GB/T 20274.1-2023信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T202741—2023

.

代替GB/T202741—2006

.

信息安全技术

信息系统安全保障评估框架

第1部分简介和一般模型

:

Informationsecuritytechnology—

Evaluationframeworkforinformationsystemssecurityassuresure—

Part1Introductionandeneralmodel

:g

2023-03-17发布2023-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T202741—2023

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………1

信息系统安全保障模型和等级

5…………2

保障概念

5.1……………2

保障模型

5.2……………2

保障能力等级

5.3………………………3

信息系统安全保障要素

6…………………3

信息系统安全保障要素的结构

6.1……………………3

信息系统安全保障要素的生成

6.2……………………5

信息系统安全保障评估框架

7……………6

信息系统安全保障评估概念和关系

7.1………………6

信息系统安全保障评估内容

7.2………………………7

信息系统安全保障评估判定

7.3………………………8

参考文献

………………………9

GB/T202741—2023

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是信息安全技术信息系统安全保障评估框架的第部分

GB/T20274《》1。GB/T20274

已经发布了以下部分

:

第部分简介和一般模型

———1:;

第部分技术保障

———2:;

第部分管理保障

———3:;

第部分工程保障

———4:。

本文件代替信息安全技术信息系统安全保障评估框架第部分简介

GB/T20274.1—2006《1:

和一般模型与相比除结构调整和编辑性改动外主要技术变化如下

》,GB/T20274.1—2006,,:

删除了不适用界限见年版的第章

a)(20061);

更改了信息系统和信息系统安全保障的定义删除了其他术语增加了组织安全策略术

b)“”“”,,“”

语和定义删除了缩略语见第章年版的和

,(3,20063.13.2);

更改了目标读者的描述见第章年版的

c)(4,20064.2);

删除了评估上下文和信息系统安全保障评估框架的文档结构见年版的和

d)“”“”(20064.34.4);

将一般模型更改为信息系统安全保障模型和等级增加了保障能力等级概念见第

e)“”“”,(5

章年版的和

,20065.15.2);

将信息系统安全保障描述材料更改为信息系统安全保障要素删除了和的内

f)“”“”,ISPPISST

容见第章年版的

(6,20065.5);

删除了信息安全整体和应用和安全保障要求的使用见年版的和

g)“”“”(20065.3.45.5.3);

更改了信息系统安全保障评估概念和关系的图表及文字描述见年版的

h)“”(7.1,20065.3.2);

将在信息系统生命周期中的安全保障更改为信息系统安全保障评估内容见年

i)“”“”(7.2,2006

版的

5.2.2.2);

更改了信息系统安全保障评估内容的文字描述和图表内容见年版的

j)“”(7.2,20065.3.3);

将信息系统安全保障评估和评估结果更改为信息系统安全保障评估判定删除了有关

k)“”“”,

和相关的内容增加了评估准则和保障等级判定要求见年版的第

ISPPISST,(7.3,20066

章

)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心国家信息技术安全研究中心国家计算机网络与信息安

:、、

全管理中心公安部第一研究所国家工业信息安全发展研究中心国家信息中心吉林信息安全测评中

、、、、

心四川省信息安全测评中心广东省信息安全测评中心陕西省网络与信息安全测评中心中国南方电

、、、、

网有限责任公司南方电网数字电网集团有限公司昆仑数智科技有限公司泰康保险集团股份有限公

、、、

司中国医学科学院北京协和医院华润数科控股有限公司四川大学北京百度网讯科技有限公司浪

、、、、、

潮云信息技术股份公司浙江木链物联网科技有限公司杭州安恒信息技术股份有限公司沈阳东软系

、、、

统集成工程有限公司启明星辰信息技术集团股份有限公司北京神州绿盟科技有限公司鼎铉商用密

、、、

码测评技术深圳有限公司中国电子科技网络信息安全有限公司山西轩辕信息安全技术有限公司

()、、。

本文件主要起草人任望邸丽清江常青李斌徐秋伊梁智溢张普含杜宇鸽宋璟谢丰彭勇

:、、、、、、、、、、、

Ⅰ

GB/T202741—2023

.

孟晓阳郭昊刘占丰昌彦伟庞智梁伟宫月王丹琛张晓娜陈禹高强李秋香史大为陈永刚

、、、、、、、、、、、、、、

赵增振于盟张格潘承亚杨天识陶蓉吕华辉明哲滕征岑刘磊陈靓万娟卿粼波王美玲

、、、、、、、、、、、、、、

郭宾王文佳赵呈东朱卫国张敏王海棠唐晓莉鲍捷李滨丞赵少飞谭锐能李智林叶建伟

、、、、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2006GB/T20274.1—2006;

本次为第一次修订

———。

Ⅱ

GB/T202741—2023

.

引言

信息安全技术信息系统安全保障评估框架以信息技术安全技术

GB/T20274《》GB/T18336《

信息技术安全评估准则为基础从产品扩展到信息技术系统并进一步同其他国内外信息系统安全

》,,

领域的标准和规范进行结合扩展和补充以形成描述和评估信息系统安全保障内容和能力的通用框

,,

架是指导信息系统安全保障评估的基础性和框架性标准为从事信息系统安全保障工

。GB/T20274,

作的所有相关方包括设计开发者工程实施者评估者认证认可者等提供一种标准化规范化的通用

(,、)、

描述语言结构和方法旨在给出信息系统安全保障的基本概念和模型确立在技术管

、。GB/T20274,、

理和工程方面的安全保障要求和能力等级要求由四个部分构成

,。

第部分简介和一般模型目的在于给出信息系统安全保障的基本概念和模型提出信息系

———1:。,

统安全保障评估的框架

。

第部分技术保障目的在于确立信息系统在技术方面的安全保障基本要求及相应的能力

———2:。

等级要求

。

第部分管理保障目的在于确立信息系统在管理方面的安全保障基本要求及相应的能力

———3:。

等级要求

。

第部分工程保障目的在于确立信息系统在工程方面的安全保障基本要求及相应的能力

———4:。

等级要求

。

Ⅲ

GB/T202741—2023

.

信息安全技术

信息系统安全保障评估框架

第1部分简介和一般模型

:

1范围

本文件给出了信息系统安全保障的基本概念和模型提出了信息系统安全保障评估框架

,。

本文件适用于指导系统建设者运营者服务提供者和评估者等开展信息系统安全保障工作

、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术信息技术安全评估准则第部分简介和一般

GB/T18336.1—20151:

模型

信息安全技术术语

GB/T25069—2022

3术语和定义

和中