《信息技术 安全保障框架 第二部分 保障方法》编制说明

一、任务来源

《信息技术安全保障框架第2部分保障方法》是全国信息安全标准化技

术委员会2009年度信息安全专项中标准制修订项目之一，属2009年国家标准制

定项目。项目计划号：20090332-T-469。

二、研究目标

通过紧密跟踪和深入研究国际标准ISO/IECTR15443《信息技术安全保障

框架》三个部分标准以及相关的工作文件和学术文献，参考现有的信息安全国内

国际标准，制定出适用于信息安全保障工作的安全保障框架。

结合其他信息安全标准规范及各类安全保障方法，保证《信息技术安全保

障框架第2部分保障方法》在信息安全具体工作中起到指导作用。

三、研究内容

跟踪和研究国际标准ISO/IECTR15443《信息技术安全保障框架》的三个

部分以及相关工作文件和学术文献，结合我国已有的信息及信息安全国家标准，

针对信息安全管理人员和其他人员，其中包括负责开发安全保障程序、确定他们

的交付件的安全保障、参加安全评估审计或参加其它保障活动的人员，给出了安

全保障框架的一般性描述，分析各种保障方法的保障特性。帮助保障机构确定每

一种保障途径的相对值，帮助相关人员选择最适合于需要保障结果的保障途径。

四、编制原则

鉴于我国在IT网络安全标准体系方面的研究现状，为了保证IT安全保障

框架的完整性、科学性和严谨性，编制组的倾向是基本等同采用ISO/IEC15443-2

《信息技术安全保障框架第2部分保障方法》，只根据我国标准制定规范，修

改个别内容的编排。

五、主要工作过程

1、2008－2010年，跟踪研究国际信息技术安全保障框架相关标准发展动态，

翻译了国际标准ISO/IEC15443-1多个版本的中文文本，且多次在专家、成员单

位、管理部门等范围内进行讨论和征求意见，并根据这些意见形成了翻译稿；

2、2010年3月—2010年5月，广泛地收集ISO/IEC15443-2《信息技术

安全保障框架第2部分保障方法》的相关资料和国内外地信息安全相关文档、

资料、学术文献和法律法规，形成本标准第一阶段草稿；

3、2010年6月—2010年8月，对第一阶段草稿细化、校对翻译稿，重新

整理语序，形成本标准第二阶段草稿；

4、2010年9月—2010年10月，对搜集到的资料分类整理、规范语言，

统一格式，并对翻译稿进行再次细化校对，形成本标准的征求意见稿；

5、2010年11月—12月，编制组对专家新的反馈意见进行了处理，并经过

内部讨论商议，对文本进一步的完善形成了《信息技术安全保障框架第2部分

保障方法》标准征求意见稿第二稿。

6、2011年1月，参加北京评审会，听取相关专家意见和建议，对标准中一

些有争议的用词进行评定和修改。

7、2011年4月，对专家新的反馈意见进行了处理，形成了一个新版本，后

又经过内部讨论商议，进一步完善文本，形成了《信息技术安全保障框架第2

部分保障方法》标准征求意见稿第三稿。

8、2011年8月，对新的反馈意见进行了处理，形成了《信息技术安全保

障框架第2部分保障方法》标准送审稿。

9、2011年10月，根据专家对送审稿的反馈意见对标准重新修改完善，形

成了报批稿。

六、主要内容

本标准的目的是，为获得一个给定交付件满足其所指出的信息安全保障需求

的信心，给出各种保障方法，并指导信息安全专业人员如何选择一个合适的保障

方法（或组合一些方法）。这一报告审视了不同类型组织所提出的保障方法和途径，

包括已批准的标准和事实上标准。

信息技术安全保障框架第二部分保障方法，描述由不同类型的组织提出和

使用的各种IT安全保障方法和途径，不论它们是被一般公认的、事实上被认可的

或标准的；并把这些保障方法与第一部分的保障模型关联起来。重点是识别对保

障有影响的保障方法的定性特征，在可能的地方，还将定义保障级别。该标准面

向IT安全专业人员，帮助理解如何在产品或服务的特定的生命周期阶段中获得保

障。

本标准的主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语定义与缩略语

4方法概述和表达

5保障的生命周期阶段与图示符号

6保障方法

七、有关技术问题的说明

1、关于术语定名的说明

1）accreditation

“accreditation”一词在本标准中统一为“认可”。

2)approach

“approach”一词在本标准中统一为“途径”。

3）assessment

“assessment”一词在本标准中统一为“评估”。

4）assurance

“assurance”一词在本标准中译为“保障”。

5）assuranceapproach

“assuranceapproach”一词在本标准中统一为“保障途径”。

6）assuranceargument

“assuranceargument”一词在本标准中统一为“保障论据”。

7）assuranceassessment

“assuranceassessment”一词在本标准中统一为“保障评估”。

8)assuranceauthority

“assuranceauthority”一词在本标准中统一为“保障机构”。

9）assuranceevidence

“SecurityDimension”一词在本标准中统一为“保障证据”。

10）assurancelevel

“assurancelevel”一词在本标准中统一为“保障等级”。

11）assurancemethod

“assurancemethod”一词在本标准中统一为“保障方法”。

12）assuranceproperty

“assuranceproperty”一词在本标准中统一为“保障特性”。

13）assuranceresult

“assuranceresult”一词在本标准中统一为“保障结果”。

14）assurancescheme

“assurancescheme”一词在本标准中统一为“保障模式”。

15）assurancestage

“assurancestage”一词在本标准中统一为“保障阶段”。

16）certification

“certification”一词在本标准中统一为“认证”。

17）confidence

“confidence”一词在本标准中统一为“信心”。

18）deliverable

“deliverable”一词在本标准中统一为“交付件”。

19）evaluation

“evaluation”一词在本标准中统一为“评价”。

20）guarantee

“guarantee”一词在本标准中统一为“保证”。

21）ITsecurityproduct

“ITsecurityproduct”一词在本标准中统一为“IT安全产品”。

22）lifecyclestage

“lifecyclestage”一词在本标准中统一为“生存周期阶段”。

23）pedigree

“pedigree”一词在本标准中统一为“良源”。

24）process

“process”一词在本标准中统一为“过程”。

25）processassurance

“processassurance”一词在本标准中统一为“过程保障”。

26）product

“product”一词在本标准中统一为“产品”。

27）scheme

“scheme”一词在本标准中统一为“模式”。

28）security

“security”一词在本标准中统一为“安全”。

29）securityassessment

“securityassessment”一词在本标准中统一为“安全评估”。

30）securityelement

“securityelement”一词在本标准中统一为“安全元素”。

31）service

“service”一词在本标准中统一为“服务”。

32）stakeholder

“stakeholder”一词在本标准中统一为“利益攸关方”。

33）system

“system”一词在本标准中统一为“系统”。

34）sy