《信息技术 安全保障框架 第三部分 保障方法分析》编制说明

一、任务来源

《信息技术安全保障框架第3部分保障方法分析》是全国信息安全标准

化技术委员会2009年度信息安全专项中标准制修订项目之一，属2009年国家标

准制定项目。项目计划号：20090333-T-469。

二、研究目标

通过紧密跟踪和深入研究国际标准ISO/IECTR15443《信息技术安全保障

框架》三个部分标准以及相关的工作文件和学术文献，参考现有的信息安全国内

国际标准，制定出适用于信息安全保障工作的安全保障框架。

结合其他信息安全标准规范及各类安全保障方法，保证《信息技术安全保

障框架第3部分保障方法分析》在信息安全具体工作中起到指导作用。

三、研究内容

跟踪和研究国际标准ISO/IECTR15443《信息技术安全保障框架》的三个

部分以及相关工作文件和学术文献，结合我国已有的信息及信息安全国家标准，

针对信息安全管理人员和其他人员，其中包括负责开发安全保障程序、确定他们

的交付件的安全保障、参加安全评估审计或参加其它保障活动的人员，给出了安

全保障框架的一般性描述，分析各种保障方法的保障特性。帮助保障机构确定每

一种保障途径的相对值，帮助相关人员选择最适合于需要保障结果的保障途径。

四、编制原则

鉴于我国在IT网络安全标准体系方面的研究现状，为了保证IT安全保障

框架的完整性、科学性和严谨性，编制组的倾向是基本等同采用ISO/IEC15443-3

《信息技术安全保障框架第3部分保障方法分析》，只根据我国标准制定规

范，修改个别内容的编排。

五、主要工作过程

1、2008－2010年，跟踪研究国际信息技术安全保障框架相关标准发展动态，

翻译了国际标准ISO/IEC15443-1多个版本的中文文本，且多次在专家、成员单

位、管理部门等范围内进行讨论和征求意见，并根据这些意见形成了翻译稿；

2、2010年3月—2010年5月，广泛地收集ISO/IEC15443-3《信息技术

安全保障框架第3部分保障方法分析》的相关资料和国内外地信息安全相关文

档、资料、学术文献和法律法规，形成本标准第一阶段草稿；

3、2010年6月—2010年8月，对第一阶段草稿细化、校对翻译稿，重新

整理语序，形成本标准第二阶段草稿；

4、2010年9月—2010年10月，对搜集到的资料分类整理、规范语言，

统一格式，并对翻译稿进行再次细化校对，形成本标准的征求意见稿；

5、2010年11月—12月，编制组对专家新的反馈意见进行了处理，并经过

内部讨论商议，对文本进一步的完善形成了《信息技术安全保障框架第3部分

保障方法分析》标准征求意见稿第二稿。

6、2011年1月，参加北京评审会，听取相关专家意见和建议，对标准中一

些有争议的用词进行评定和修改。

7、2011年4月，对专家新的反馈意见进行了处理，形成了一个新版本，后

又经过内部讨论商议，进一步完善文本，形成了《信息技术安全保障框架第3

部分保障方法分析》标准征求意见稿第三稿。

8、2011年8月，对新的反馈意见进行了处理，《信息技术安全保障框架第

3部分保障方法分析》标准送审稿。

9、2011年10月，根据专家对送审稿的反馈意见对标准重新修改完善，形

成了报批稿

六、主要内容

本标准的目的是，为获得一个给定交付件满足其所指出的信息安全保障需求

的信心，给出各种保障方法，并指导信息安全专业人员如何选择一个合适的保障

方法（或组合一些方法）。这一报告审视了不同类型组织所提出的保障方法和途径，

包括已批准的标准和事实上标准。

第3部分保障方法分析，分析了各种保障方法的保障特征。这个分析有助于

保障权威在确定每一种保障途径的相对值并确定保障途径，使这些途径提供最适

合于运行环境的具体上下文的需求的保障结果。而且，这个分析还有助于保障权

威运用保障方法的结果，实现交付件所预想的确信度。这部分材料面向的对象是

那些必须选择保障方法和保障途径的IT安全专业人员。

本标准的主要框架如下：

前言

引言

1范围

2标准引用文件

3术语和定义

4缩写术语

5概念性框架

6选择的一般指导

7指导方法

8开发保障（DA）指导

9集成保障（IA）指导

10运行保障（OA）指导

附录A所选方法的保障属性

附录B保障方法的合成

附录C案例研究

参考文献

七、有关技术问题的说明

1、关于术语定名的说明

1）accreditation

“accreditation”一词在本标准中统一为“认可”。

2)approach

“approach”一词在本标准中统一为“途径”。

3）assessment

“assessment”一词在本标准中统一为“评估”。

4）assurance

“assurance”一词在本标准中译为“保障”。

5）assuranceapproach

“assuranceapproach”一词在本标准中统一为“保障途径”。

6）assuranceargument

“assuranceargument”一词在本标准中统一为“保障论据”。

7）assuranceassessment

“assuranceassessment”一词在本标准中统一为“保障评估”。

8)assuranceauthority

“assuranceauthority”一词在本标准中统一为“保障机构”。

9）assuranceevidence

“SecurityDimension”一词在本标准中统一为“保障证据”。

10）assurancelevel

“assurancelevel”一词在本标准中统一为“保障等级”。

11）assurancemethod

“assurancemethod”一词在本标准中统一为“保障方法”。

12）assuranceproperty

“assuranceproperty”一词在本标准中统一为“保障特性”。

13）assuranceresult

“assuranceresult”一词在本标准中统一为“保障结果”。

14）assurancescheme

“assurancescheme”一词在本标准中统一为“保障模式”。

15）assurancestage

“assurancestage”一词在本标准中统一为“保障阶段”。

16）certification

“certification”一词在本标准中统一为“认证”。

17）confidence

“confidence”一词在本标准中统一为“信心”。

18）deliverable

“deliverable”一词在本标准中统一为“交付件”。

19）evaluation

“evaluation”一词在本标准中统一为“评价”。

20）guarantee

“guarantee”一词在本标准中统一为“保证”。

21）ITsecurityproduct

“ITsecurityproduct”一词在本标准中统一为“IT安全产品”。

22）lifecyclestage

“lifecyclestage”一词在本标准中统一为“生存周期阶段”。

23）pedigree

“pedigree”一词在本标准中统一为“良源”。

24）process

“process”一词在本标准中统一为“过程”。

25）processassurance

“processassurance”一词在本标准中统一为“过程保障”。

26）product

“product”一词在本标准中统一为“产品”。

27）scheme

“scheme”一词在本标准中统一为“模式”。

28）security

“security”一词在本标准中统一为“安全”。

29）securityassessment

“securityassessment”一词在本标准中统一为“安全评估”。

30）securityelement

“securityelement”一词在本标准中统一为“安全元素”。

31）service

“service”一词在本标准中统一为“服务”。

32）stakeholder

“stakeholder”一词在本标准中统一为“利益攸关方”。

33）system

“system”一词在本标准中统一为“系统”。

34）syst