ICS35.040 L80 中华人民共和国国家标准 GB/T31495.2—2015 信息安全技术 信息安全保障指标体系 及评价方法 第2部分:指标体系 Informationsecuritytechnology— Indicatorsystemofinformationsecurityassuranceandevaluationmethods— Part2:Indicatorsystem 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 指标体系 2 ………………………………………………………………………………………………… 5 指标释义 5 ………………………………………………………………………………………………… 附录A(规范性附录) 指标测量过程 10 …………………………………………………………………… 参考文献 37 …………………………………………………………………………………………………… ⅠGB/T31495.2—2015 前 言 GB/T31495《信息安全技术 信息安全保障指标体系及评价方法》分为如下3部分: ———第1部分:概念和模型; ———第2部分:指标体系; ———第3部分:实施指南。 本部分为GB/T31495的第2部分。 本部分按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本部分起草单位:国家信息中心、国家新闻出版广电总局监管中心、中国信息安全测评中心、中国电 信集团、中国移动通信集团、大连理工大学、国家能源局信息中心、江苏省信息中心、中国民航大学、中国 电力科学研究院。 本部分主要起草人:何德全、吕欣、王宪磊、王长胜、郭艳卿、杨月圆、李守鹏、吕汉阳、杜巍、肖英、 张茉楠、罗程、吴志军、杨一曼、谢东晖、程露、胡红升、孙小红、徐浩、周智、陈敏时、雷缙、樊晖、高昆仑、 李鹏、李慧。 ⅢGB/T31495.2—2015 引 言 GB/T31495依据国家对信息安全保障工作的相关要求,提出了信息安全保障评价的概念和模型、 指标体系及实施指南。 GB/T31495由3部分组成。第1部分描述了本标准各部分通用的基础性概念,给出了信息安全保 障及信息安全保障评价的概念和模型,给出了指标的测量模型;第2部分在第1部分的模型指导下给出 了信息安全保障指标体系和指标测量过程;第3部分给出了信息安全保障评价工作实施所应遵照的要 求、流程和方法。 GB/T31495主要用于:为政府管理部门的信息安全态势判断和宏观决策提供支持;为基础信息网 络和重要信息系统的管理部门及运营单位的信息安全管理工作提供支持。 ⅣGB/T31495.2—2015 信息安全技术 信息安全保障指标体系 及评价方法 第2部分:指标体系 1 范围 GB/T31495的本部分规定了用于开展信息安全保障评价的指标及其释义。 本部分适用于信息安全保障评价工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20988—2007 信息安全技术 信息系统灾难恢复规范 GB/T31495.1—2015 信息安全技术 信息安全保障指标体系及评价方法 第1部分:概念和 模型 3 术语和定义 GB/T31495.1—2015中界定的以及下列术语和定义适用于本文件。 3.1 基础信息网络 fundamentalinformationnetworks 承担公共通信、广播电视传输的电信网、互联网、广播电视网等信息网络。 3.2 重要信息系统 criticalinformationsystems 关系国家安全、经济命脉、社会稳定的信息系统。 3.3 保密性 confidentiality 使信息不泄露给未经授权的个人、实体、进程,或不被其读取的特性。 [改写GB/T25069—2010,定义2.1.1] 3.4 完整性 integrity 使数据在未授权情况下,不被个人、实体、进程更改或破坏的特性。 [改写GB/T25069—2010,定义2.1.36] 3.5 可用性 availability 已授权实体一旦需要就可访问和使用数据、网络和系统资源的特性。 [改写GB/T25069—2010,定义2.1.20] 3.6 真实性 authenticity 能够核实和信赖一个合法的传输、信息或信息源的可认证性的特性。 1GB/T31495.2—2015 3.7 可控性 controllability 对未授权实体加以有效控制的特性,以保障所属设备、数据和网络系统的合法使用。 3.8 抗抵赖性 non-repudiation 也称不可抵赖性或不可否认性,即网络信息系统的信息交互过程中参与者不能否认或抵赖曾经完 成的操作。 [改写GB/T25069—2010,定义2.1.17] 3.9 信息安全意识 informationsecurityawareness 人们对信息安全现实的高级心理反应形式,即人们面对有可能对个人或组织造成损失的外在环境 条件的戒备。 3.10 应急演练 emergencydrill 为训练人员和提高应急响应能力而根据应急预案和应急响应计划进行活动的过程。 3.11 信息篡改 informationtampering 未经授权将信息系统中的信息更换为攻击者所提供的信息。 3.12 网络瘫痪 networkparalyzed 信息网络丧失通信功能的状态。 3.13 非法控制 illegalcontrol 违反规范使系统或网络按实施非法控制者的意愿活动。 4 指标体系 4.1 指标层级 指标层级是对评价内容和对象进行逐层分解得到的结构,指标层级为指标体系的有序性提供保证, 为构建指标体系提供框架基础。 图1给出了指标层级的递阶层次结构。 图1 指标层级结构 信息安全保障指标体系共有三个层级,其中一级指标和二级指标构成指标体系框架,三级指标为底 层指标。当指标需要调整时,一级指标和二级指标相对固定,三级指标相对灵活。 2GB/T31495.2—2015 4.2 指标体系框架 图2给出了信息安全保障指标体系框架。 图2 信息安全保障指标体系框架 信息安全保障指标体系框架对应信息安全保障体系的一级指标和二级指标。 一级指标依据GB/T31495.1—2015中图1提出的信息安全保障的三个环节(即保障措施、保障能 力和保障效果)设计,建设情况指标用于评价保障措施,运行能力指标用于评价保障能力,安全态势指标 用于评价保障效果。 二级指标依据信息安全保障对象和内容对一级指标进行分析和分解后设计。建设情况指标下设 3项二级指标,分别为战略保障措施指标、管理保障措施指标、技术保障措施指标。运行能力指标下设 4项二级指标,分别为安全防护能力指标、隐患发现能力指标、应急处置能力指标、信息对抗能力指标。 安全态势指标下设6项二级指标,分别为保密性指标、完整性指标、可用性指标、真实性指标、可控性指 标、抗抵赖性指标。 4.3 指标体系框架描述 4.3.1 建设情况指标 建设保障措施指标主要评价信息安全保障措施的建设情况。 4.3.2 战略保障措施指标 信息安全保障中的“战略”是指为了完成信息安全保障的使命、功能、任务等,由信息安全主管部门 制定的信息安全发展战略、五年规划、中长期发展计划等文件的通称。战略保障措施指标主要评价信息 安全战略和规划的制定情况等。 4.3.3 管理保障措施指标 信息安全保障中的“管理”是指为了完成信息安全保障的使命、功能、任务等,所采用政策法规、管理 方法、管理职责、管理标准的通称。管理保障措施指标主要评价法规标准体系建设情况、组织机构建设 情况、人才队伍保障情况、安全意识保障情况、资金投入保障情况等方面。 4.3.4 技术保障措施指标 信息安全保障中的“技术”是指为完成信息安全保障的使命、功能、任务等,所提供的技术基础设施、 技术平台和工具等技术保障手段的通称。技术保障措施指标主要评价信息安全技术、产品、服务以及产 3GB/T31495.2—2015 业化等方面。 4.3.5 运行能力指标 运行能力指标主要评价信息安全保障体系的运行能力。 4.3.6 安全防护能力指标 安全防护能力指标主要评价信息安全保障措施防护攻击和破坏行为的有效性。 4.3.7 隐患发现能力指标 隐患发现能力指标主要评价信息安全保障措施检测和发现风险的有效性。 4.3.8 应急处置能力指标 应急处置能力指标主要评价信息安全保障措施应对信息安全事件的有效性,包括对信息安全事件 的预警和响应能力,以及在出现危险、事故、侵害后的恢复能力。 4.3.9 信息对抗能力指标 信息对抗能力指标主要评价信息安全保障措施应对大规模网络攻击的有效性。 4.3.10 安全态势指标 安全