【国家标准】 信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型

ICS 35.030 CCS L 80 GB/T 20274.1-2023 中华人民共和国国家标准 代替 GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型 Information security technology - Evaluation framework for information systems security assurance Part 1: Introduction and general model 2023-03-17 发布 2023-10-01 实施 国家市场监督管理总局 国家标准化管理委员会 发布 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件是 GB/T 20274《信息安全技术 信息系统安全保障评估框架》的第1部分，已发布部分包括： — 第1部分：简介和一般模型； — 第2部分：技术保障； — 第3部分：管理保障； — 第4部分：工程保障。 本文件代替 GB/T 20274.1—2006《信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型》，与2006版相比，主要技术变化如下： 1）删除了不适用界限； 2）更改了“信息系统”和“信息系统安全保障”的定义，增加“组织安全策略”，删除缩略语； 3）更改目标读者描述； 4）删除“评估上下文”和框架文档结构； 5）将“一般模型”更改为“信息系统安全保障模型和等级”，增加保障能力等级概念； 6）将“信息系统安全保障描述材料”更改为“信息系统安全保障要素”，删除 ISPP 和 ISST 内容； 7）删除“信息安全整体和应用”等内容； 8）调整评估概念关系图及文字描述； 9）将生命周期安全保障内容调整为评估内容； 10）调整评估内容表达及图表； 11）将评估结果相关内容调整为“评估判定”，增加评估准则和等级判定要求。 本文件部分内容可能涉及专利，发布机构不承担识别专利责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国信息安全测评中心、国家信息技术安全研究中心、国家计算机网络与信息安全管理中心、公安部第一研究所、国家工业信息安全发展研究中心、国家信息中心、吉林信息安全测评中心、四川省信息安全测评中心、广东省信息安全测评中心、陕西省网络与信息安全测评中心、中国南方电网有限责任公司、南方电网数字电网集团有限公司、昆仑数智科技有限公司、泰康保险集团股份有限公司、中国医学科学院北京协和医院、华润数科控股有限公司、四川大学、北京百度网讯科技有限公司、浪潮云信息技术股份公司、浙江木链物联网科技有限公司、杭州安恒信息技术股份有限公司、沈阳东软系统集成工程有限公司、启明星辰信息技术集团股份有限公司、北京神州绿盟科技有限公司、鼎铉商用密码测评技术（深圳）有限公司、中国电子科技网络信息安全有限公司、山西轩信息安全技术有限公司。 本文件主要起草人：任望、邸丽清、江常青、李斌、徐秋伊、梁智溢、张普含、杜宇鸽、宋璟、谢丰、彭勇。 1 范围 2 规范性引用文件 3 术语和定义 4 概述 5 信息系统安全保障模型和等级 5.1 保障概念 5.2 保障模型 5.3 保障能力等级 6 信息系统安全保障要素 6.1 信息系统安全保障要素的结构 6.2 信息系统安全保障要素的生成 7 信息系统安全保障评估框架 7.1 信息系统安全保障评估概念和关系 7.2 信息系统安全保障评估内容 7.3 信息系统安全保障评估判定 参考文献