信息安全技术 信息技术安全评估准则 第3部分:安全保障组件-编制说明_第1页
信息安全技术 信息技术安全评估准则 第3部分:安全保障组件-编制说明_第2页
信息安全技术 信息技术安全评估准则 第3部分:安全保障组件-编制说明_第3页
信息安全技术 信息技术安全评估准则 第3部分:安全保障组件-编制说明_第4页
信息安全技术 信息技术安全评估准则 第3部分:安全保障组件-编制说明_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划,《信息安全

技术信息技术安全评估准则第3部分:安全保障组件》由中国信息安全测评中

心负责承办,计划号:XXXXXX。该标准由全国信息安全标准化技术委员会归口

管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心负责起草,中国电子科技集团公司第十五研究所、华

为技术有限公司、北京天融信网络安全技术有限公司、浙江大华技术股份有限公

司、复旦大学、中科信息安全共性技术国家工程研究中心有限公司、中国科学院

信息工程研究所、成都虚谷伟业科技有限公司、北京数安行科技有限公司、合肥

天帷信息安全技术有限公司、陕西省网络与信息安全测评中心、安徽中科国创高

可信软件有限公司、武汉大学、科来网络技术股份有限公司、吉首大学、医渡云

(北京)技术有限公司、金篆信科有限责任公司等单位共同参与了该标准的起草

工作。

1.3主要工作过程

1)2021年9月至10月,征集标准参编单位,成立标准编制组。

2)2021年11月-12月,召开项目启动会,确定各参与单位任务分工,根据

项目进度安排,完善标准草案,测评中心在ISO/IEC15408的DIS版本上,修订

出标准草案第一稿,梳理出新修订标准中模块化评估、组合评估等新增加内容。

3)2022年2月24日,召开项目推进会,确定核心标准编制组。

4)2022年2月-4月,对编制单位按五部分标准内容和修订难度进行分组,

在标准草案第一稿的基础上,先后完成两次标准内容的修订工作,包含草案标准

内容与ISO/IEC15408的FDIS版本的比较、按照GB1.1和GB1.2的要求对标准格

式和内容进行修改,准备草案转征求意见稿评审。

5)2022.4.19,召开WG5工作组线上会议,征集组内意见,并进行草案转征

求意见稿评审工作组投票。

1

6)2022.4.27,召开WG5工作组专家线上研讨会,征集组内专家意见。

7)2022.5月-6月,测评中心对标准文本进行第三轮修订工作,重点对标准

中的长难句进行梳理。

8)2022.6月,标准试点验证工作正式启动。

9)2022年7月21日,召开线上会议反馈修订参与单位前期修订工作评价

推进会。

10)2022年7月-8月,组织部分参与单位针对术语部分与GB/T25069-2022

进行比对分析。

11)2022年8月9日,召开GB/T18336.3标准文本质量把关研讨会,根据

专家意见对标准中的“组合评估”和“复合评估”进行区分。

12)2022年8月10日-9月15日,根据质量把关会各专家意见进行文本修

改;根据ISO/IEC15408-3-2022发布版(2022年8月10日发布)对文本进行

校对。

13)2022年9月23日,通过安标委秘书处组织召开的标准转公开征求意见

稿评审会。

14)2022年9月23日-28日,项目组根据转公开征求意见稿评审会专家意

见,进行文本等的修改工作,最终形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准使用等同采用的方式进行修订,等同采用IS0/IEC15408-3:202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part3:Securityassurance

components》。ISO/IEC15408是目前国际上对信息安全测评认证最完善、最权

威、应用最广、最具普适性的技术标准,已在信息安全领域得到了广泛认可。国

际标准化组织几年前启动了ISO/IEC15408标准内容的修订工作,标准的内容发

生了较大变化,并将于今年内或明年初发布最终版。为了及时跟进国际信息安全

标准技术发展和最新动向,使其具有更好的时效性、连贯性和可操作性,使我国

在信息安全测评领域保持与国际同步的技术水平,同时为开发者、使用者、测评

者提供更为全面、科学、规范的标准指引。

三、主要试验[或验证]情况分析

本标准一方面为信息技术产品的安全测评工作提供依据,另一方面为信息技

2

术产业提升产品安全性提供重要的指引。同时,本标准承担单位长期从事基于

GB/T18336的测评工作,积累了大量经验,参编单位包括国内信息安全检测机

构、认证机构、信息技术产品及方案提供商等相关应用单位,对于标准的落地实

施可起到良好作用。

基于标准内容和适用范围,结合GB/T30270中的评估方法,试点验证工作

选取了高保障级芯片方向、手机终端方向、网络产品新变化、新技术新应用等技

术方向,重点验证国际标准中新增加和修订的概念、评估理念的适用性和科学性。

1、高保障级测评方向

拟验证标准中的高保障级相关安全保障要求对国产智能芯片类产品的适用

性。在分析通过国际EAL6及以上测评基础上,通过智能芯片类产品在结构合理

性分析、代码复杂度分析、完全形式化安全功能模型等方面的测评,来验证国产

芯片类产品高保障级相关安全保障要求的满足性和自测的充分性。

2、网络产品新变化方向

拟通过网络产品(硬件和软件)相关的Base-PP,防火墙PP-module,形成

的防火墙产品PP-configuration,来验证模块化评估对我国网络产品安全测评的适

用性和可操作性。

3、新技术新应用方向

拟依据GB/T18336对手机终端、智能家居产品等新型信息技术产品进行安全

性分析。重点对手机终端产品分析模块化评估的适用性和可操作性。对智能家居

IoT相关产品,重点验证在GB/T18336框架下,用户数据和隐私类相关安全功能

要求的适用性,并结合相关的自测验证产品安全功能对安全组件的满足性。

四、知识产权情况说明

本标准不涉及专利问题。

五、产业化情况、推广应用论证和预期达到的经济效果

依据此标准对信息技术产品测评的开展,为国家网络安全保驾护航,对国家

网络安全法律制度落地提供基础支撑;为我国建成全方位信息技术产品安全性评

估标准体系,起到基础框架作用,引领了我国网络安全评估技术的发展;提升了

我国基础软硬件安全可控水平,为我国ICT产业国际竞争力的增强起到了规范性、

指导性作用,凭借GB/T18336与国际标准体系的接轨优势,助力多家国内企业走

3

出国门。

六、采用国际标准和国外先进标准情况

本标准使用翻译法等同采用ISO/IEC15408-3:2022《信息安全网络安全

和隐私保护信息技术安全评估准则—第3部分:安全保障组件》编制。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准为推荐性国家标准。

十、贯彻标准的要求和措施建议

无。

十一、替代或废止现行相关标准的建议

建议本标准为推荐性国家标准,本文件和GB/T18336.4-202X、GB/T

18336.5-202X共同替代GB/T18336.3-2015。

十二、其它应予说明的事项

无。

国家标准《信息安全技术信息技术安全评估准则

第3部分:安全保障组件》编制工作组

2022年9月28日

4

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划,《信息安全

技术信息技术安全评估准则第3部分:安全保障组件》由中国信息安全测评中

心负责承办,计划号:XXXXXX。该标准由全国信息安全标准化技术委员会归口

管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心负责起草,中国电子科技集团公司第十五研究所、华

为技术有限公司、北京天融信网络安全技术有限公司、浙江大华技术股份有限公

司、复旦大学、中科信息安全共性技术国家工程研究中心有限公司、中国科学院

信息工程研究所、成都虚谷伟业科技有限公司、北京数安行科技有限公司、合肥

天帷信息安全技术有限公司、陕西省网络与信息安全测评中心、安徽中科国创高

可信软件有限公司、武汉大学、科来网络技术股份有限公司、吉首大学、医渡云

(北京)技术有限公司、金篆信科有限责任公司等单位共同参与了该标准的起草

工作。

1.3主要工作过程

1)2021年9月至10月,征集标准参编单位,成立标准编制组。

2)2021年11月-12月,召开项目启动会,确定各参与单位任务分工,根据

项目进度安排,完善标准草案,测评中心在ISO/IEC15408的DIS版本上,修订

出标准草案第一稿,梳理出新修订标准中模块化评估、组合评估等新增加内容。

3)2022年2月24日,召开项目推进会,确定核心标准编制组。

4)2022年2月-4月,对编制单位按五部分标准内容和修订难度进行分组,

在标准草案第一稿的基础上,先后完成两次标准内容的修订工作,包含草案标准

内容与ISO/IEC15408的FDIS版本的比较、按照GB1.1和GB1.2的要求对标准格

式和内容进行修改,准备草案转征求意见稿评审。

5)2022.4.19,召开WG5工作组线上会议,征集组内意见,并进行草案转征

求意见稿评审工作组投票。

1

6)2022.4.27,召开WG5工作组专家线上研讨会,征集组内专家意见。

7)2022.5月-6月,测评中心对标准文本进行第三轮修订工作,重点对标准

中的长难句进行梳理。

8)2022.6月,标准试点验证工作正式启动。

9)2022年7月21日,召开线上会议反馈修订参与单位前期修订工作评价

推进会。

10)2022年7月-8月,组织部分参与单位针对术语部分与GB/T25069-2022

进行比对分析。

11)2022年8月9日,召开GB/T18336.3标准文本质量把关研讨会,根据

专家意见对标准中的“组合评估”和“复合评估”进行区分。

12)2022年8月10日-9月15日,根据质量把关会各专家意见进行文本修

改;根据ISO/IEC15408-3-2022发布版(2022年8月10日发布)对文本进行

校对。

13)2022年9月23日,通过安标委秘书处组织召开的标准转公开征求意见

稿评审会。

14)2022年9月23日-28日,项目组根据转公开征求意见稿评审会专家意

见,进行文本等的修改工作,最终形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准使用等同采用的方式进行修订,等同采用IS0/IEC15408-3:202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part3:Securityassurance

components》。ISO/IEC15408是目前国际上对信息安全测评认证最完善、最权

威、应用最广、最具普适性的技术标准,已在信息安全领域得到了广泛认可。国

际标准化组织几年前启动了ISO/IEC15408标准内容的修订工作,标准的内容发

生了较大变化,并将于今年内或明年初发布最终版。为了及时跟进国际信息安全

标准技术发展和最新动向,使其具有更好的时效性、连贯性和可操作性,使我国

在信息安全测评领域保持与国际同步的技术水平,同时为开发者、使用者、测评

者提供更为全面、科学、规范的标准指引。

三、主要试验[或验证]情况分析

本标准一方面为信息技术产品的安全测评工作提供依据,另一方面为信息技

2

术产业提升产品安全性提供重要的指引。同时,本标准承担单位长期从事基于

GB/T18336的测评工作,积累了大量经验,参编单位包括国内信息安全检测机

构、认证机构、信息技术产品及方案提供商等相关应用单位,对于标准的落地实

施可起到良好作用。

基于标准内容和适用范围,结合GB/T30270中的评估方法,试点验证工作

选取了高保障级芯片方向、手机终端方向、网络产品新变化、新技术新应用等技

术方向,重点验证国际标准中新增加和修订的概念、评估理念的适用性和科学性。

1、高保障级测评方向

拟验证标准中的高保障级相关安全保障要求对国产智能芯片类产品的适用

性。在分析通过国际EAL6及以上测评基础上,通过智

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论