標(biāo)準(zhǔn)解讀

《GB/Z 29830.1-2013 信息技術(shù) 安全技術(shù) 信息技術(shù)安全保障框架 第1部分:綜述和框架》是中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的一項指導(dǎo)性技術(shù)文件,旨在為組織提供一個全面的信息技術(shù)安全保障框架。該標(biāo)準(zhǔn)從宏觀角度出發(fā),介紹了信息技術(shù)安全保障的基本概念、原則以及構(gòu)成要素,并提出了一套涵蓋整個生命周期的安全保障方法論。

在內(nèi)容結(jié)構(gòu)上,本標(biāo)準(zhǔn)首先定義了“信息技術(shù)安全保障”的含義及其重要性,強調(diào)了通過有效的安全措施來保護(hù)信息資產(chǎn)免受各種威脅的必要性。接著,它概述了一個包含多個關(guān)鍵組成部分的框架模型,這些組件包括但不限于風(fēng)險管理、安全策略制定與實施、安全控制的選擇與應(yīng)用等。此外,還特別提到了持續(xù)監(jiān)控和改進(jìn)機制對于維持高水平信息安全狀態(tài)的重要性。

標(biāo)準(zhǔn)中提到的信息技術(shù)安全保障框架被設(shè)計成靈活且可擴展的形式,以適應(yīng)不同類型組織的具體需求。這意味著無論是大型企業(yè)還是小型機構(gòu),都可以根據(jù)自身情況調(diào)整使用此框架中的建議實踐,從而建立起適合自己環(huán)境特點的信息安全管理體系。同時,該框架也鼓勵各組織之間進(jìn)行合作共享最佳實踐,共同提升整體行業(yè)的信息安全水平。

標(biāo)準(zhǔn)還詳細(xì)描述了如何將這一框架應(yīng)用于實際工作中,比如通過建立明確的安全目標(biāo)、識別潛在風(fēng)險點、選擇合適的防護(hù)措施等一系列步驟來構(gòu)建或優(yōu)化現(xiàn)有的信息安全架構(gòu)。此外,還提供了關(guān)于如何評估現(xiàn)有安全狀況、規(guī)劃未來發(fā)展方向等方面的指導(dǎo)思路,幫助用戶更好地理解和執(zhí)行相關(guān)的安全管理活動。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2013-11-12 頒布
  • 2014-02-01 實施
?正版授權(quán)
GB/Z 29830.1-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第1部分:綜述和框架_第1頁
GB/Z 29830.1-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第1部分:綜述和框架_第2頁
GB/Z 29830.1-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第1部分:綜述和框架_第3頁
GB/Z 29830.1-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第1部分:綜述和框架_第4頁
GB/Z 29830.1-2013信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第1部分:綜述和框架_第5頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z298301—2013/ISO/IECTR15443-12005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第1部分綜述和框架

:

Informationtechnology—Securitytechnology—Aframeworkfor

ITsecuritassurance—Part1Overviewandframework

y:

(ISO/IECTR15443-1:2005,IDT)

2013-11-12發(fā)布2014-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

中華人民共和國

國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第1部分綜述和框架

:

GB/Z29830.1—2013/ISO/IECTR15443-1:2005

*

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

20144

*

書號

:155066·1-48740

版權(quán)專有侵權(quán)必究

GB/Z298301—2013/ISO/IECTR15443-12005

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

意圖

1.1…………………1

途徑

1.2…………………1

應(yīng)用

1.3…………………1

適用領(lǐng)域

1.4……………1

限制性

1.5………………1

術(shù)語和定義

2………………1

縮略語

3……………………5

概念

4………………………6

為什么需要保障

4.1……………………6

保障與信心的區(qū)別

4.2…………………6

什么是交付件

4.3………………………7

利益攸關(guān)方

4.4…………………………7

保障需求

4.5……………8

保障方法對安全的適用性

4.6IT………………………8

保障模式

4.7……………9

保障風(fēng)險量化與機制增強

4.8…………9

保障減少安全風(fēng)險

4.9…………………9

量化保障

4.10……………9

選擇安全保障

5……………10

保障需求描述

5.1………………………10

經(jīng)濟(jì)方面

5.2……………11

組織方面

5.3……………11

保障類型

5.4……………12

技術(shù)方面

5.5……………12

優(yōu)化方面的考慮

5.6……………………13

框架

6………………………13

保障途徑

6.1……………13

保障方法

6.2……………13

生存周期方面

6.3………………………14

正確性保障與有效性保障

6.4…………15

保障方法分類

6.5………………………15

組合保障

6.6……………16

保障評定

6.7……………17

GB/Z298301—2013/ISO/IECTR15443-12005

.:

參考文獻(xiàn)

……………………18

圖保障方法與一個簡化的典型的生存周期階段的關(guān)系

1……………15

圖現(xiàn)有保障方法的分類

2………………16

表保障方法示例

1………………………14

GB/Z298301—2013/ISO/IECTR15443-12005

.:

前言

信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架分為以下個部分

GB/Z29830《》3:

第部分綜述和框架

———1:;

第部分保障方法

———2:;

第部分保障方法分析

———3:。

本部分為的第部分

GB/Z298301。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分采用翻譯法等同采用信息技術(shù)安全技術(shù)信息技術(shù)安全保

ISO/IECTR15443-1:2005《

障框架第部分綜述和框架

1:》。

本部分做了如下編輯性修改

:

國際標(biāo)準(zhǔn)與為重復(fù)性內(nèi)容轉(zhuǎn)標(biāo)時刪除

———2.92.16,2.16。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分主要起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院

:。

本部分主要起草人羅鋒盈張明天王延鳴陳星楊建軍

:、、、、。

GB/Z298301—2013/ISO/IECTR15443-12005

.:

引言

本指導(dǎo)性技術(shù)文件的目的是為了獲得一個給定交付件滿足其所指出的信息安全保障需求的信心

,,

給出各種保障方法并指導(dǎo)信息安全專業(yè)人員如何選擇一個合適的保障方法或組合一些方法這一

,()。

報告審視了不同類型組織所提出的保障方法和途徑包括已批準(zhǔn)的標(biāo)準(zhǔn)和事實標(biāo)準(zhǔn)

,。

為了達(dá)到這一目的本指導(dǎo)性技術(shù)文件由以下個方面內(nèi)容組成

,7:

一個框架模型用于定位現(xiàn)有的保障方法并給出它們之間的關(guān)系

a),;

一組保障方法以及對它們的描述和引用

b);

特定保障方法的共性和個性的表達(dá)

c);

現(xiàn)有保障方法的定性比較其中盡可能進(jìn)行定量比較

d),;

與當(dāng)前保障方法關(guān)聯(lián)的保障模式的標(biāo)識

e);

不同保障方法之間關(guān)系的描述以及

f);

有關(guān)保障方法的應(yīng)用組合和認(rèn)知的指導(dǎo)

g)、。

本指導(dǎo)性技術(shù)文件由部分組成對保障途徑分析和相互間的關(guān)系處理如下

3,、:

第部分綜述和框架概述了一些基礎(chǔ)性概念例如保障保障框架等并給出了安全保障方法的

1:。,、,

一般性描述其目的是幫助理解本指導(dǎo)性技術(shù)文件的第部分和第部分內(nèi)容第部分針對信息安

。23。1

全管理人員和其他人員其中包括負(fù)責(zé)開發(fā)安全保障程序確定他們的交付件的安全保障參加安全評

,、、

估審計或參加其他保障活動的人員

。

第部分保障方法描述由不同類型的組織提出和使用的各種安全保障方法和途徑不論它

2:。IT,

們是被一般公認(rèn)的事實上被認(rèn)可的或標(biāo)準(zhǔn)的并把這些保障方法與第部分的保障模型關(guān)聯(lián)起來重

、;1。

點是識別對保障有影響的保障方法的定性特征在可能的地方還將定義保障級別該材料面向安

,,。IT

全專業(yè)人員幫助理解如何在產(chǎn)品或服務(wù)的特定的生存周期階段中獲得保障

,。

使用定義在中的術(shù)語和定義

GB/Z29830.2—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

第部分保障方法分析分析了各種保障方法的保障特征這個分析有助于保障機構(gòu)在確定每

3:。。

一種保障途徑的相對值并確定保障途徑使這些途徑提供最適合于運行環(huán)境的具體上下文的需求的保

,

障結(jié)果而且這個分析還有助于保障機構(gòu)運用保障方法的結(jié)果實現(xiàn)交付件所預(yù)想的確信度這部分

。,,。

材料面向的對象是那些必須選擇保障方法和保障途徑的安全專業(yè)人員

IT。

使用定義在中的術(shù)語和定義

GB/Z29830.3—2013GB/Z29830.1—2013。

該部分應(yīng)與一并使用

GB/Z29830.1—2013。

本指導(dǎo)性技術(shù)文件分析了一些可能不為安全所專有的保障方法然而在指導(dǎo)性技術(shù)文件中所

IT;,

給出的指導(dǎo)將限于安全需求只對安全領(lǐng)域提供相應(yīng)的指導(dǎo)并不期望這一指導(dǎo)對一般的質(zhì)量

IT。IT,

管理評估或符合性具有指導(dǎo)意義

、IT。

GB/Z298301—2013/ISO/IECTR15443-12005

.:

信息技術(shù)安全技術(shù)

信息技術(shù)安全保障框架

第1部分綜述和框架

:

1范圍

11意圖

.

的本部分的意圖是以一種能使遞增地獲得交付件安全功能確信度的方式按照一般

GB/Z29830,,

生存周期模型介紹交付件的安全保障方法聯(lián)系及其分類

,、。

12途徑

.

本部分通篇采用的途徑是通過標(biāo)識各種不同保障途徑和保障階段的框架概述了一些所需要的基

,,

本概念和術(shù)語以便理解并應(yīng)用其中所涉及的保障方法

,。

13應(yīng)用

.

本指導(dǎo)性技術(shù)文件的第部分和第部分通過運用本部分有關(guān)保障方法的分類指導(dǎo)讀者針對一

23,

個給定的交付件選擇合適的保障方法以及可能的組合

,。

14適用領(lǐng)域

.

本部分給出保障方法的分類指導(dǎo)其中包括一些不是信息安全領(lǐng)域所特有的保障方法在必要時

,。,

該標(biāo)準(zhǔn)可用于安全之外的一些領(lǐng)域

IT。

15限制性

.

本部分僅適用于交付件參考及其相關(guān)組織信息安全問題

(4.3)。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件

注為支持本部分中的安全保障模型給出的術(shù)語和定義盡可能具有一般性保障模型要適用于范圍寬泛的保障

:,。

途徑這就要求不能把特定的術(shù)語應(yīng)用于范圍寬泛的保障途徑

,。

為了滿足一些可用的保障途徑已存在大量的保障術(shù)語因此為一個通用的保障模型定義術(shù)語是一項困難的任務(wù)

,,,。

另外在現(xiàn)有的術(shù)語中相似的術(shù)語具有不同的定義

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論