標準解讀
《GB/Z 30286-2013 信息安全技術 信息系統保護輪廓和信息系統安全目標產生指南》是一份指導性技術文件,旨在為組織或個人在開發、采購以及評估信息系統時提供一套系統化的方法論。該標準主要基于國際上的通用準則(Common Criteria, CC),針對如何定義信息系統的安全需求進行了詳細的說明。
根據這份標準,信息系統保護輪廓(PP)是一個文檔化的描述,它概述了一類具有相似安全要求的信息系統的預期使用環境、假設威脅、組織安全策略以及必要的安全功能和保證級別。PP的設計目的是為了幫助開發者、購買者及評估機構之間達成一致的理解,確保所構建或選擇的產品能夠滿足特定的安全需求。
另一方面,信息系統安全目標(ST)則更具體地針對某個實際存在的信息系統或者產品而言,其內容包括了該系統/產品的詳細描述、其將要運行的環境、面臨的風險以及為了抵御這些風險而必須具備的安全特性與保障措施等。ST是在PP基礎上進一步細化而成,用于明確指定給定信息系統需要達到的具體安全性能指標。
如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。
....
查看全部
- 現行
- 正在執行有效
- 2013-12-31 頒布
- 2014-07-15 實施
文檔簡介
ICS35040
L80.
中華人民共和國國家標準化指導性技術文件
GB/Z30286—2013
信息安全技術
信息系統保護輪廓和信息系統安全目標
產生指南
Informationsecuritytechnology—
Guidefortheproductionofinformationsystem
protectprofileandinformationsystemsecuritytarget
2013-12-31發布2014-07-15實施
中華人民共和國國家質量監督檢驗檢疫總局發布
中國國家標準化管理委員會
GB/Z30286—2013
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范圍
1………………………1
規范性引用文件
2…………………………1
術語和定義
3………………1
和概述
4ISPPISST………………………1
和的用途
4.1ISPPISST………………1
和的內容
4.2ISPPISST………………1
和的目標讀者
4.3ISPPISST…………4
和的產生過程
5ISPPISST………………4
和的描述部分
6ISPPISST………………5
概述
6.1…………………5
和標識
6.2ISPPISST…………………5
和概述
6.3ISPPISST…………………5
應用注解
6.4ISPP………………………6
信息系統描述
7……………6
概述
7.1…………………6
信息系統使命描述
7.2…………………6
信息系統概要描述
7.3…………………6
信息系統詳細描述
7.4…………………6
安全保障需求
8……………7
概述
8.1…………………7
識別和說明假設
8.2……………………7
識別和說明威脅
8.3……………………8
識別和確定組織安全策略
8.4…………11
明確安全保障需求定義
8.5……………12
安全保障目的
9……………12
概述
9.1…………………12
威脅假設和組織安全策略的列表
9.2、………………13
信息系統環境保障目的
9.3……………13
信息系統安全保障目的
9.4……………13
安全保障要求
10…………………………13
概述
10.1………………13
安全技術保障要求
10.2………………15
安全管理保障要求
10.3………………19
Ⅰ
GB/Z30286—2013
或中的安全工程保障要求
10.4ISPPISST…………20
信息系統概要規范
11……………………22
概述
11.1………………22
信息系統概要規范概述
11.2…………22
安全保障措施的選擇
11.3……………23
聲明
12ISPP………………24
概述
12.1………………24
引用
12.2ISPP…………………………24
裁剪
12.3ISPP…………………………24
附加項
12.4ISPP………………………24
符合性聲明
13……………25
概述
13.1………………25
安全保障目的的符合性聲明
13.2……………………25
安全保障要求的符合性聲明
13.3……………………27
附錄資料性附錄從選取
A()GB/T20274.2—2008STRs…………29
附錄資料性附錄從選取
B()GB/T20274.3—2008SMRs…………33
附錄資料性附錄從選取
C()GB/T20274.4—2008SERs…………36
參考文獻
……………………37
Ⅱ
GB/Z30286—2013
前言
本指導性技術文件按照給出的規則起草
GB/T1.1—2009。
請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任
。。
本指導性技術文件由全國信息安全標準化技術委員會提出并歸口
(SAC/TC260)。
本指導性技術文件主要起草單位中國信息安全測評中心中國信息安全測評中心華中測評中心
:、、
華北計算技術研究所
。
本指導性技術文件主要起草人江常青張利姚軼嶄佟鑫彭勇陸麗胡衛華付敏周瑾
:、、、、、、、、。
Ⅲ
GB/Z30286—2013
引言
本指導性技術文件是信息安全技術信息系統安全保障評估框架系列標準的配套
GB/T20274《》
指南文件為信息系統保護輪廓和信息系統安全目標
,(InformationSystemProtectProfile,ISPP)
的編制提供指導
(InformationSystemSecurityTarget,ISST)。
本指導性技術文件的使用者應熟悉系列標準
GB/T20274。
Ⅳ
GB/Z30286—2013
信息安全技術
信息系統保護輪廓和信息系統安全目標
產生指南
1范圍
本指導性技術文件給出了編制信息系統保護輪廓和信息系統安全目標的過程為編
(ISPP)(ISST),
寫和提供指導
ISPPISST。
本指導性技術文件適用于應用系列標準進行信息系統安全性保障評估的評估者和確
GB/T20274
認評估者行為的認證者系統開發者等
、。
2規范性引用文件
下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件
。,()。
信息安全技術信息系統安全保障評估框架第部分簡介和一般模型
GB/T20274.1—20061:
信息安全技術信息系統安全保障評估框架第部分技術保障
GB/T20274.2—20082:
信息安全技術信息系統安全保障評估框架第部分管理保障
GB/T20274.3—20083:
信息安全技術信息系統安全保障評估框架第部分工程保障
GB/T20274.4—20084:
信息安全技術信息安全風險評估規范
GB/T20984—2007
3術語和定義
界定的
GB/T20274.1—2006、GB/T20274.2—2008、GB/T20274.3—2008、GB/T20274.4—2008
術語和定義適用于本文件
。
4ISPP和ISST概述
41ISPP和I
溫馨提示
- 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
- 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
- 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。
評論
0/150
提交評論