GB/T 20274.1-2023信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第1部分：簡(jiǎn)介和一般模型

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T202741—2023

.

代替GB/T202741—2006

.

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第1部分簡(jiǎn)介和一般模型

:

Informationsecuritytechnology—

Evaluationframeworkforinformationsystemssecurityassuresure—

Part1Introductionandeneralmodel

:g

2023-03-17發(fā)布2023-10-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T202741—2023

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………1

信息系統(tǒng)安全保障模型和等級(jí)

5…………2

保障概念

5.1……………2

保障模型

5.2……………2

保障能力等級(jí)

5.3………………………3

信息系統(tǒng)安全保障要素

6…………………3

信息系統(tǒng)安全保障要素的結(jié)構(gòu)

6.1……………………3

信息系統(tǒng)安全保障要素的生成

6.2……………………5

信息系統(tǒng)安全保障評(píng)估框架

7……………6

信息系統(tǒng)安全保障評(píng)估概念和關(guān)系

7.1………………6

信息系統(tǒng)安全保障評(píng)估內(nèi)容

7.2………………………7

信息系統(tǒng)安全保障評(píng)估判定

7.3………………………8

參考文獻(xiàn)

………………………9

GB/T202741—2023

.

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架的第部分

GB/T20274《》1。GB/T20274

已經(jīng)發(fā)布了以下部分

:

第部分簡(jiǎn)介和一般模型

———1:;

第部分技術(shù)保障

———2:;

第部分管理保障

———3:;

第部分工程保障

———4:。

本文件代替信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第部分簡(jiǎn)介

GB/T20274.1—2006《1:

和一般模型與相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

》,GB/T20274.1—2006,,:

刪除了不適用界限見年版的第章

a)(20061);

更改了信息系統(tǒng)和信息系統(tǒng)安全保障的定義刪除了其他術(shù)語增加了組織安全策略術(shù)

b)“”“”,,“”

語和定義刪除了縮略語見第章年版的和

,(3,20063.13.2);

更改了目標(biāo)讀者的描述見第章年版的

c)(4,20064.2);

刪除了評(píng)估上下文和信息系統(tǒng)安全保障評(píng)估框架的文檔結(jié)構(gòu)見年版的和

d)“”“”(20064.34.4);

將一般模型更改為信息系統(tǒng)安全保障模型和等級(jí)增加了保障能力等級(jí)概念見第

e)“”“”,(5

章年版的和

,20065.15.2);

將信息系統(tǒng)安全保障描述材料更改為信息系統(tǒng)安全保障要素刪除了和的內(nèi)

f)“”“”,ISPPISST

容見第章年版的

(6,20065.5);

刪除了信息安全整體和應(yīng)用和安全保障要求的使用見年版的和

g)“”“”(20065.3.45.5.3);

更改了信息系統(tǒng)安全保障評(píng)估概念和關(guān)系的圖表及文字描述見年版的

h)“”(7.1,20065.3.2);

將在信息系統(tǒng)生命周期中的安全保障更改為信息系統(tǒng)安全保障評(píng)估內(nèi)容見年

i)“”“”(7.2,2006

版的

5.2.2.2);

更改了信息系統(tǒng)安全保障評(píng)估內(nèi)容的文字描述和圖表內(nèi)容見年版的

j)“”(7.2,20065.3.3);

將信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果更改為信息系統(tǒng)安全保障評(píng)估判定刪除了有關(guān)

k)“”“”,

和相關(guān)的內(nèi)容增加了評(píng)估準(zhǔn)則和保障等級(jí)判定要求見年版的第

ISPPISST,(7.3,20066

章

)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位中國(guó)信息安全測(cè)評(píng)中心國(guó)家信息技術(shù)安全研究中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安

:、、

全管理中心公安部第一研究所國(guó)家工業(yè)信息安全發(fā)展研究中心國(guó)家信息中心吉林信息安全測(cè)評(píng)中

、、、、

心四川省信息安全測(cè)評(píng)中心廣東省信息安全測(cè)評(píng)中心陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心中國(guó)南方電

、、、、

網(wǎng)有限責(zé)任公司南方電網(wǎng)數(shù)字電網(wǎng)集團(tuán)有限公司昆侖數(shù)智科技有限公司泰康保險(xiǎn)集團(tuán)股份有限公

、、、

司中國(guó)醫(yī)學(xué)科學(xué)院北京協(xié)和醫(yī)院華潤(rùn)數(shù)科控股有限公司四川大學(xué)北京百度網(wǎng)訊科技有限公司浪

、、、、、

潮云信息技術(shù)股份公司浙江木鏈物聯(lián)網(wǎng)科技有限公司杭州安恒信息技術(shù)股份有限公司沈陽東軟系

、、、

統(tǒng)集成工程有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司北京神州綠盟科技有限公司鼎鉉商用密

、、、

碼測(cè)評(píng)技術(shù)深圳有限公司中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司山西軒轅信息安全技術(shù)有限公司

()、、。

本文件主要起草人任望邸麗清江常青李斌徐秋伊梁智溢張普含杜宇鴿宋璟謝豐彭勇

:、、、、、、、、、、、

Ⅰ

GB/T202741—2023

.

孟曉陽郭昊劉占豐昌彥偉龐智梁偉宮月王丹琛張曉娜陳禹高強(qiáng)李秋香史大為陳永剛

、、、、、、、、、、、、、、

趙增振于盟張格潘承亞楊天識(shí)陶蓉呂華輝明哲滕征岑劉磊陳靚萬娟卿粼波王美玲

、、、、、、、、、、、、、、

郭賓王文佳趙呈東朱衛(wèi)國(guó)張敏王海棠唐曉莉鮑捷李濱丞趙少飛譚銳能李智林葉建偉

、、、、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2006GB/T20274.1—2006;

本次為第一次修訂

———。

Ⅱ

GB/T202741—2023

.

引言

信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架以信息技術(shù)安全技術(shù)

GB/T20274《》GB/T18336《

信息技術(shù)安全評(píng)估準(zhǔn)則為基礎(chǔ)從產(chǎn)品擴(kuò)展到信息技術(shù)系統(tǒng)并進(jìn)一步同其他國(guó)內(nèi)外信息系統(tǒng)安全

》,,

領(lǐng)域的標(biāo)準(zhǔn)和規(guī)范進(jìn)行結(jié)合擴(kuò)展和補(bǔ)充以形成描述和評(píng)估信息系統(tǒng)安全保障內(nèi)容和能力的通用框

,,

架是指導(dǎo)信息系統(tǒng)安全保障評(píng)估的基礎(chǔ)性和框架性標(biāo)準(zhǔn)為從事信息系統(tǒng)安全保障工

。GB/T20274,

作的所有相關(guān)方包括設(shè)計(jì)開發(fā)者工程實(shí)施者評(píng)估者認(rèn)證認(rèn)可者等提供一種標(biāo)準(zhǔn)化規(guī)范化的通用

(,、)、

描述語言結(jié)構(gòu)和方法旨在給出信息系統(tǒng)安全保障的基本概念和模型確立在技術(shù)管

、。GB/T20274,、

理和工程方面的安全保障要求和能力等級(jí)要求由四個(gè)部分構(gòu)成

,。

第部分簡(jiǎn)介和一般模型目的在于給出信息系統(tǒng)安全保障的基本概念和模型提出信息系

———1:。,

統(tǒng)安全保障評(píng)估的框架

。

第部分技術(shù)保障目的在于確立信息系統(tǒng)在技術(shù)方面的安全保障基本要求及相應(yīng)的能力

———2:。

等級(jí)要求

。

第部分管理保障目的在于確立信息系統(tǒng)在管理方面的安全保障基本要求及相應(yīng)的能力

———3:。

等級(jí)要求

。

第部分工程保障目的在于確立信息系統(tǒng)在工程方面的安全保障基本要求及相應(yīng)的能力

———4:。

等級(jí)要求

。

Ⅲ

GB/T202741—2023

.

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第1部分簡(jiǎn)介和一般模型

:

1范圍

本文件給出了信息系統(tǒng)安全保障的基本概念和模型提出了信息系統(tǒng)安全保障評(píng)估框架

,。

本文件適用于指導(dǎo)系統(tǒng)建設(shè)者運(yùn)營(yíng)者服務(wù)提供者和評(píng)估者等開展信息系統(tǒng)安全保障工作

、、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分簡(jiǎn)介和一般

GB/T18336.1—20151:

模型

信息安全技術(shù)術(shù)語

GB/T25069—2022

3術(shù)語和定義

和中