标准规范下载简介
GB/T 20274.1-2023 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型.pdfGB/T 20274.1—2023 代替GB/T20274.1—2006
Informationsecuritytechnology Evaluationframeworkforinformationsystemssecurityassuresure Part1:Introductionandgeneralmodel
便桥力学检算书和施工方案开言 范围 规范性引用文件 术语和定义 概述… 信息系统安全保障模型和等级… 5.1保障概念 5.2保障模型 5.3保障能力等级·…… 信息系统安全保障要素· 6.1信息系统安全保障要素的结构 6.2信息系统安全保障要素的生成 信息系统安全保障评估框架 7.1信息系统安全保障评估概念和关系 7.2信息系统安全保障评估内容… 7.3信息系统安全保障评估判定 老立载:
GB/T20274.1 202
GB/T 20274.1—2023
GB/T20274.1 202
GB/T20274《信息安全技术信息系统安全保障评估框架》以GB/T18336《信息技术安全技术 信息技术安全评估准则》为基础,从产品扩展到信息技术系统,并进一步同其他国内外信息系统安全 页域的标准和规范进行结合,扩展和补充,以形成描述和评估信息系统安全保障内容和能力的通用框 果。GB/T20274是指导信息系统安全保障评估的基础性和框架性标准,为从事信息系统安全保障工 丰的所有相关方(包括设计开发者工程实施者,评估者、认证认可者等)提供一种标准化、规范化的通用 苗述语言、结构和方法。GB/T20274旨在给出信息系统安全保障的基本概念和模型,确立在技术、管 里和工程方面的安全保障要求和能力等级要求,由四个部分构成。 一一第1部分:简介和一般模型。目的在于给出信息系统安全保障的基本概念和模型,提出信息系 统安全保障评估的框架。 第2部分:技术保障。目的在于确立信息系统在技术方面的安全保障基本要求及相应的能力 等级要求。 第3部分:管理保障。目的在于确立信息系统在管理方面的安全保障基本要求及相应的能力 等级要求。 第4部分:工程保障。目的在于确立信息系统在工程方面的安全保障基本要求及相应的能力 等级要求。
GB/T20274.1 202
信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
本文件给出了信息系统安全保障的基本概念和模型,提出了信息系统安全保障评估框架。 本文件适用于指导系统建设者、运营者、服务提供者和评估者等开展信息系统安全保障工作
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般 模型 GB/T25069一2022信息安全技术 一术语
GB/T 20274.1—2023
供者和评估者等。 信息系统建设者包括规划、设计和工程实施人员。建设者参考通用描述语言、方法和结构,从信息 系统安全保障的技术、管理和工程领域来表达其信息系统安全保障要求。使用本文件能帮助建设者更 好地描述其信息系统安全需求,编制符合其运行环境要求的信息系统安全保障方案和规范等。建设者 可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,并根据评估结果,进一步完善和持 续改进其信息系统的安全保障能力。 信息系统运营者参考通用描述语言、方法和结构,从信息系统安全保障的技术和管理领域来表达其 信息系统安全保障要求。运营者能使用本文件同信息系统的建设者等相关人员进行更加有效的沟通和 相互理解。运营者可根据信息系统安全保障的评估,了解其信息系统安全保障的现状,还可根据评估结 果,进一步完善和持续改进其信息系统的安全保障能力,获得其信息系统安全保障的信心。 服务提供者参考通用描述语言、方法和结构,从信息系统安全保障的技术、管理和工程领域来表达 相关的信息系统安全保障要求,并与系统运营者和建设者进行有效的沟通和项目实施。 评估者参考本文件来定义信息系统安全保障评估的内容,并依据定义的评估内容开展信息系统安 全保障评估工作
信息系统运行于特定的现实环境中,它从属某个组织,受到来自组织内部及外部环境的约束,因 此,信息系统的安全保障除了要在充分分析信息系统本身的技术、业务、管理等特性的基础上提出相应 的要求外,还要考虑这些约束条件产生的要求。 信息系统安全保障是针对信息系统在运行环境中所面临的各种风险,制定信息系统安全保障策 略,设计并实现信息系统安全保障架构或模型,采取工程、技术、管理等安全保障要素,将风险减少至预 定可接受的程度,从而保障其使命要求。保障策略是组织在对风险、资产和使命综合理解的基础上所作 出的指导性文件。保障策略的制定,反映了组织对信息系统安全保障及其目标的理解,它的制定和贯彻 执行对组织信息系统安全保障起着纲领性的指导作用。具体关系如图1所示
图1信息系统安全保障概念及关系
GB/T20274.1 202
保障策略具化到技术、管理和工程等不同层面形成的保障要求。生存周期维度是强调安全保障要素的 识别要贯穿信息系统从规划组织、开发采购、实施交付、运行维护和废弃等生存周期阶段。信息系统安 全保障能力等级是在确保安全保障要素充分性的基础上,通过能力成熟度来评价信息系统安全保障能 力。信息系统安全保障模型如图2所示。 本模型主要特点为: a)强调信息系统安全保障要素的概念,信息系统的安全保障是通过综合技术、管理、工程的安全 保障要素来实施和实现信息系统的安全保障策略,通过对信息系统的技术、管理、工程要求的 评估,提供了对信息系统安全保障的信心; b)强调信息系统安全保障的持续发展的动态安全模型,即强调信息系统安全保障需要贯穿于整 个信息系统生存周期的全过程; c)通过能力成熟度等级来评价基于生存周期的过程安全保障要素的保障能力,从而达到保障组 织执行其使命的根本目的。
信息系统安全保障能力等级包含两个维度的要素,第一个维度是依据风险评估选择的信息系统安 全保障要素(包含技术保障要求、管理保障要求和工程保障要求),这些安全保障要素的识别贯彻整个生 存周期过程,能将风险降低到可接受的程度(即保障对策的充分性)。第二个维度是安全保障要素被正 确实现的能力成熟度(即保障对策的正确性),如安全保障要素被实现的有序性、主动性、规范性、可量化 性、可持续性等方面的度量。两个维度相结合进行评估,能充分定义信息系统安全保障的信心程度,即 信息系统安全保障能力等级。 信息系统安全保障能力等级划分为五个等级,从低到高依次为: a)基本执行级:特征为随机、被动地实现基本实践,依赖个人经验,无法复制; b)计划跟踪级:特征为主动地实现了基本实践的计划与执行,但没有形成体系化; c)充分定义级:特征为基本实践的规范定义与执行; d)量化控制级:特征为建立了量化目标,基本实践的实现能进行度量与预测; e)持续优化级:特征为能根据组织的整体目标,不断改进和优化实现基本实践
保障要求和安全工程保障要求。安全保障要素使用“类一子类一组件”层次化的结构。用户应根据风险 评估的结果选择特定的安全保障要求。安全保障要素的不同结构之间的关系如图3所示。
图3安全保障要素的结构
6.2信息系统安全保障要素的生成
6.2.1安全保障要素生成过程
GB/T20274.1 202
图4给出了确认信息系统安全保障要素的一种方法例证,通过它能引申出安全保障要素。提使 证并不限制生成信息系统安全保障要素具体的分析过程、开发方法、评估体制等,
6.2.2确定信息系统
安全保障要素的生成过
为明确信息系统的特定范畴,信息系统运营者或建设者应从管理体系、技术体系和业务体系等方面 进行分析和描述信息系统,进而识别相关的假设、威胁和组织安全策略等。 在管理体系中,应对信息系统现有的管理组织结构、所使用的相应规章制度和所涉及的重要资产进 行描述。 a)组织描述:描述组织内同信息系统相关的管理/使用/开发/集成/支持等,特别是相关安全保障 管理的组织。 b)管理制度、法规描述:列出同信息系统管理相关的目前使用的相应规章制度和相关法规。 c)系统资产描述:描述信息系统的物理资产(指信息系统中的各种硬件和物理设施等)、软件资产 (应用软件和系统软件等)和信息资产(指在信息系统计划组织、开发采购、实施交付、运行维护 和废弃这一信息系统生存周期过程中产生的同信息系统本身相关的有价值的信息以及信息系 统所存储、处理和传输的各种相关的办公、管理和业务等信息)。 在技术体系中,应对现有的各种应用、相应的网络基础设施和所使用的技术标准进行描述。 业务体系从业务角度和应用角度出发,基于技术体系,对组织的主要业务应用应进行分类和描 述,并通过业务流程和业务信息流(描述主要业务应用的接口和相应数据流,数据流描述应包括数据的 类型以及数据传送的一般方式)来进一步解释。
6.2.3确定安全环境
安全环境包括所有的明确相关的法律政策、组织的策略、物理环境,它定义了信息系统的运行环境。 建立安全环境,信息系统运营者应分析这些因素。 关于假设、安全威胁、组织安全策略的描述应注意以下内容: a)对假设的陈述:如果环境满足该假定,信息系统被认为是安全的; b)安全威胁的陈述:指明信息系统相关的安全分析中发现的所有威胁。 注1:本文件使用威胁动机、假定的攻击方法、作为攻击基础的任何弱点和被攻击的资产名称等词汇描述一个威胁 对安全风险的评估是通过给出每一种威胁实际发生的可能性、该威胁成功实施的可能性以及可能造成的被破 坏后果来实现的。 c)组织安全策略的陈述:阐明相关的策略和规则。 注2:对特定的信息系统,可能明确提及这样的策略,然而对一般的信息系统,可能需要假设出组织的安全策略
6.2.4确定安全保障目的
环境安全性分析结果被用来阐明安全目的,对抗其所面临的威胁,并说明被认定的组织化的安全策 略和假设。安全保障目的应和已说明的信息系统运行的法律法规要求、组织环境要求和物理环境一致。 确定安全保障目的的意图是为了阐明所有的安全考虑并指出哪些安全方面的问题是直接由信息系 统来处理,哪些由其环境来处理。这种归类基于工程判断、安全政策、经济因素和可接受的风险决策相 结合的过程
信息系统安全保障要素是将安全保障目的细化为一系列信息系统及其环境的安全保障要求,一旦 这些要求得到满足,就能保证信息系统达到它的安全保障目的 应分别从安全技术领域的技术保障要求、安全管理领域的管理保障要求以及安全工程领域的工程 保障要求来提出安全保障要素。
信息系统安全保障评估框架
信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活 动进行客观的评估,通过信息系统安全保障评估所搜集的客观证据,向信息系统的所有相关方提供信息 系统的安全保障工作能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观 信心。信息系统安全保障评估的评估对象是信息系统,信息系统不仅包含了仅讨论技术的信息技术系 统B型别墅施工组织设计,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的 过程,涉及信息系统整个生存周期,因此信息系统安全保障的评估也应提供一种动态持续的信心。 安全保障要素的充分识别及正确实施也是降低风险的一个重要前提。信息系统安全保障评估的概 念和关系如图5所示。
GB/T20274.1 202
信息系统安全保障评估内
图5 信息系统安全保障评估概念和关系
在信息系统安全保障模型中,信息系统的生存周期层面和安全保障要素层面不是相互孤立的,而是 相互关联、密不可分的。它们之间的关系如图6所示
平江县某高速公路路基爆破施工组织设计图6信息系统安全保障生存周期的安全保障要素
在信息系统生存周期模型中,将信息系统的整个生存周期抽象成规划组织、开发采购、实施交付、运 行维护和废弃五个阶段,并包含在运行维护阶段的变更产生的反馈,形成信息系统生存周期完整的闭环 结构。在信息系统的生存周期中的任何时间点,都应综合信息系统安全保障的技术、管理和工程等安全 保障要素对信息系统进行安全保障。 a)规划组织阶段:由于组织的使命要求和业务要求产生了信息系统安全保障建设和使用的需求, 在此阶段,信息系统的风险及策略应加人至信息系统建设和使用的决策中,从信息系统建设的 开始应综合考虑系统的安全保障要素,使信息系统的建设和信息系统安全保障的建设同步规 划、同步建设和同步使用。 b)开发采购阶段:此阶段是规划组织阶段的细化、深人和具体体现,在此阶段中,进行系统需求分 析、考虑系统运行的需求、进行系统体系的设计以及相关的预算申请和项目准备等管理活动, 在此阶段,应基于系统需求和风险、策略将信息系统安全保障作为一个整体进行系统体系的设