標(biāo)準(zhǔn)解讀

《GB/T 18336.4-2024 網(wǎng)絡(luò)安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第4部分:評估方法和活動的規(guī)范框架》相較于《部分代替GB/T 18336.3-2015》,主要在以下幾個方面進(jìn)行了更新或調(diào)整:

首先,在結(jié)構(gòu)上,《GB/T 18336.4-2024》對文檔的整體布局進(jìn)行了優(yōu)化,使得內(nèi)容更加清晰易懂。新增了更多關(guān)于如何實施評估的具體指導(dǎo)信息,包括但不限于評估流程、所需工具和技術(shù)的選擇標(biāo)準(zhǔn)等,旨在為執(zhí)行者提供更為詳盡的操作指南。

其次,在內(nèi)容覆蓋范圍上,《GB/T 18336.4-2024》擴展了對于不同類型IT產(chǎn)品和服務(wù)的安全性考量,比如增加了云計算服務(wù)、大數(shù)據(jù)處理平臺等方面的安全評估要求,反映了當(dāng)前信息技術(shù)領(lǐng)域內(nèi)新興技術(shù)的發(fā)展趨勢及其所帶來的新挑戰(zhàn)。

再者,《GB/T 18336.4-2024》還強化了對風(fēng)險管理過程的關(guān)注,提出了更加系統(tǒng)化的方法來識別、分析并應(yīng)對潛在的安全威脅與漏洞。這不僅有助于提高組織內(nèi)部的信息安全保障水平,也促進(jìn)了行業(yè)內(nèi)整體風(fēng)險意識的提升。

此外,《GB/T 18336.4-2024》加強了與其他相關(guān)國際標(biāo)準(zhǔn)(如ISO/IEC系列)之間的協(xié)調(diào)一致性和互操作性,確保了中國國家標(biāo)準(zhǔn)能夠更好地融入全球化的信息安全管理體系之中,同時也為中國企業(yè)參與國際合作提供了便利條件。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2024-04-25 頒布
  • 2024-11-01 實施
?正版授權(quán)
GB/T 18336.4-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分:評估方法和活動的規(guī)范框架_第1頁
GB/T 18336.4-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分:評估方法和活動的規(guī)范框架_第2頁
GB/T 18336.4-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分:評估方法和活動的規(guī)范框架_第3頁
GB/T 18336.4-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分:評估方法和活動的規(guī)范框架_第4頁
GB/T 18336.4-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分:評估方法和活動的規(guī)范框架_第5頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T183364—2024/ISO/IEC15408-42022

.:

部分代替GB/T183363—2015

.

網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第4部分評估方法和活動的規(guī)范框架

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part4Frameworkforsecificationofevaluationmethodsandactivities

:p

ISO/IEC15408-42022Informationsecuritcbersecuritandricvac

(:,y,yypy

rotectionEvaluationcriteriaforITsecurit—Part4Frameworkfor

py:

secificationofevaluationmethodsandactivitiesIDT

p,)

2024-04-25發(fā)布2024-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T183364—2024/ISO/IEC15408-42022

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

評估方法和評估活動的一般模型

4………………………2

概念和模型

4.1…………………………2

用派生方法制定評估方法和評估活動

4.2……………3

評估方法和評估活動描述中的動詞用法

4.3…………5

評估方法和評估活動的描述公約

4.4…………………5

評估方法的結(jié)構(gòu)

5…………………………5

概述

5.1…………………5

評估方法的規(guī)范

5.2……………………6

評估活動的結(jié)構(gòu)

6…………………………10

概述

6.1…………………10

評估活動的說明

6.2……………………11

附錄資料性縮略語

NA()………………14

參考文獻(xiàn)

……………………15

GB/T183364—2024/ISO/IEC15408-42022

.:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則的第部分已經(jīng)

GB/T18336《》4。GB/T18336

發(fā)布以下部分

:

第部分簡介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:;

第部分評估方法和活動的規(guī)范框架

———4:;

第部分預(yù)定義的安全要求包

———5:。

本文件和網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第部分安全保障組

GB/T18336.3—2024《3:

件信息安全技術(shù)網(wǎng)絡(luò)技術(shù)安全評估準(zhǔn)則第部分預(yù)定義的安全要求包

》、GB/T18336.5—2024《5:》

共同代替信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第部分安全保障

GB/T18336.3—2015《3:

組件

》。

本文件部分代替網(wǎng)絡(luò)技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第部

GB/T18336.3—2015《3

分安全保障組件與相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

:》。GB/T18336.3—2015,,:

增加了評估方法和評估活動的一般模型見第章

———(4);

刪除了保障范型見年版的第章

———(GB/T18336.3—20155);

刪除了安全保障組件見年版的第章

———(GB/T18336.3—20156);

增加了評估方法的結(jié)構(gòu)見第章

———(5);

增加了評估活動的結(jié)構(gòu)見第章

———(6);

刪除了評估保障級見年版的第章

———(GB/T18336.3—20157);

刪除了組合保障包見年版的第章

———(GB/T18336.3—20158);

刪除了類保障輪廓評估見年版的第章

———APE:(GB/T18336.3—20159);

刪除了類安全目標(biāo)評估見年版的第章

———ASE:(GB/T18336.3—201510);

刪除了類開發(fā)見年版的第章

———ADV:(GB/T18336.3—201511);

刪除了類指導(dǎo)性文檔見年版的第章

———AGD:(GB/T18336.3—201512);

刪除了類生命周期支持見年版的第章

———ALC:(GB/T18336.3—201513);

刪除了類測試見年版的第章

———ATE:(GB/T18336.3—201514);

刪除了類脆弱性評定見年版的第章

———AVA:(GB/T18336.3—201515);

刪除了類組合見年版的第章

———ACO:(GB/T18336.3—201516)。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)

ISO/IEC15408-4:2022《、

則第部分評估方法和活動的規(guī)范框架

4:》。

本文件做了下列最小限度的編輯性改動

:

為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)將標(biāo)準(zhǔn)名稱改為網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第部分評

———,《4:

估方法和活動的規(guī)范框架

》;

增加資料性附錄縮略語

———NA“”。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

GB/T183364—2024/ISO/IEC15408-42022

.:

本文件起草單位中國信息安全測評中心中國合格評定國家認(rèn)可中心中國電子技術(shù)標(biāo)準(zhǔn)化研究

:、、

院中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國電子科技集團(tuán)公司第十五研究所中貿(mào)促信息技術(shù)有限責(zé)

、、、

任公司北京郵電大學(xué)中國航天系統(tǒng)科學(xué)與工程研究院國家廣播電視總局廣播電視科學(xué)研究院北京

、、、、

奇虎科技有限公司國網(wǎng)新疆電力有限公司電力科學(xué)研究院啟明星辰信息技術(shù)集團(tuán)股份有限公司

、、、

北京神州綠盟科技有限公司新華三技術(shù)有限公司遠(yuǎn)江盛邦北京網(wǎng)絡(luò)科技股份有限公司

、、()。

本文件主要起草人石竑松張寶峰李鳳娟楊永生許源高金萍劉昱函林陽薈晨王晨宇陶小峰

:、、、、、、、、、、

王志遠(yuǎn)劉佳王峰申永波張屹李明軒張錦川霍珊珊孫俊丁峰吳大鵬劉健張益權(quán)曉文葉建偉

、、、、、、、、、、、、、、、

解偉萬曉蘭謝仕華畢海英賈煒鄧輝王書毅劉宏偉

、、、、、、、。

本文件于年首次發(fā)布為年第一次修訂年第二次修訂本次

2001GB/T18336.3—2001,2008,2015,

為第三次修訂部分代替編號為

,GB/T18336.3—2015,GB/T18336.4。

GB/T183364—2024/ISO/IEC15408-42022

.:

引言

本文件的讀者對象主要是采用的評估者和確認(rèn)評估者行為的認(rèn)證者以及評

GB/T18336—2024,

估發(fā)起者開發(fā)者作者和其他對安全感興趣的團(tuán)體

、、PP/STIT。

擬由五個部分構(gòu)成

GB/T18336。

第部分簡介和一般模型旨在對進(jìn)行整體概述定義信息技術(shù)安全評估的一

———1:。GB/T18336,

般概念和原則并給出了評估的一般模型

,。

第部分安全功能組件旨在建立一套可用于描述安全功能要求的功能組件標(biāo)準(zhǔn)化模板

———2:。。

這些功能組件按類和族的方式進(jìn)行結(jié)構(gòu)化組織通過組件選擇細(xì)化裁剪等方式構(gòu)造出具體

,、、

的安全功能要求

。

第部分安全保障組件旨在建立一套可用于描述安全保障要求的保障組件標(biāo)準(zhǔn)化模板

———3:。。

這些安全保障組件按類和族的方式進(jìn)行結(jié)構(gòu)化組織定義針對和進(jìn)行評估的準(zhǔn)

,PP、STTOE

則通過組件選擇細(xì)化裁剪等方式構(gòu)造出具體的安全保障要求

,、、。

第部分評估方法和活動的規(guī)范框架旨在為規(guī)范評估方法和活動提供一個標(biāo)準(zhǔn)化框架

———4:。。

這些評估方法和活動包含在及任意支持這些方法和活動的文檔中供評估者基于

PP、ST,

的其他部分中描述的模型開展評估工作

GB/T18336。

第部分預(yù)定義的安全要求包旨在提供利益相關(guān)者通常使用的安全保障要求和安全功能

———5:。

要求的包提供的包示例包括評估保障級和組合保障包

,(EAL)(CAP)。

針對信息技術(shù)產(chǎn)品的安全評估提供了一套通用的安全功能及其保障措施要

(IT),GB/T18336

求從而允許各個獨立的產(chǎn)品的評估結(jié)果之間具有可比性為中規(guī)定

,IT。ISO/IEC18045GB/T18336

的一些保障要求提供了配套的方法

。

本文件描述了一個框架可用于從的工作單元派生評估活動并將其分組為評估

,ISO/IEC18045,

方法評估活動或評估方法可能包含在和任何支持它們的文件中當(dāng)配置模

(EM)。PP。PP、PP-、PP-

塊包或安全目標(biāo)確定要使用特定的評估方法評估活動時要求評估人員在確定

、(ST)/,ISO/IEC18045

評估者裁定時遵循并報告相關(guān)的評估方法評估活動如中所述在某些情況下評估

,/。GB/T18336.1,,

授權(quán)機構(gòu)能決定不批準(zhǔn)使用特定的評估方法評估活動在這種情況下評估授權(quán)機構(gòu)能決定不按照

/:,

所要求的評估方法評估活動進(jìn)行評估

ST/。

本文件還允許為擴展定義評估活動在這種情況下評估活動的派生與為擴展定義的等

SAR,,SAR

效行為元素和工作單元相關(guān)如果本文件中引用或?qū)Φ氖褂?/p>

。ISO/IEC18045ISO/IEC15408-3SAR

如定義評估活動的基本原理時那么在擴展的情況下這種引用也將適用于為擴展定義的

(),SAR,SAR

等效行為元素和工作單元

。

為簡明起見本文件指定了如何定義評估方法和評估活動但本身沒有規(guī)定評估方法或評估活動的

,,

實例

。

在的其他部分和中出現(xiàn)的下述注描述了在那些文件中關(guān)于粗體

GB/T18336GB/T30270—2024

字和斜體字的使用本文件沒有使用那些慣例但這里注仍被保留以與其他標(biāo)準(zhǔn)一致

。,。

注本文件在某些情況下使用粗體字和斜體字來區(qū)分術(shù)語和其余部分文本族內(nèi)組件之間的關(guān)系約定使用粗體突

:。

出顯示對所有新的要求也約定使用粗體字對于分層的組件當(dāng)其要求被增強或修改且超出了前一個組件

,。,,

的要求時以粗體顯示此外除了前面的組件之外任何新的或增強的允許的操作使用粗體突出顯示

,。,,。

約定使用斜體來表示具有精確含義的文本對于安全保障要求該約定也適用于與評估相關(guān)的特殊動詞

。,。

GB/T183364—2024/ISO/IEC15408-42022

.:

網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第4部分評估方法和活動的規(guī)范框架

:

1范圍

本文件提供了一個標(biāo)準(zhǔn)化框架用以規(guī)定客觀的可重復(fù)的和可重現(xiàn)的評估方法和評估活動

,、。

本文件未規(guī)定如何評估采用或維持評估方法和評估活動這方面的內(nèi)容由那些在其感興趣的特

、。

定領(lǐng)域內(nèi)提出評估方法和評估活動的相關(guān)方負(fù)責(zé)

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則第部分簡介和

ISO/IEC15408-1、1:

一般模型

(Informationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecu-

rity—Part1:Introductionandgeneralmodel)

注網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論