GB/T 20274.2-2026 网络安全技术 信息系统安全保障评估框架 第2部分：安全保障要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T202742—2026

.

代替GB/T202742—2008GB/T202743—2008GB/T202744—2008

.,.,.

网络安全技术信息系统安全保障

评估框架第2部分安全保障要求

:

Cybersecuritytechnology—Evaluationframeworkforinformationsystems

securitassurance—Part2Securitassurancereuirements

y:yq

2026-05-25发布2026-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T202742—2026

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

信息系统安全保障评估框架

4……………1

安全保障评估模型

4.1…………………1

保障能力等级确定

4.2…………………3

信息系统安全保障能力等级

5……………4

能力维度

5.1……………4

基本执行级

5.2…………………………5

计划跟踪级

5.3…………………………5

充分定义级

5.4…………………………6

量化控制级

5.5…………………………8

持续改进级

5.6…………………………9

技术保障组件

6……………10

概述

6.1…………………10

系统与通信保护类

6.2(SCP)…………10

访问控制类

6.3(FAC)…………………14

标识与鉴别类

6.4(FIA)………………16

数据安全类

6.5(FDS)…………………18

安全审计类

6.6(FAU)…………………23

物理与环境安全类

6.7(FPE)…………24

管理保障组件

7……………28

概述

7.1…………………28

安全管理类

7.2(ASM)………………28

安全工程类

7.3(ASE)…………………39

安全运营类

7.4(ASO)…………………43

参考文献

……………………57

Ⅰ

GB/T202742—2026

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是网络安全技术信息系统安全保障评估框架的第部分

GB/T20274《》2。GB/T20274

已经发布了以下部分

:

第部分简介和一般模型

———1:;

第部分安全保障要求

———2:。

本文件代替信息安全技术信息系统安全保障评估框架第部分技术

GB/T20274.2—2008《2:

保障信息安全技术信息系统安全保障评估框架第部分管理保障

》、GB/T20274.3—2008《3:》、

信息安全技术信息系统安全保障评估框架第部分工程保障本文件与

GB/T20274.4—2008《4:》。

和相比除结构调整和编辑性改动

GB/T20274.2—2008、GB/T20274.3—2008GB/T20274.4—2008,

外主要技术变化如下

,:

增加了信息系统安全保障框架的描述见第章

———(4);

更改了技术保障组件的类别及相关描述见第章版的第章第章

———(6,GB/T20274.2—20087~17);

更改了管理保障组件的类别及相关描述见第章版的第章第

———(7,GB/T20274.3—20087~18

章及版的第章第章

GB/T20274.4—20087~9)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心国家信息技术安全研究中心国家信息中心南方电网数

:、、、

字电网集团信息通信科技有限公司云南电网有限责任公司数智运营中心南航数智科技广东有限公

、、()

司国家石油天然气管网集团有限公司公安部第三研究所吉林信息安全测评中心广东省信息安全测

、、、、

评中心启明星辰信息技术集团股份有限公司天翼安全科技有限公司浪潮电子信息产业股份有限公

、、、

司浪潮软件集团有限公司北京数安行科技有限公司中国移动通信集团有限公司中国银联股份有限

、、、、

公司昆仑数智科技有限责任公司华润集团有限公司国家计算机病毒应急处理中心中国电子科技

、、()、、

集团公司第十五研究所清华大学北京时代新威信息技术有限公司广州市昊恒信息科技有限公司

、、、、

国网思极网安科技北京有限公司中国信息安全测评中心华中测评中心陕西省网络与信息安全测评

()、、

中心中科信息安全共性技术国家工程研究中心有限公司中国医学科学院北京协和医院工业和信息

、、、

化部电子第五研究所北京源堡科技有限公司北京中测安华科技有限公司四川省数字经济研究中心

、、、、

中贸促信息技术有限责任公司杭州安恒信息技术股份有限公司中国电力科学研究院有限公司深圳

、、、

开源互联网安全技术有限公司山西轩辕信息安全技术有限公司北京神州绿盟科技有限公司奇安信

、、、

网神信息技术北京股份有限公司深信服科技股份有限公司北京禹宏信安科技有限公司上海观安

()、、、

信息技术股份有限公司

。

本文件主要起草人宋璟温哲邸丽清王庆张毅李斌任望江常青肖鹏刘占丰杨天识

:、、、、、、、、、、、

梁露露王文佳梁伟赵媛张鹏刘玉红樊凯黄伟键王学力杨杰张雪莲昌彦伟叶晓俊吴强

、、、、、、、、、、、、、、

宋皓孟晓阳阮晶晶孙晓丽于园园陈永刚李祉岐陈芳张峰崔庆虎李滨丞吴文超谭近军

、、、、、、、、、、、、、

王作为孙文龙姚雨秋胡建勋董晶晶袁泉于敏宋好好程虎张强肖红阳王颉王丹琛赖永晓

、、、、、、、、、、、、、、

徐可彭勇张普含杜宇鸽田斌杨光赵佳璐刘彦钊胡超群王新洋孙子玉伊玮珑石磊王文君

、、、、、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2008GB/T20274.2—2008、GB/T20274.3—2008、GB/T20274.4—2008;

Ⅲ

GB/T202742—2026

.

本次为第一次修订合并了信息安全技术信息系统安全保障评估框

———,GB/T20274.2—2008《

架第部分技术保障信息安全技术信息系统安全保障评估框

2:》、GB/T20274.3—2008《

架第部分管理保障信息安全技术信息系统安全保障评估框

3:》、GB/T20274.4—2008《

架第部分工程保障的内容

4:》。

Ⅳ

GB/T202742—2026

.

引言

信息安全技术信息系统安全保障评估框架以网络技术安全信息

GB/T20274《》GB/T18336《

技术安全评估准则为基础从产品扩展到信息技术系统并进一步同其他国内外信息系统安全领域的

》,,

标准和规范结合扩展和补充以形成描述和评估信息系统安全保障内容和能力的通用框架

、,。

是指导信息系统安全保障评估的基础性和框架性标准为从事信息系统安全保障工

GB/T20274,

作的所有相关方包括设计开发者工程实施者评估者认证认可者等提供一种标准化规范化的通用

(、、)、

描述语言结构和方法旨在给出信息系统安全保障的基本概念和模型确立在技术和管

、。GB/T20274,

理方面的安全保障要求和能力等级要求拟由两个部分构成

,。

第部分简介和一般模型目的在于给出信息系统安全保障的基本概念和模型提出信息系

———1:。,

统安全保障评估的框架

。

第部分安全保障要求目的在于确立信息系统安全保障评估框架和安全保障能力等级规

———2:。,

定技术保障组件和管理保障组件的要求

。

为了确立信息系统在技术管理和工程方面的安全保障要求和能力等级我国在年发布了

、,2008

信息安全技术信息系统安全保障评估框架第部分技术保障信

GB/T20274.2《2:》、GB/T20274.3《

息安全技术信息系统安全保障评估框架第部分管理保障信息安全技术信

3:》、GB/T20274.4《

息系统安全保障评估框架第部分工程保障为了配合中华人民共和国网络安全法和中华人

4:》。《》《

民共和国数据安全法的实施进一步落实反间谍安全防范工作规定中非涉密信息系统的相关要

》,《》

求适应新技术新应用发展下信息系统安全保障体系的构建和能力评价工作的开展需对

,、,

进行修改本次修订以风险和策略为核心借鉴通用评

GB/T20274.2、GB/T20274.3、GB/T20274.4。,

估准则的思想围绕信息系统整个生存周期合并

(CC),,GB/T20274.2、GB/T20274.3、GB/T20274.4

三个部分为一个部分以确立信息系统安全保障评估框架和安全保障能力等级规范技

GB/T20274.2,,

术保障组件和管理保障组件的要求

。

Ⅴ

GB/T202742—2026

.

网络安全技术信息系统安全保障

评估框架第2部分安全保障要求

:

1范围

本文件确立了信息系统安全保障评估框架和安全保障能力等级规定了技术保障组件和管理保障

,

组件的要求

。

本文件适用于指导信息系统建设者运营者和评估者等开展信息系统安全保障相关工作

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术信息系统安全保障评估框架第部分简介和一般模型

GB/T20274.11:

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273

信息安全技术个人信息去标识化指南

GB/T37964

信息安全技术数据安全能力成熟度模型

GB/T37988

信息安全技术个人信息去标识化效果评估指南

GB/T42460

数据安全技术数据分类分级规则

GB/T43697

数据中心设计规范

GB50174

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T20274.1。

31

.

基本实践basepractices

在信息系统安全保障过程中为了达成特定目标而执行一系列标准规范或其他相关基础的活动

,、。

注这些实践是确保信息系统安全稳定和高效运行的基础

:、。

4信息系统安全保障评估框架

41安全保障评估模型

.

在给出的信息系统安全保障模型的基础上细化了保障要素完善了信息系统安全

GB/T20274.1,,

保障评估框架如图所示

,1。

1