標(biāo)準(zhǔn)解讀

GB/T 20274.4-2008是中國關(guān)于信息安全技術(shù)領(lǐng)域的一個(gè)重要標(biāo)準(zhǔn),專注于信息系統(tǒng)安全保障評(píng)估框架的第四部分——工程保障。這一部分詳細(xì)闡述了在設(shè)計(jì)、實(shí)施、運(yùn)行及維護(hù)信息系統(tǒng)時(shí),如何確保其安全性的一系列原則、方法和要求。以下是該標(biāo)準(zhǔn)內(nèi)容的詳述:

該標(biāo)準(zhǔn)首先明確了工程保障在信息系統(tǒng)安全中的核心作用,強(qiáng)調(diào)了從工程項(xiàng)目管理的角度出發(fā),將安全融入信息系統(tǒng)生命周期的每一個(gè)階段,以實(shí)現(xiàn)全面和持續(xù)的安全保障。

1. 范圍與適用性
標(biāo)準(zhǔn)明確了其適用范圍,即適用于各類組織的信息系統(tǒng)工程項(xiàng)目的安全保障工作,包括但不限于政府機(jī)構(gòu)、企業(yè)、以及提供信息技術(shù)服務(wù)的組織。它覆蓋了從信息系統(tǒng)規(guī)劃、需求分析、設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)維到廢棄的全生命周期過程。

2. 工程保障原則
提出了若干關(guān)鍵原則,如安全需求的早期融入、安全設(shè)計(jì)的一致性與完整性、安全控制措施的有效實(shí)施與驗(yàn)證、以及持續(xù)的安全監(jiān)控與改進(jìn)。這些原則指導(dǎo)著工程實(shí)踐中安全措施的選擇與執(zhí)行。

3. 安全需求管理
強(qiáng)調(diào)了明確和細(xì)化信息系統(tǒng)安全需求的重要性,要求在項(xiàng)目初期通過風(fēng)險(xiǎn)評(píng)估來識(shí)別安全需求,并確保這些需求在整個(gè)項(xiàng)目周期中得到跟蹤與滿足。

4. 安全設(shè)計(jì)與實(shí)施
介紹了如何在信息系統(tǒng)的設(shè)計(jì)階段集成安全控制措施,確保設(shè)計(jì)滿足既定的安全需求。同時(shí),提供了實(shí)施過程中應(yīng)遵循的最佳實(shí)踐,包括安全配置管理、代碼審查、安全測(cè)試等,以減少漏洞并提高系統(tǒng)的健壯性。

5. 安全運(yùn)維與改進(jìn)
討論了信息系統(tǒng)運(yùn)行期間的安全管理,包括定期的安全審計(jì)、事件響應(yīng)、補(bǔ)丁管理及安全培訓(xùn)等。強(qiáng)調(diào)了持續(xù)監(jiān)控系統(tǒng)安全狀態(tài)的必要性,并基于監(jiān)測(cè)結(jié)果進(jìn)行必要的安全策略調(diào)整和改進(jìn)。

6. 審核與認(rèn)證
提到了在工程保障過程中引入第三方審核和認(rèn)證機(jī)制的價(jià)值,用以獨(dú)立驗(yàn)證安全控制措施的有效性和符合性,增強(qiáng)系統(tǒng)的可信度。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2008-07-18 頒布
  • 2008-12-01 實(shí)施
?正版授權(quán)
GB/T 20274.4-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分:工程保障_第1頁
GB/T 20274.4-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分:工程保障_第2頁
GB/T 20274.4-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分:工程保障_第3頁
GB/T 20274.4-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分:工程保障_第4頁
GB/T 20274.4-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分:工程保障_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余47頁可下載查看

下載本文檔

GB/T 20274.4-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分:工程保障-免費(fèi)下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標(biāo)準(zhǔn)

犌犅/犜20274.4—2008

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第4部分:工程保障

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋4:犈狀犵犻狀犲犲狉犻狀犵犪狊狊狌狉犪狀犮犲

20080718發(fā)布20081201實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜20274.4—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4本部分的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5信息系統(tǒng)安全工程保障框架!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1信息系統(tǒng)安全工程保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.2信息系統(tǒng)安全工程保障控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3信息系統(tǒng)安全工程能力成熟度級(jí)別!!!!!!!!!!!!!!!!!!!!!!!!!4

6信息安全工程保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2安全工程保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.3安全工程保障控制子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6.4安全工程保障控制組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

7PRM安全工程保障控制類:風(fēng)險(xiǎn)過程!!!!!!!!!!!!!!!!!!!!!!!!!6

7.1風(fēng)險(xiǎn)過程安全工程保障控制類介紹!!!!!!!!!!!!!!!!!!!!!!!!!6

7.2系統(tǒng)定義(PRM_SDF)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7.3評(píng)估威脅(PRM_ATT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7.4評(píng)估脆弱性(PRM_AVL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.5評(píng)估影響(PRM_AIM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.6評(píng)估安全風(fēng)險(xiǎn)(PRM_ASR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

8PEN安全工程保障控制類:工程過程!!!!!!!!!!!!!!!!!!!!!!!!!17

8.1工程過程安全工程保障控制類介紹!!!!!!!!!!!!!!!!!!!!!!!!!17

8.2確定安全要求(PEN_ISR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.3高層安全設(shè)計(jì)(PEN_HSD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

8.4詳細(xì)安全設(shè)計(jì)(PEN_DSD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

8.5安全工程實(shí)施(PEN_SEE)!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

8.6提供安全輸入(PEN_PSI)!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.7監(jiān)視安全態(tài)勢(shì)(PEN_MSP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

8.8管理安全控制(PEN_MSC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

8.9協(xié)調(diào)安全(PEN_COS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

9PAS安全工程保障控制類:保障過程!!!!!!!!!!!!!!!!!!!!!!!!!36

9.1保障過程安全工程保障控制類介紹!!!!!!!!!!!!!!!!!!!!!!!!!36

9.2驗(yàn)證和確認(rèn)安全(PAS_VVS)!!!!!!!!!!!!!!!!!!!!!!!!!!!37

9.3建立保證證據(jù)(PAS_EAE)!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

10安全工程保障控制類能力級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

10.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

10.2安全工程能力級(jí)別說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

犌犅/犜20274.4—2008

10.3信息系統(tǒng)安全工程能力級(jí)別要求!!!!!!!!!!!!!!!!!!!!!!!!!44

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

圖1安全工程過程生命周期!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

圖2安全工程保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

圖3安全工程保障控制子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖4安全工程保障控制組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

圖5風(fēng)險(xiǎn)過程說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

圖6系統(tǒng)定義(PRM_SDF)安全工程保障控制子類分解!!!!!!!!!!!!!!!!!!7

圖7評(píng)估威脅(PRM_ATT)安全工程保障控制子類分解!!!!!!!!!!!!!!!!!!8

圖8評(píng)估脆弱性(PRM_AVL)安全工程保障控制子類分解!!!!!!!!!!!!!!!!10

圖9評(píng)估影響(PRM_AIM)安全工程保障控制子類分解!!!!!!!!!!!!!!!!!13

圖10評(píng)估安全風(fēng)險(xiǎn)(PRM_ASR)安全工程保障控制子類分解!!!!!!!!!!!!!!!15

圖11工程過程安全工程保障控制類介紹!!!!!!!!!!!!!!!!!!!!!!!!18

圖12確定安全要求(PEN_ISR)安全工程保障控制子類分解!!!!!!!!!!!!!!!!18

圖13高層安全設(shè)計(jì)(PEN_HSD)安全工程保障控制子類分解!!!!!!!!!!!!!!!21

圖14詳細(xì)安全設(shè)計(jì)(PEN_DSD)安全工程保障控制子類分解!!!!!!!!!!!!!!!22

圖15安全工程實(shí)施(PEN_SEE)安全工程保障控制子類分解!!!!!!!!!!!!!!!24

圖16提供安全輸入(PEN_PSI)安全工程保障控制子類分解!!!!!!!!!!!!!!!!26

圖17監(jiān)視安全態(tài)勢(shì)(PEN_MSP)安全工程保障控制子類分解!!!!!!!!!!!!!!!29

圖18管理安全控制(PEN_MSC)安全工程保障控制子類分解!!!!!!!!!!!!!!!32

圖19協(xié)調(diào)安全(PEN_COS)安全工程保障控制子類分解!!!!!!!!!!!!!!!!!35

圖20保障過程安全工程保障控制類說明!!!!!!!!!!!!!!!!!!!!!!!!37

圖21驗(yàn)證和確認(rèn)安全(PAS_VVS)安全工程保障控制子類分解!!!!!!!!!!!!!!37

圖22建立保證證據(jù)(PAS_EAE)安全工程保障控制子類分解!!!!!!!!!!!!!!!39

圖23信息系統(tǒng)安全工程能力要求級(jí)別圖!!!!!!!!!!!!!!!!!!!!!!!!44

表1安全工程生命周期和過程域?qū)?yīng)表!!!!!!!!!!!!!!!!!!!!!!!!!3

犌犅/犜20274.4—2008

前言

GB/T20274《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》分為以下四個(gè)部分:

———第1部分:簡介和一般模型

———第2部分:技術(shù)保障

———第3部分:管理保障

———第4部分:工程保障

本部分是GB/T20274的第4部分。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本部分起草單位:中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心。

本部分主要起草人:吳世忠、王海生、陳曉樺、王貴駟、李守鵬、江常青、彭勇、張利、姚軼嶄、班曉芳、

李靜、王慶、鄒琪、錢偉明、江典盛、陸麗、孫成昊、門雪松、杜宇鴿、楊再山。

犌犅/犜20274.4—2008

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第4部分:工程保障

1范圍

GB/T20274的本部分建立了信息系統(tǒng)安全工程保障的框

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論