GB/Z 30286-2013信息安全技术信息系统保护轮廓和信息系统安全目标产生指南

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z30286—2013

信息安全技术

信息系统保护轮廓和信息系统安全目标

产生指南

Informationsecuritytechnology—

Guidefortheproductionofinformationsystem

protectprofileandinformationsystemsecuritytarget

2013-12-31发布2014-07-15实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/Z30286—2013

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

和概述

4ISPPISST………………………1

和的用途

4.1ISPPISST………………1

和的内容

4.2ISPPISST………………1

和的目标读者

4.3ISPPISST…………4

和的产生过程

5ISPPISST………………4

和的描述部分

6ISPPISST………………5

概述

6.1…………………5

和标识

6.2ISPPISST…………………5

和概述

6.3ISPPISST…………………5

应用注解

6.4ISPP………………………6

信息系统描述

7……………6

概述

7.1…………………6

信息系统使命描述

7.2…………………6

信息系统概要描述

7.3…………………6

信息系统详细描述

7.4…………………6

安全保障需求

8……………7

概述

8.1…………………7

识别和说明假设

8.2……………………7

识别和说明威胁

8.3……………………8

识别和确定组织安全策略

8.4…………11

明确安全保障需求定义

8.5……………12

安全保障目的

9……………12

概述

9.1…………………12

威胁假设和组织安全策略的列表

9.2、………………13

信息系统环境保障目的

9.3……………13

信息系统安全保障目的

9.4……………13

安全保障要求

10…………………………13

概述

10.1………………13

安全技术保障要求

10.2………………15

安全管理保障要求

10.3………………19

Ⅰ

GB/Z30286—2013

或中的安全工程保障要求

10.4ISPPISST…………20

信息系统概要规范

11……………………22

概述

11.1………………22

信息系统概要规范概述

11.2…………22

安全保障措施的选择

11.3……………23

声明

12ISPP………………24

概述

12.1………………24

引用

12.2ISPP…………………………24

裁剪

12.3ISPP…………………………24

附加项

12.4ISPP………………………24

符合性声明

13……………25

概述

13.1………………25

安全保障目的的符合性声明

13.2……………………25

安全保障要求的符合性声明

13.3……………………27

附录资料性附录从选取

A()GB/T20274.2—2008STRs…………29

附录资料性附录从选取

B()GB/T20274.3—2008SMRs…………33

附录资料性附录从选取

C()GB/T20274.4—2008SERs…………36

参考文献

……………………37

Ⅱ

GB/Z30286—2013

前言

本指导性技术文件按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本指导性技术文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本指导性技术文件主要起草单位中国信息安全测评中心中国信息安全测评中心华中测评中心

:、、

华北计算技术研究所

。

本指导性技术文件主要起草人江常青张利姚轶崭佟鑫彭勇陆丽胡卫华付敏周瑾

:、、、、、、、、。

Ⅲ

GB/Z30286—2013

引言

本指导性技术文件是信息安全技术信息系统安全保障评估框架系列标准的配套

GB/T20274《》

指南文件为信息系统保护轮廓和信息系统安全目标

,(InformationSystemProtectProfile,ISPP)

的编制提供指导

(InformationSystemSecurityTarget,ISST)。

本指导性技术文件的使用者应熟悉系列标准

GB/T20274。

Ⅳ

GB/Z30286—2013

信息安全技术

信息系统保护轮廓和信息系统安全目标

产生指南

1范围

本指导性技术文件给出了编制信息系统保护轮廓和信息系统安全目标的过程为编

(ISPP)(ISST),

写和提供指导

ISPPISST。

本指导性技术文件适用于应用系列标准进行信息系统安全性保障评估的评估者和确

GB/T20274

认评估者行为的认证者系统开发者等

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息系统安全保障评估框架第部分简介和一般模型

GB/T20274.1—20061:

信息安全技术信息系统安全保障评估框架第部分技术保障

GB/T20274.2—20082:

信息安全技术信息系统安全保障评估框架第部分管理保障

GB/T20274.3—20083:

信息安全技术信息系统安全保障评估框架第部分工程保障

GB/T20274.4—20084:

信息安全技术信息安全风险评估规范

GB/T20984—2007

3术语和定义

界定的

GB/T20274.1—2006、GB/T20274.2—2008、GB/T20274.3—2008、GB/T20274.4—2008

术语和定义适用于本文件

。

4ISPP和ISST概述

41ISPP和I