ICS35.040 L80 中华人民共和国国家标准 GB/T30273—2013 信 息安全技术 信息系统安全保障通用评估指南 Informationsecuritytechnology—Commonmethodologyforinformation systemssecurityassuranceevaluation 2013-12-31发布 2014-07-15实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 符号和缩略语 2 …………………………………………………………………………………………… 5 概述 3 ……………………………………………………………………………………………………… 5.1 GB/T20274系列标准和本标准结构之间的关系 3 ………………………………………………… 5.2 评估裁决 3 …………………………………………………………………………………………… 6 通用评估模型 4 …………………………………………………………………………………………… 6.1 评估模型概述 4 ……………………………………………………………………………………… 6.2 评估输入任务 4 ……………………………………………………………………………………… 6.3 评估活动 5 …………………………………………………………………………………………… 6.4 评估输出任务 5 ……………………………………………………………………………………… 7 信息系统保护轮廓评估 9 ………………………………………………………………………………… 7.1 概述 9 ………………………………………………………………………………………………… 7.2 目的 9 ………………………………………………………………………………………………… 7.3 评估相关要求 9 ……………………………………………………………………………………… 7.4 评估活动 9 …………………………………………………………………………………………… 8 信息系统安全目标评估 18 ………………………………………………………………………………… 8.1 概述 18 ………………………………………………………………………………………………… 8.2 目的 18 ………………………………………………………………………………………………… 8.3 评估要求 18 …………………………………………………………………………………………… 8.4 评估活动 19 …………………………………………………………………………………………… 9 信息系统安全保障措施评估 30 …………………………………………………………………………… 9.1 信息系统安全技术保障措施评估 30 ………………………………………………………………… 9.2 信息系统安全管理保障措施评估 74 ………………………………………………………………… 9.3 信息系统安全工程保障措施评估 113 ……………………………………………………………… 10 信息系统保障级评估 126 ………………………………………………………………………………… 10.1 概述 126 ……………………………………………………………………………………………… 10.2 目的 126 ……………………………………………………………………………………………… 10.3 相互关系 126 ………………………………………………………………………………………… 10.4 ISAL1(基本执行)评估活动 126 …………………………………………………………………… 10.5 ISAL2(计划和跟踪级)评估活动 127 ……………………………………………………………… 10.6 ISAL3(充分定义级)评估活动 129 ………………………………………………………………… ⅠGB/T30273—2013 10.7 ISAL4(量化控制级)评估活动 131 ………………………………………………………………… 10.8 ISAL5(持续改进级)评估活动 132 ………………………………………………………………… 附录A(规范性附录) 通用评估指南 134 ………………………………………………………………… 参考文献 135 …………………………………………………………………………………………………… ⅡGB/T30273—2013 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准主要起草单位:中国信息安全测评中心、华北计算技术研究所、中国信息安全测评中心华中 测评中心。 本标准主要起草人:江常青、张利、姚轶崭、佟鑫、班晓芳、翁正军、王鸿娴。 ⅢGB/T30273—2013 引 言 本标准是GB/T20274系列标准《信息安全技术 信息系统安全保障评估框架》的配套指南文件。 本标准的目标读者是采用GB/T20274系列标准对信息系统进行安全性评估的评估者以及评估申 请者、开发者、ISPP/ISST编制者。 ⅣGB/T30273—2013 信息安全技术 信息系统安全保障通用评估指南 1 范围 本标准描述了评估者在使用GB/T20274系列标准所定义的准则进行评估时需要完成的评估活 动,为评估者在具体评估活动中的评估行为和活动提供指南。 本标准适用于采用GB/T20274系列标准对信息系统进行安全性的评估和对ISPP/ISST的评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20274.1—2006 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型 GB/T20274.2—2008 信息安全技术 信息系统安全保障评估框架 第2部分:技术保障 GB/T20274.3—2008 信息安全技术 信息系统安全保障评估框架 第3部分:管理保障 GB/T20274.4—2008 信息安全技术 信息系统安全保障评估框架 第4部分:工程保障 3 术语和定义 下列术语和定义适用于本文件。 3.1 核查 check 评估者采用简单比较形成一个裁决。 注:使用此动词的语句描述了需要核查的内容。 3.2 评估交付件 evalutiondeliverable 评估者为执行一个或多个评估活动所必需的,来自申请者或开发者的任何资源。 3.3 评估证据 evaluationevidence 有形的评估交付件。 3.4 评估报告 evaluationtechnicalreport 由评估者编写的以文档形式记录总体裁决及其理由的报告。 3.5 检查 examination 评估者采用专业技能分析形成一个裁决。 注:使用此动词的语句表明哪些是需要分析的以及什么样的性质需要分析。 3.6 解释 interpretation 对标准内容的一种澄清或详述。 1GB/T30273—2013 3.7 方法论 methodology 用于安全评估的原则、程序和过程。 3.8 总体裁决 overallverdict 评估者关于评估结果是通过还是不通过的决定。 3.9 记录 record 足够详细地记载程序、事件、观察结果、所了解事项和结果的一个书面描述,以使得评估过程中执行 的工作能够在以后重建。 3.10 报告 reporting 将评估结果和支持性材料编写到评估报告或测试/核查报告中。 3.11 体制 scheme 由评估机构制定的执行评估行为的一套准则、规范和方法。 3.12 测试 testing 通过对评估对象按照预定的方法/工具使其产生特定的行为,获取证据以证明被测对象安全保障措 施是否有效的一种方法。 3.13 评估对象 targetofevaluation 指信息系统,是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员等的总和。 3.14 裁决 verdict 评估者发布一个关于工作单元、评估行为或评估活动是通过、不通过,还是待定的决定。 3.15 工作单元 workunit 评估工作的最基本行为。 注:与GB/T20274.2—2008、GB/T20274.3—2008和GB/T20274.4—2008保障组件有关。每个评估行为由一个 或多个工作单元组成,这些工作单元又按保障组件进行分组。 4 符号和缩略语 下列缩略语适用于本文件: ISAL:信息系统保障级(InformationSystemAssuranceLevel) ISPP:信息系统保护轮廓(InformationSystemProtectionProfile) ISST:信息系统安全目标(InformationSystemSecur