒组织实施时应注意结合自身具体情况灵活运用相关原则,而非生搬硬套。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2013-11-12 颁布
  • 2014-02-01 实施
©正版授权
GB/Z 29830.3-2013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析_第1页
GB/Z 29830.3-2013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析_第2页
GB/Z 29830.3-2013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析_第3页
GB/Z 29830.3-2013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析_第4页
GB/Z 29830.3-2013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析_第5页

文档简介

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技术安全技术

信息技术安全保障框架

第3部分保障方法分析

:

Informationtechnology—Securitytechnology—AframeworkforITsecurity

assurance—Part3Analsisofassurancemethods

:y

(ISO/IECTR15443-3:2007,IDT)

2013-11-12发布2014-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/Z298303—2013/ISO/IECTR15443-32007

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

意图

1.1…………………1

应用

1.2…………………1

适用领域

1.3……………1

限制

1.4…………………1

术语和定义

2………………1

缩略语

3……………………3

对保障的理解

4……………4

保障目标的设置

4.1……………………4

保障方法的应用

4.2……………………6

保障结果的评估

4.3……………………10

例子

4.4…………………11

保障的比较选择和组合

5、………………11

保障途径的选择

5.1……………………11

保障方法的组合

5.2……………………13

保障方法的比较

5.3……………………13

关注的保障特性

5.4……………………14

指导

6………………………18

开发保障

6.1(DA)……………………19

集成保障

6.2(IA)………………………20

运行保障

6.3(OA)……………………23

附录资料性附录列表比较

A()…………26

附录资料性附录所选方法的保障特性

B()……………28

附录资料性附录保障方法的组合

C()…………………43

参考文献

……………………45

图保障供给

1………………5

图生存周期过程管理

2……………………9

图可用方法

3……………13

图矩阵比较原理

4………………………14

图保障关注

5……………19

图系统测试和评价

6……………………22

GB/Z298303—2013/ISO/IECTR15443-32007

.:

图测试要求演进

B.1……………………31

表供给的保障类型

1………………………5

表保障供给的使用

2………………………6

表保障的严格程度

3………………………7

表保障途径应用范围

4……………………7

表生存周期保障模型

5……………………8

表保障途径

6……………10

表比较的关键方面

7……………………15

表安全域

8………………24

表安全管理特性

9………………………24

表整个的成熟度

10OA…………………25

表方法和目标用户群

A.1………………26

表基本认证模式

A.2……………………27

表可用保障方法

A.3……………………27

GB/Z298303—2013/ISO/IECTR15443-32007

.:

前言

信息技术安全技术信息技术安全保障框架分为以下个部分

GB/Z29830《》3:

第部分综述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分为的第部分

GB/Z298303。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分采用翻译法等同采用信息技术安全技术信息技术安全保

ISO/IECTR15443-3:2007《

障框架第部分保障方法分析

3:》。

本部分做了下列编辑性修改

:

国际标准中的附录附录为资料性附录转标时予以删除

———D、E,。

本部分由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本部分主要起草单位中国电子技术标准化研究院北京化工大学

:、。

本部分主要起草人王晶张明天罗锋盈王延鸣陈星杨建军

:、、、、、。

GB/Z298303—2013/ISO/IECTR15443-32007

.:

引言

本指导性技术文件的目的是为了获得一个给定交付件满足其所指出的信息安全保障需求的信心

,,

给出各种保障方法并指导信息安全专业人员如何选择一个合适的保障方法或组合一些方法本指

,()。

导性技术文件审视了不同类型组织所提出的保障方法和途径包括已批准的标准和事实标准

,。

为了达到这一目的本指导性技术文件由以下个方面内容组成

,7:

一个框架模型用于定位现有的保障方法并给出它们之间的关系

a),;

一组保障方法以及对它们的描述和引用

b);

特定保障方法的共性和个性的表达

c);

现有保障方法的定性比较其中尽可能进行定量比较

d),;

与当前保障方法关联的保障模式的标识

e);

不同保障方法之间关系的描述以及

f);

有关保障方法的应用组合和认知的指导

g)、。

本指导性技术文件由部分组成对保障途径分析和相互间的关系处理如下

3,、:

第部分综述和框架概述了一些基础性概念例如保障保障框架等并给出了安全保障方法

1:。,、。

的一般性描述其目的是帮助理解本指导性技术文件的第部分和第部分内容第部分针对信息

。23。1

安全管理人员和其他人员其中包括负责开发安全保障程序确定他们的交付件的安全保障参加安全

,、、

评估审计或参加其他保障活动的人员

第部分保障方法描述由不同类型的组织提出和使用的各种安全保障方法和途径不论它

2:。IT,

们是被一般公认的事实上被认可的或标准的并把这些保障方法与第部分的保障模型关联起来重

、;1。

点是识别对保障有影响的保障方法的定性特征在可能的地方还将定义保障级别该材料面向安

,,。IT

全专业人员帮助理解如何在产品或服务的特定的生存周期阶段中获得保障

,。

使用定义在中的术语和定义

GB/Z29830.2—2013GB/Z29830.1—2013。

该部分应与一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各种保障方法的保障特征这个分析有助于保障机构在确定每

3:。。

一种保障途径的相对值并确定保障途径使这些途径提供最适合于运行环境的具体上下文的需求的保

,

障结果而且这个分析还有助于保障机构运用保障方法的结果实现交付件所预想的确信度这部分

。,,。

材料面向的对象是那些必须选择保障方法和保障途径的安全专业人员

IT。

使用定义在中的术语和定义

GB/Z29830.3—2013GB/Z29830.1—2013。

该部分应与一并使用

GB/Z29830.1—2013。

本指导性技术文件分析了一些可能不为安全所专有的保障方法然而在指导性技术文件中所

IT;,

给出的指导将限于安全需求只对安全领域提供相应的指导并不期望这一指导对一般的质量

IT。IT,

管理评估或符合性具有指导意义

、IT。

GB/Z298303—2013/ISO/IECTR15443-32007

.:

信息技术安全技术

信息技术安全保障框架

第3部分保障方法分析

:

1范围

11意图

.

的本部分的意图是为保障机构选择合适类型的信息通信技术保障方法提供指

GB/Z29830:ICT()

导并为特定环境铺设分析特定保障方法的框架

,。

12应用

.

本部分可使用户把特定保障需求和或典型保障情况与一些可用的保障方法所提供的一般性表现

/

特征相匹配

13适用领域

.

本部分的指导适用于具有安全需求的产品和系统的开发实现及运行

ICTICT、。

14限制

.

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论