![信息安全技术 信息技术安全评估方法-编制说明_第1页](http://file4.renrendoc.com/view5/M01/35/12/wKhkGGZ42cmAOZTZAAJYVIi9Xn0716.jpg)
![信息安全技术 信息技术安全评估方法-编制说明_第2页](http://file4.renrendoc.com/view5/M01/35/12/wKhkGGZ42cmAOZTZAAJYVIi9Xn07162.jpg)
![信息安全技术 信息技术安全评估方法-编制说明_第3页](http://file4.renrendoc.com/view5/M01/35/12/wKhkGGZ42cmAOZTZAAJYVIi9Xn07163.jpg)
![信息安全技术 信息技术安全评估方法-编制说明_第4页](http://file4.renrendoc.com/view5/M01/35/12/wKhkGGZ42cmAOZTZAAJYVIi9Xn07164.jpg)
![信息安全技术 信息技术安全评估方法-编制说明_第5页](http://file4.renrendoc.com/view5/M01/35/12/wKhkGGZ42cmAOZTZAAJYVIi9Xn07165.jpg)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
国家标准报批资料
一、工作简况
1.1任务来源
根据国家标准化管理委员会2020年下达的国家标准制修订计划,《信息技术
安全技术信息技术安全性评估方法》由中国信息安全测评中心负责承办,计划
号:20210976-T-469。该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员
中国信息安全测评中心联合吉林信息安全测评中心、清华大学共同申报了此
标准的修订工作,在标准编制过程中,又先后吸纳了中国电子科技集团公司第十
五研究所、中国网络安全审查技术与认证中心、北京信息安全测评中心、华为技
术有限公司、北京天融信网络安全技术有限公司等15家企事业单位加入工作组。
目前工作组共18家单位。
1.3主要工作过程
1)2020年9月,征集标准参编单位,成立标准编制组。
2)2020年9月,召开项目启动会,确定各参与单位任务分工,根据项目进度
安排,完善标准草案,测评中心基于ISO/IEC18045:2008,修订出标准草案第一
稿,梳理出新旧版本的差异。
3)2020年10月,编制组范围内征求意见,讨论完善标准草案,形成标准草
案第二稿。
4)2020年10月至11月,召开标准研讨会,根据专家意见完善标准草案,形
成标准草案第三稿。
5)2020年11月,在WG5工作组全会上推进标准,根据专家意见完善标准草案,
形成标准草案第四稿。
6)2020年12月,召开标准研讨会,根据专家意见,后续应基于ISO/IEC18045
的最新版本对本标准进行修订后再继续推进。
7)2021年1月至3月,编制组基于ISO/IEC18045的DIS版更新标准内容。
8)2021年3月,参加标准阶段性检查评审会,继续根据专家意见完善标准内
容。
国家标准报批资料
9)2021年3月至10月,编制组内部对ISO/IEC18045新版标准中的技术变化
“ACE类:PP配置评估”、“组合评估”等内容进行研讨,并完善标准文本。
10)2021年11月,在WG5工作组全会上汇报标准,根据专家意见继续完善征
求意见稿。
11)2021年12月至2022年3月,编制组基于ISO/IEC18045的FDIS版本内容更
新标准文本,解决了ISO/IEC18045的FDIS版本与DIS版本差异化问题,并继续对
文本内容进行修改完善。
9)2022年4月,召开WG5工作组专家线上研讨会,征集组内专家意见。
10)2022年5月至8月,根据专家意见,并基于ISO/IEC18045:2022的IS版本
完善标准的征求意见稿,解决了ISO/IEC18045的IS版本与FDIS版本差异化问题,
以及与GB/T18336内容一致性问题。
11)2022年9月,召开WG5工作组专家线上研讨会,并根据专家意见完善标准
征求意见稿。
二、标准编制原则和确定主要内容的论据及解决的主要问题
此标准等同采用IS0/IEC18045:2022,是对GB/T30270-2013《信息技术安
全技术信息技术安全性评估方法》的修订,其内容是依据GB/T18336《信息安
全技术信息技术安全评估准则》对信息技术产品进行安全评估时依据的评估方
法,是GB/T18336的配套标准,为信息技术产品生产者、评估者以及最终用户使
用GB/T18336提供指导,在我国网络安全建设中起着非常重要的作用。
该标准具有很好的时效性、连贯性、易于理解与操作的特点。
本标准对信息技术安全性评估方法的描述,主要内容如下:
1)评估过程和相关评估任务
2)保护轮廓(APE)评估的评估方法
3)PP配置(ACE)评估的评估方法
4)安全目标(ASE)评估的评估方法
5)分别描述开发(ADV)、指南文档(AGD)、生命周期支持(ALC)、测试
(ATE)、脆弱性评定(AVA)、组合(ACO)各保障类的保障要求相应的评估方
法。
本标准与GB/T30270-2013相比,主要变化如下:
国家标准报批资料
1)去掉了“概述”部分(见2013年版第5章);
2)修改了“文档约定”(2013年版第6章的内容分别在本文件第5章、第
6章、第7章、第8章描述);
3)修改了“通用评估任务”(见第9章“评估过程与相关任务”);
4)修改了“保护轮廓评估”(见第10章“APE类:PP评估”);
5)修改了“ASE类:安全目标评估”(见第12章);
6)移动“缺陷纠正子活动”到“ALC类:生命周期支持”(见第15章);
7)删除了“EAL1评估”、“EAL2评估”、“EAL3评估”和“EAL4评估”
(见2013年版的第10章、第11章、第12章和第13章);
8)对评估活动描述方式进行了调整,按保障类的方式对各类评估活动进行
描述,包括:“ACE类:PP-配置评估”、“ADV类:开发”、“AGD类:指导性
文档”、“ALC类:生命周期支持”、“ATE类:测试”、“AVA类:脆弱性评
估”、“ACO类:组合”(见第11章、第13章、第14章、第15章、第16章、
第17章和第18章),其中增加了用于模块化评估的PP-模块、PP-配置相关内
容,以及复合评估相关内容;
9)增加了“脆弱性评定”(见附录B)、“评估技术和工具”(见附录C)。
三、主要试验[或验证]情况分析
本标准可配合国家标准GB/T18336《信息安全技术信息技术安全评估准则》
的使用,为信息技术产品的安全测试评估工作提供依据,可为信息技术产业提升
产品安全性提供指引和参考。同时,本标准承担单位长期从事基于GB/T18336
的测评工作,积累了大量经验,参编单位包括国内信息安全检测机构、认证机构、
信息技术产品及方案提供商等相关应用单位,对于标准的落地实施可起到良好作
用。
在标准修订过程中,结合标准中的技术变化内容,在试点验证工作中与GB/T
18336配合使用,主要选取了高保障级测评、网络产品新变化等技术方向,重点
验证国际标准中新增加和修订的概念、评估理念的适用性和科学性。
1)拟验证标准中的高保障级相关安全保障要求及评估方法对国产智能芯片
类产品的适用性。在分析通过国际EAL6及以上测评基础上,通过智能芯片类产
品在结构合理性分析、代码复杂度分析、完全形式化安全功能模型等方面的测评,
验证本标准在国产芯片类产品高保障级测评工作中的适用性。
国家标准报批资料
2)拟通过网络产品(硬件和软件)相关的Base-PP,防火墙PP-module,形
成的防火墙产品PP-configuration,来验证模块化评估对我国网络产品安全测
评的适用性和可操作性。
四、知识产权情况说明
本标准不涉及专利问题。
五、产业化情况、推广应用论证和预期达到的经济效果
本标准作为GB/T18336的配套标准,是GB/T18336在实际测评应用中的评
估方法说明,其可有效推广GB/T18336标准的应用,促进业界更好地开展安全
测评活动,进而排除产品隐患,提高产业的整体安全水平,保障国家的网络安全。
六、采用国际标准和国外先进标准情况
本标准使用翻译法等同采用ISO/IEC18045:2022《信息安全网络安全和隐
私保护信息技术安全评估准则-信息技术安全评估方法》编制。
七、与现行相关法律、法规、规章及相关标准的协调性
本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。
八、重大分歧意见的处理经过和依据
无。
九、标准性质的建议
建议本标准为推荐性国家标准。
十、贯彻标准的要求和措施建议
鉴于本标准是国家标准GB/T18336的配套标准,用于指导信息技术安全评估
工作,建议本标准在发布后尽快实施,以保持标准之间的一致性。
十一、替代或废止现行相关标准的建议
建议本标准为推荐性国家标准,替代GB/T30270-2013。
十二、其它应予说明的事项
无。
国家标准《信息技术安全技术信息技术安全性评估方法》编制工作组
2022.9.28
国家标准报批资料
一、工作简况
1.1任务来源
根据国家标准化管理委员会2020年下达的国家标准制修订计划,《信息技术
安全技术信息技术安全性评估方法》由中国信息安全测评中心负责承办,计划
号:20210976-T-469。该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员
中国信息安全测评中心联合吉林信息安全测评中心、清华大学共同申报了此
标准的修订工作,在标准编制过程中,又先后吸纳了中国电子科技集团公司第十
五研究所、中国网络安全审查技术与认证中心、北京信息安全测评中心、华为技
术有限公司、北京天融信网络安全技术有限公司等15家企事业单位加入工作组。
目前工作组共18家单位。
1.3主要工作过程
1)2020年9月,征集标准参编单位,成立标准编制组。
2)2020年9月,召开项目启动会,确定各参与单位任务分工,根据项目进度
安排,完善标准草案,测评中心基于ISO/IEC18045:2008,修订出标准草案第一
稿,梳理出新旧版本的差异。
3)2020年10月,编制组范围内征求意见,讨论完善标准草案,形成标准草
案第二稿。
4)2020年10月至11月,召开标准研讨会,根据专家意见完善标准草案,形
成标准草案第三稿。
5)2020年11月,在WG5工作组全会上推进标准,根据专家意见完善标准草案,
形成标准草案第四稿。
6)2020年12月,召开标准研讨会,根据专家意见,后续应基于ISO/IEC18045
的最新版本对本标准进行修订后再继续推进。
7)2021年1月至3月,编制组基于ISO/IEC18045的DIS版更新标准内容。
8)2021年3月,参加标准阶段性检查评审会,继续根据专家意见完善标准内
容。
国家标准报批资料
9)2021年3月至10月,编制组内部对ISO/IEC18045新版标准中的技术变化
“ACE类:PP配置评估”、“组合评估”等内容进行研讨,并完善标准文本。
10)2021年11月,在WG5工作组全会上汇报标准,根据专家意见继续完善征
求意见稿。
11)2021年12月至2022年3月,编制组基于ISO/IEC18045的FDIS版本内容更
新标准文本,解决了ISO/IEC18045的FDIS版本与DIS版本差异化问题,并继续对
文本内容进行修改完善。
9)2022年4月,召开WG5工作组专家线上研讨会,征集组内专家意见。
10)2022年5月至8月,根据专家意见,并基于ISO/IEC18045:2022的IS版本
完善标准的征求意见稿,解决了ISO/IEC18045的IS版本与FDI
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 【正版授权】 IEC 62561-5:2023 EN-FR Lightning protection system components (LPSC) - Part 5: Requirements for earth electrode inspection housings and earth electrode seals
- 【正版授权】 IEC 62546:2009 EN-FR High definition (HD) recording link guidelines
- 合同协议机床买卖合同(2024版)
- 2024节能降碳你我同行丨节能倡议书
- 合规审计与审计整改工作计划三篇
- 机械设备采购招标合同
- 医院绩效考核与激励计划三篇
- 2023年稀有稀土金属压延加工材项目评估分析报告
- 呼吸内科护理工作下半年总结
- 用工合同模板示范
- 2024-2029年中国OPS电脑主机行业市场现状分析及竞争格局与投资发展研究报告
- 数据资源入表法律合规问题探讨
- 污泥技术污泥运输方案
- (2024年)TPM管理培训课件(PPT6)(正式完美版)
- 出版分成协议书
- 《养老护理员》-课件:老年人安全防范及相关知识
- 13.1 依法理性维权(导学案及练习题)-【中职专用】中职思想政治《职业道德与法治》同步课堂导学案+练习题(高教版2023·基础模块)
- 人教版八年级数学下册 第十八章 平行四边形第十八章 平行四边形 单元解读课件(课件)
- 自主游戏中教师指导策略研究
- 供热公司安全教育知识
- 半年电影院工作总结
评论
0/150
提交评论