ICS35.040 L80 中华人民共和国国家标准 GB/T31495.3—2015 信息安全技术 信息安全保障指标体系 及评价方法 第3部分:实施指南 Informationsecuritytechnology— Indicatorsystemofinformationsecurityassuranceandevaluationmethods— Part3:Implementationguide 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 概述 1 ……………………………………………………………………………………………………… 4.1 评价的作用 1 ………………………………………………………………………………………… 4.2 评价活动执行主体 1 ………………………………………………………………………………… 4.3 可能遇到问题和风险 1 ……………………………………………………………………………… 4.4 评价活动实施过程 2 ………………………………………………………………………………… 5 评价准备 2 ………………………………………………………………………………………………… 5.1 评价准备活动的工作流程 2 ………………………………………………………………………… 5.2 评价准备活动的主要任务 3 ………………………………………………………………………… 5.3 评价准备活动的文档 4 ……………………………………………………………………………… 5.4 评价准备活动的角色和责任 4 ……………………………………………………………………… 6 方案编制 4 ………………………………………………………………………………………………… 6.1 方案编制活动的工作流程 4 ………………………………………………………………………… 6.2 方案编制活动的主要任务 5 ………………………………………………………………………… 6.3 方案编制活动的文档 7 ……………………………………………………………………………… 6.4 方案编制活动的角色和责任 7 ……………………………………………………………………… 7 数据采集 8 ………………………………………………………………………………………………… 7.1 数据采集活动的工作流程 8 ………………………………………………………………………… 7.2 数据采集活动的主要任务 8 ………………………………………………………………………… 7.3 数据采集活动的文档 9 ……………………………………………………………………………… 7.4 数据采集活动的角色和责任 9 ……………………………………………………………………… 8 数据分析 10 ………………………………………………………………………………………………… 8.1 数据分析活动的工作流程 10 ………………………………………………………………………… 8.2 数据分析活动的主要任务 10 ………………………………………………………………………… 8.3 数据分析活动文档 14 ………………………………………………………………………………… 8.4 结果分析活动的角色与责任 14 ……………………………………………………………………… 9 报告编制 15 ………………………………………………………………………………………………… 9.1 报告编制活动的工作流程 15 ………………………………………………………………………… 9.2 报告编制活动的主要任务 15 ………………………………………………………………………… 9.3 报告编制活动的文档 15 ……………………………………………………………………………… 9.4 报告编制活动的角色与责任 16 ……………………………………………………………………… ⅠGB/T31495.3—2015 附录A(规范性附录) 信息安全保障评价工作要求 17 …………………………………………………… 附录B(资料性附录) 数据采集方法 18 …………………………………………………………………… 附录C(资料性附录) 指标权重分配方法 19 ……………………………………………………………… 附录D(资料性附录) 指标合成方法 21 …………………………………………………………………… 参考文献 22 …………………………………………………………………………………………………… ⅡGB/T31495.3—2015 前 言 GB/T31495《信息安全技术 信息安全保障指标体系及评价方法》分为如下3部分: ———第1部分:概念和模型; ———第2部分:指标体系; ———第3部分:实施指南。 本部分为GB/T31495的第3部分。 本部分按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本部分起草单位:国家信息中心、国家新闻出版广电总局监管中心、中国信息安全测评中心、中国电 信集团、中国移动通信集团、大连理工大学、国家能源局信息中心、江苏省信息中心、中国民航大学、中国 电力科学研究院。 本部分主要起草人:何德全、吕欣、王宪磊、王长胜、郭艳卿、杨月圆、李守鹏、吕汉阳、杜巍、肖英、 张茉楠、罗程、吴志军、杨一曼、谢东晖、程露、胡红升、孙小红、徐浩、周智、陈敏时、雷缙、樊晖、高昆仑、 李鹏、李慧。 ⅢGB/T31495.3—2015 引 言 GB/T31495依据国家对信息安全保障工作的相关要求,提出了信息安全保障评价的概念和模型、 指标体系及实施指南。 GB/T31495由3部分组成。第1部分描述了本标准各部分通用的基础性概念,给出了信息安全保 障及信息安全保障评价的概念和模型,给出了指标的测量模型;第2部分在第1部分的模型指导下给出 了信息安全保障指标体系和指标测量过程;第3部分给出了信息安全保障评价工作实施所应遵照的要 求、流程和方法。 GB/T31495主要用于:为政府管理部门的信息安全态势判断和宏观决策提供支持;为基础信息网 络和重要信息系统的管理部门及运营单位的信息安全管理工作提供支持。 ⅣGB/T31495.3—2015 信息安全技术 信息安全保障指标体系 及评价方法 第3部分:实施指南 1 范围 GB/T31495的本部分规定了信息安全保障评价活动的实施指南。 本部分适用于信息安全保障评价工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T31495.1—2015 信息安全技术 信息安全保障指标体系及评价方法 第1部分:概念和 模型 GB/T31495.2—2015 信息安全技术 信息安全保障指标体系及评价方法 第2部分:指标体系 3 术语和定义 GB/T31495.1—2015和GB/T31495.2—2015中界定的术语和定义适用于本文件。 4 概述 4.1 评价的作用 为反映信息安全保障状况,依据建立的指标体系对信息安全保障建设情况、运行能力和安全态势进 行综合评价,评价结果为信息安全决策和管理部门提供支持。 4.2 评价活动执行主体 评价活动的执行主体可以是信息安全主管部门,也可以是第三方研究咨询机构。评价活动的执行 主体根据信息安全保障评价的实际需求,组建评价队伍并开展评价活动。 4.3 可能遇到问题和风险 评价活动具体实施之前,需要认真分析评价活动可能带来的风险,并在评价活动开展前对有关责任 方进行必要的告知。 信息安全保障评价活动可能遇到的问题包括但不限于: a) 信息泄露: 评价活动可能会造成敏感信息的泄露。评价所需的原始数据资料以及这些数据资料经过规整后形 成的文档可能包含敏感信息,一旦泄露将给数据资料拥有者或责任方造成影响。 1GB/T31495.3—2015 b) 影响系统运行: 评价所需的部分数据资料在数据采集时可能需要从系统中即时获取,这可能会对系统运行造成 影响。 c) 对结果的争议: 信息安全保障评价的指标和方法是确定的,但外部环境的变化和产生的影响可能使得评价结果不 能全面反映信息安全保障状况,也可能遗漏一些较为重要的方面,这需要在得出指标测量结果后,由相 关领域的专家对测量结果进行研判。 4.4 评价活动实施过程 4.4.1 评价准备 信息安全保障评价的准备工作是否充分关系到评价结果的科学性、有效性以及评价工作是否能够 顺利开展。评价准备活动的主要任务是明确评价目的,熟悉指标及其含义,制定评价项目计划,并做好 相应的文档准备工作。 4.4.2 方案编制 评价方案编制活动是