GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则

ICS35.040

L80

中华人民共和国国彖标准

GB/T30271—2013

信息安全技术

信息安全服务能力评估准则

Informationsecuritytechnology—Assessmentcriteriaforinformation

securityservicecapability

2013-12-31发布2014-07-15实施

GB/T30271—2013

目次

,/d•-T

刖BI

引言n

1范围1

2规范性引用文件1

3术语定义和缩略语1

3.1术语和定义1

3.2缩略语2

4概述3

4.1信息安全月艮务过程扌既述3

4.2能力评定原则4

5信息安全服务过程4

5.1DO1组织战略4

5.2DO2规划设计15

5.3DO3实施交付31

5.4D04监视支持39

5.5DO5检查改进52

6信息安全服务能力级别57

6.1概述57

6.2能力级別1基本执行57

6.3能力级別2计划跟踪57

6.4能力级別3充分定义58

6.5能力级別4量化控制59

6.6能力级別5连续改进59

7信息安全服务能力评定60

参考文献62

GB/T30271—2013

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准主要起草单位：中国信息安全测评中心北京江南博仁科技有限公司北京中天安信息技术

服务有限公司。

本标准主要起草人:张利佟鑫李斌班晓芳王琰刘作康任育波吴慎夕。

T

GB/T30271—2013

引言

本标准是对提供信息安全服务的组织进行能力评估，在编制过程中考虑到国内环境与信息安全行

业的实际情况，同时结合GB/T20261—2006JSO/IEC20000—2011.COBIT4.1.NISTSP800系列等

国际或区域标准制定而成。

n

GB/T30271—2013

信息安全技术

信息安全服务能力评估准则

1范围

本标准规定了服务过程模型和信息安全服务商的服务能力的评估准则。

本标准适用于对信息安全服务提供商的能力进行评估，也适用于服务提供商对于自身能力的改善

提供指导。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984—2007信息安全风险评估规范

GB/T25069—2010信息安全技术术语

GB/T30283信息安全技术信息安全服务分类

3术语定义和缩略语

3.1术语和定义

GB/T25069—2010界定的以及下列术语和定义适用于本文件。

3.1.1

能力等级abilitylevel

流程领域内流程改善达到的程度。

注：能力等级由流程领域内适当的特定及一般执行方法所定义。

3.1.2

基本实践basepractices

系统T程过程中应存在的性质，只有当所有这些性质完全实现后，才可说满足了这个过程域的

要求。

注：一个过程域由基本实践（BP）组成。

3.1.3

能力成熟度模型capabilitymaturitymodel

有关组织的服务或开发过程中各个发展阶段的定义实现质量控制和改善的模型化描述。

注：模型专注于改善组织的流程，包含一个或多个有效流程的必要元索，并且描述由特定的不成熟的流程到有组

织的成熟的流程的品质改善与效率的成熟模型。

3.1.4

信息安全服务informationsecurityservice

面向组织或个人的各类信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过

程或任务。

注：通常是基于信息安全技术产品或管理体系的，通过外包的形式，由专业信息安全人员所提供的支持和帮助。

GB/T30271—2013

3.1.5

信息安全服务提供方informationsecurityserviceprovider

按照服务协议，通过专业的信息安全人员提供信息安全服务的各类组织机构。

信息安全服务提供方在每项具体的服务中，其服务角色和服务职责应是明确的＜如果服务内容仅

涉及供需双方的，则服务提供方为乙方角色;在上述服务的基础上，就所涉及的问题，独立于有关各方提

供评估证明等服务并承担相关社会责任的，则服务提供方为第三方角色。服务角色与服务提供方的组

织机构类型无关。

3.1.6

信息安全服务能力informationsafetyserviceability

信息安全服务提供方能够满足需求方规定和潜在需求的特征和特性的程度。

3.1.7

信息安全服务需求方informationsecurityservicedemander

有偿采购（或免费使用）外部所提供的信息安全服务，以满足信息系统安全保障需求,实现自身业务

目标的组织（或个人用户）。

3.1.8

信息安全服务能力级别informationsafetyservicelevel

提供信息安全服务的组织在完成工程服务项目时，执行组织已定义过程的能力成熟程度。

3.1.9

过程process

为了一个给定目的而执行的一系列活动。

注：过程包括活动定义每个活动的输入输出定义以及控制活动执行的机制。

3.1.10

过程域processarea

一组相关系统工程过程的性质，当这些性质全部实施后即能够达到过程域定义的目的。

3.1.11

过程能力processcapability

遵循一个过程可达到的可量化范围。

注：一个组织的过程能力可帮助预见项目目标的能力。低能力级别组织的项目在达到预定的成本进度功能和质

量目标上会有很大的变化。

3.1.12

过程管理processmanagement

一系列用于预见评价和控制过程执行的活动和基础设施。

注：过程管理意味着过程已定义好。注重过程管理含义是项U或组织需在计划执行评价监控和校止活动中既

要考虑产品相关因索，也要考虑过程相关因索。

3.1.13

工作产品workproducts

在执行任何过程中产生出的所有文档报告文件数据等。

注：本标准按特定的基本实践列出其“典型的工作产品”，其目的在丁对所需的基本实践范围可做进一步定义。列

举的T-作产品只是说明性的，目的在丁反映组织机构和产品的范围，不是“强制”的产品。

3.2缩略语

下列缩略语适用于本文件。

BP：基本实践（BasePractices）

2

GB/T30271—2013

CF：公共特征(CommonFunction)

GP：通用实践(GenericPractices)

PA：过程域(ProcessArea)

4概述

4.1信息安全服务过程概述

4.1.1信息安全服务过程模型

从组织信息安全治理角度，描述信息安全服务过程模型如图1所示。

图1信息安全服务过程模型

组织战略是信息安全活动的基础，各信息安全活动涵盖在信息系统规划设计实施交付监视支持

生命周期的各阶段，并通过有效的检查和改进机制，提升组织信息安全管理能力。

4.1.2组织战略

组织战略作为信息安全服务过程模型的中心环节，是本模型的重要组成并处于主导地位。信息安

全服务提供者建立有效的全面的安全制度和管理规定，全面覆盖规划设计实施交付监视支持检查

改进等各个环节，确保其符合本标准的相关要求。

4.1.3规划设计

从客户战略出发，以客户需求为中心，参考组织战略对其进行全面系统的规划设计，并建立业务战

略IT战略和安全服务之间清晰的匹配和连接关系。规划设计阶段需要根据业务战略运营模式及业

务流程的特点确定所需要的业务服务组件，为安全服务的部署实施做好准备，以确保为最终客户提供满

足其需求的服务。

4.1.4实施交付

在规划设计的基础上，建立管理体系，部署专用工具及服务解决方案。实施完成后根据其结果，依

据本标准要求，实现服务与业务的有机结合。重点包括业务运营和IT运营，主要采用过程方法，对基

3

GB/T30271—2013

础设施服务流程人员和业务连续性进行全面管理。

4.1.5监视支持

在交付过程中，应根据本标准要求，对业务运营和IT运营等交付措施过程进行记录。并确保交付

记录的实时性可追溯性完整性以及可用性。还应根据客户的需求采用外包供应商等形式在可控的

情况下完善信息安全服务的交付过程。

4.1.6检查改进

检查与改进过程伴随着整个信息安全服务生命周期的始终。检查改进过程伴随着组织管理规划

设计实施交付监视支持的方方面面。通过对监视支持产生的记录进行详细的分析，并结合本标准的

内容，对现有规章制度规划设计交付过程和支持手段进行改进和完善，且应采用可控制可记录的手

段来完成这一过程。

4.2能力评定原则

4.2.1综合考虑原则

信息安全服务能力级别的划分应对组织的综合能力进行考察，它主要与组织的技术实力信息安全

服务能力等级以及其他要求有关。

4.2.2可裁剪原则

安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪，同时可灵活定义新的服务类型。

参见GB/T30283。

4.2.3符合性原则

应遵从国家有关主管部门颁布的相关法律法规规章制度与相关网络与信息安全标准相一致。

4.2.4可操作性原则

应考虑国内安全服务商以及安全服务市场的实际情况,保证标准客观实际可操作性。

5信息安全服务过程

5.1D01组织战略”

5.1.1D01PA01制定信息安全章程

5.1.1.1概述

信息安全章程是信息安全管理的方针，制定信息安全章程，需要明确安全管理目标宗旨，确定并定

义安全管理范围，符合相关法律法规要求,并建立适用性声明。信息安全章程应定期评审其合理性和适

用性。

5.1.1.2目标

建立清晰的安全方针指导，并在整个组织中颁布实施，从而支持组织信息安全活动。

D编号说明：D表示过程；PA表示过程域;BP表示基本实践，分别按照相应的标号顺序依次编号。

4

GB/T30271—2013

5.1.1.3过程域注解

无。

5.1.1.4基本实践清单

基本实践清单包括：

a)BPO1O1O1明确安全管理目的宗旨；

b)BP010102定义安全边界和范围；

c)BPO1O1O3遵从法规合约与安全要求；

d)BP010104建立适用性声明；

e)BPO1O1O5管理层评审。

5.1.1.5BP010101明确安全管理目的宗旨

5.1.1.5.1描述

安全管理的宗旨权力和职责应在章程中进行定义并获取认可。章程应：

a)确定安全管理活动在组织中的地位；

b)授权人员接触与开展T作相关的记录人员和实物财产；

c)规定安全管理活动的范围；

d)证据以书面形式存在并批准；

e)定期评价章程中所规定的宗旨权力和职责是否足以使安全管理活动实现其目标。这种定期

评价的结果应通报高级管理层。

5.1.1.5.2工作产品

信息安全管理章程。

5.1.1.6BP010102定义安全管理范围

5.1.1.6.1描述

应根据组织目标与安全需求，结合业务特点组织结构位置资产和技术，确定安全管理的边界与

范围。

5.1.1.6.2工作产品

信息安全管理范围。

5.1.1.7BP010103遵从法规合约与安全要求

5.1.1.7.1描述

安全管理首先要求考虑区域法律行业规章机构规定合同等方面的要求，并综合考虑系统的安全

需求。

5.1.1.7.2工作产品

信息安全符合性规范。

5

GB/T30271—2013

5.1.1.8BP010104建立适用性声明

5.1.1.61描述

应建立安全管理相关适用性声明。适用性声明应包括：

a)选择的过程域目标和措施，以及选择的理由；

b)当前实施的过程域目标和措施。

5.1.1.62工作产品

适用性声明。

5.1.1.9BP010105管理层评审

5.1.1.9.1描述

信息安全管理层机构应负责定期组织相关部门和相关人员对信息安全章程的合理性和适用性进行

审定。对存在不足或需要改进的内容进行修订。

5.1.1.9.2工作产品

管理评审记录。

5.1.2D01PA02建立信息安全组织

5.1.2.1概述

信息安全组织机构是信息安全管理的基础，需要得到组织机构最高管理层的承诺和支持，建立完善

的信息安全组织结构。建立相应的岗位职责和职权，建立完善的内部和外部沟通协作组织和机制，同

组织机构内部和外部信息安全保障的所有相关方进行充分沟通学习交流和合作等。进一步将信息安

全融至组织机构的整个环境和文化中，使信息安全真正满足安全策略和风险管理的要求，实现保障组织

机构资产和使命的最终目的。

5.1.2.2目标

由安全组织执行安全管理程序，管理组织范围内的信息安全,并为组织业务目标提供合理保证。

5.1.2.3过程域注释

无。

5.1.2.4基本实践清单

基本实践清单包括：

a)BPO1O2O1信息安全管理支持；

b)BP010202岗位及人员设置；

c)BPO1O2O3定义T作描述角色资质技能要求人员培训要求；

d)BP010204制定人员选择变更和终止程序。

5.1.2.5BP010201信息安全管理支持

5.1.2.5.1描述

组织高级管理层通过清晰的指导明确信息安全职责的分配和反馈，提供对安全的主动支持。

6

GB/T30271—2013

5.1.2.5.2工作产品

信息安全愿景。

5.1.2.6BP010202岗位及人员设置

5.1.2.6.1描述

应成立指导和管理信息安全工作的委员会和领导小组,并设立信息安全管理T作的职能部门，应设

立系统管理员网络管理员安全管理员等岗位，定义各个岗位的职责，并给出岗位要求。例如，采用关

键岗位配备多人共同管理，配备专职的安全管理员不可兼任等机制。

5.1.2.6.2工作产品

信息安全岗位设置原则。

5.1.2.7BP010203定义工作描述角色资质技能要求人员培训要求

5.1.2.7.1描述

安全管理组织应考虑T作描述角色资质技能要求人员培训要求等事项。

5.1.2.7.2工作产品

T作产品包括：

）信息安全职责描述；

b）人员技能需求；

c）信息安全培训准则.

5.1.2.8BP010204制定人员选择变更和终止程序

5.1.2.61描述

安全管理负责人应在人员选择变更和终止程序保密协议等方面提供指导。

5.1.2.62工作产品

T作产品包括：

）保密协议；

b）聘用流程；

c）解雇流程。

5.1.3D01PA03制定信息安全策略

5.1.3.1概述

制定安全策略目的在于通过考察业务目标与安全需求，考虑组织的策略程序制度指南等多层次

的管理流程与规范，保证业务目标的实现。

5.1.3.2目标

通过完善的安全策略管理体系，提供管理指导，保证信息安全，促进业务目标与安全需求的有效

实现。

7

GB/T30271—2013

5.1.3.3过程域注解

无。

5.1.3.4基本实践清单

基本实践清单包括：

）BPO1O3O1制定安全策略；

b）BPO1O3O2制定安全制度规范与指南；

c）BPO1O3O3策略与程序文件维护评估与更新。

5.1.3.5BP010301制定安全策略

5.1.3.5.1描述

管理层应制定一个明确的安全策略方向，并通过在整个组织中发布和维护信息安全策略，表明自己

对信息安全的支持和保护责任。

策略文档应由管理层批准，根据情况向所有员工公布传达。文档应说明管理人员承担的义务和责

任，并制定组织的管理信息安全的步骤。

5.1.3.5.2工作产品

信息安全方针。

5.1.3.6BP010302制定安全制度规范与指南

5.1.3.6.1描述

依据组织的高层安全策略和系统安全策略，制定运营操作管理程序框架，指导安全管理T•作。

安全管理程序框架包括强制性制度技术规范实施指南等程序文件。

5.1.3.6.2工作产品

工作产品包括：

）信息安全策略；

b）信息安全规范；

c）信息安全指南。

5.1.3.7BP010303策略与程序文件维护评估与更新

5.1.3.7.1描述

应定期或在重大变更时对信息安全路线与实施（策略控制目标控制过程程序）进行独立审查

评估与更新。

应确保在发生影响最初风险评估的基础的变化（如发生重大安全事故出现新的漏洞以及组织或技

术基础结构发生变更）时，对策略进行相应的审查。还应进行以下预定的阶段性的审查：

）检查策略的有效性，通过所记录的安全事故的性质数量以及影响反映出来；

b）控制措施的成本及其业务效率的影响；

c）技术变化带来的影响。

8

GB/T30271—2013

5.1.3.7.2工作产品

评审与修订方法。

5.1.4D01PA04制定安全管理程序

5.1.4.1概述

为了落实信息安全策略体系，维护系统的可用性与保护信息的机密性完整性，组织需要建立和维

护包括IT安全角色和责任策略标准和程序的安全管理程序，包括进行安全监控定期测试，纠正明

确的安全脆弱性与事故。

5.1.4.2目标

落实信息安全策略，进行有效安全管理，通过最小化安全脆弱性和安全事件对业务影响，以保护IT

资产。

5.1.4.3过程域注解

无。

5.1.4.4基本实践清单

制定安全管理程序的基本实践清单包括：

a)BP010401管理IT安全；

b)BP010402制定IT安全计划；

c)BP010403身份管理；

d)BP010404用户账户管理；

e)BP010405安全性测试和监控；

f)BP010407数据分类；

g)BP010408访问权限集中管理；

h)BP010410事件处理；

i)BP010412可信任的路径；

j)BP010413安全功能的保护；

k)BP010414密钥管理；

l)BPO1O415恶意软件的预防检测和纠正；

m)BPO1O416网络安全；

n)BP010417敏感数据交换。

5.1.4.5BP010401管理IT安全

5.1.4.5.1描述

应确保最高的适当的组织机构来管理IT安全,并保证安全管理行为和业务需求一致性。

5.1.4.5.2工作产品

信息安全战略。

9

GB/T30271—2013

5.1.4.6BP010402制定IT安全计划

5.1.4.6.1描述

将业务信息需求IT配置信息风险行动计划信息安全文化转换为一个整体的IT安全计划。通

过将安全策略程序以及在服务人事软件硬件方面的投资，以使计划得以实施。

5.1.4.6.2工作产品

信息安全计划。

5.1.4.7BP010403身份管理

5.1.4.7.1描述

应唯一标识所有用户及在IT系统中的行为，用户访问系统和数据的权限应符合已定义的正式规

定的业务需求和工作要求。

用户的权限由用户的管理者申请，系统的所有者批准，安全责任人员实施。通过使用有效的技术和

程序来用于建立用户身份完成身份认证实施访问权限。

5.1.4.7.2工作产品

身份管理规范。

5.1.4.8BP010404用户账户管理

5.1.4.61描述

保证用户账户管理者处理用户账户的申请建立发布修改和关闭以及相关的用户特权。应建立

一个描述数据和系统的所有者授予访问权限的批准程序，适用于管理员内部用户外部用户的正常紧

急情形。所有账户和相关权限应实施定期的管理评审。

5.1.4.62工作产品

账户管理规范。

5.1.4.9BP010405安全性测试监控和报告

5.1.4.9.1描述

应保证主动地测试和监控IT安全实施。IT安全性应定期检查,保证已批准的IT安全水平得到维

护，日志和监控功能应能够发现需要说明的例外和异常行为。根据业务需求，确定日志信息的访问权

限。对计算机资源责任信息的逻辑访问（安全和其他日志文件）应基于最小特权或者“需要才能知道”的

原则来准予。

IT安全管理员应确保侵犯和安全活动被记入日志，任何即将来临的安全侵犯的迹象要立即报告给

所有相关内部外部人员，并及时采取行动。报告评价有规律地适时逐步升级，以便确认和解决有关未

授权活动。

5.1.4.9.2工作产品

工作产品包括：

）安全测试规范；

10

GB/T30271—2013

b）日志管理规范；

c）安全事件报告管理规范。

5.1.4.10BP010407数据分类

5.1.4.10.1描述

应执行一个程序，确保所有的数据，按照数据分类的计划安排，由数据的所有者通过正式和明确的

决策，根据敏感性进行分类。即使数据“不需要保护”，也需要一个正式决策以指明这样设计的理由。所

有者应决定数据的布置与共享，也就是是否何时进行程序和文件的维护存档或删除。所有者批准和

数据布置的证据应被维护。政策应被定义，以基于变化的敏感性，支持信息的重新分类。分类方案应包

括管理机构之间信息交换的规范，要注意安全以及对有关法律的遵从性。

5.1.4.10.2工作产品

数据分类规范。

5.1.4.11BP010408访问权限管理

5.1.4.11.1描述

应设置一个控制，确保用户身份识别和访问权限以及系统的身份和数据的拥有权以唯一和中心管

理的方式被建立和管理，以此来获得全局访问控制的一致性和有效性。

机构的政策应确保在合适的地方执行控制，以提供操作的授权,并建立用户自己对系统声称的身份

校验。这要求使用密码技术进行签名和校验操作。

5.1.4.11.2工作产品

I.作产品包括：

）授权管理流程；

b）权限定义规范；

c）操作安全规范。

5.1.4.12BP010410事件处理

5.1.4.12.1描述

应建立计算机安全事件处理规范，通过提供足够的专家意见和装备迅速而安全的通讯设施的集中

化平台，来处理安全事件。应建立事件管理的责任和程序，确保对安全事件适当有效和及时的响应。

5.1.4.12.2工作产品

工作产品包括：

）应急响应预案；

b）安全事件处置规范。

5.1.4.13BP010412可信任的路径

5.1.4.13.1描述

机构政策应确保敏感交易数据只能通过可信任的路径来交换。敏感信息包括:安全管理信息敏感

交易数据口令和密钥。为了实现这些，可信任的通道需要使用用户之间用户和系统之间系统和系统

之间的加密来建立。

11

GB/T30271—2013

5.1.4.13.2工作产品

敏感信息管理规范。

5.1.4.14BP010413安全功能的保护

5.1.4.14.1描述

应防止所有涉及硬件和软件安全的损害，以维持它们的完整性，并要防止密钥的泄露。另外，机构

应对他们的安全设计保持一种低调的形象，但是安全不能基于对设计的保密。

5.1.4.14.2工作产品

完整性保护规范。

5.1.4.15BP010414密钥管理

5.1.4.15.1描述

管理层应定义并执行程序和协议，用于密钥的生成更改撤消毁坏分发认证存储输入使用

和存档，确保密钥不被更改和未经授权的泄露。如果一个密钥危及安全，管理层应确保这个信息，通过

认证撤消列表或其他类似的机制，传播到所有利益相关方。

5.1.4.15.2工作产品

密钥管理规范。

5.1.4.16BP010415恶意软件的预防检测和纠正

5.1.4.16.1描述

应建立一个适当的预防检测和纠正控制措施以及出现时的响应和报告的框架。业务和IT管理

层应确保建立一个跨越全机构的程序，避免信息系统和技术遭受计算机病毒的侵害＜程序应结合病毒

预防检测发生时的响应和报告。

5.1.4.16.2工作产品

恶意代码管理规范。

5.1.4.17BP010416网络安全

5.1.4.17.1描述

确保采用了安全技术和相关管理程序（如防火墙网络分段入侵检测）用于授权访问和控制进出网

络的信息流。

5.1.4.17.2工作产品

网络管理规范。

5.1.4.18BP010417敏感数据交换

5.1.4.18.1描述

为了提供内容的真实性提交验证接收验证和数据源地抗抵赖性，应保证敏感数据仅通过可信路

12

GB/T30271—2013

径或介质交换。

5.1.4.1&2工作产品

敏感数据保护规范。

5.1.5D01PA05协调信息安全

5.1.5.1概述

协调安全的目的在于保证所有部门都有一种参与安全工程的意识。由于安全工程不能独立地取得

成功,所以这种参与工作是至关重要的。这种协调性涉及保持安全组织其他工程组织和外部组织之间

的开放交流。多种机制可以用于在这些部门之间协调和沟通安全工程的决定和建议，包括备忘录文

档电子邮件会议和工作组。

5.1.5.2目标

项目组的所有成员都要具有并参与安全工程工作的意识，才能充分发挥他们的作用。

有关安全的决定和建议是相互沟通和协调一致的。

5.1.5.3过程域注解

本过程域保证安全是整个T程项目的一个完整部分。安全工程师应是所有主要设计队伍和T作组

的一部分。在作出关键设计决定后的T程生命期早期就建立起安全丁程与其他T程队伍间的联系是特

別重要的。本过程域能够同等地用于开发和运行机构。

5.1.5.4基本实践清单

基本实践清单包括：

a)BPO1O5O1定义安全工作协调目标和相互关系；

b)BPO1O5O2识别出安全工程的机制；

c)BPO1O5O3促进安全丁-程的一致性；

d)BP010504用识别出的机制去协调有关安全的决定和建议。

5.1.5.5BP010501定义协调目标

5.1.5.5.1描述

许多其他的组织也需要有一种参与安全工程的意识。与这些组织共享信息的目标是通过检查项目

结构信息需求和项目要求来决定的。建立与其他组织之间的联系和义务关系，成功的联系可有许多形

式，但应被全体参与的部门所接受。

5.1.5.5.2工作产品

T作产品包括：

a)信息共享协议:描述组织间共享信息的过程,标识参与部门介质格式期望值和频率；

b)工作组的成员关系和日程表:描述本组织的工作组，包括他们的隶属关系成员的作用目的

议程和后勤；

c)组织标准:描述各T作组之间及用户之间沟通安全相关信息的过程和程序。

13

GB/T30271—2013

5.1.5.6BP010502识别协调机制

5.1.5.6.1描述

有许多方法可以与其他组织共享安全T程的决定和建议。本活动识別在项目中协调安全的不同

方法。

在同样一个项目上有多个安全组是常见的。这些情况下，所有的T作组都应为了一个共同的目标

而丁作，接口标识安全机制选择培训及开发工作都需要以某种方式进行，以保证每个安全组件放置在

运行系统中时都能如愿工作。另外，安全工程的作用应得到所有其他T程组和丁程机构的理解，以便使

安全能完好地集成到系统中去。顾客也应认识有关安全的事情和工作，以便保证恰当地识别和提岀

要求。

5.1.5.6.2工作产品

工作产品包括：

）沟通计划：包括用于丁作组成员之间以及与其他团体之间需要共享的信息会议日期过程和

程序；

b）通信基础设施的要求：标识工作组成员之间以及与其他团体之间共享信息需要的基础设施和

标准；

c）会议报告报文备忘录的模板：描述各种文档的格式,保证标准化和有效的T作。

5.1.5.7BP010503促进协调

5.1.5.7.1描述

成功的关系依赖于完善的促进。在具有不同优先级的不同组织之间进行沟通有可能会发生一些冲

突。本基本实践确保争端以合适的富有成果的方式得到解决。

5.1.5.7.2工作产品

工作产品包括：

）冲突解决的程序：识别出有效解决组织中实体之间和实体内部冲突的方法；

b）会议议程目标行动条目：描述会议中讨论的议题强调需要阐述的目标和行动条目；

c）行动条目的跟踪：识别工作和项目分解的计划，包括职责时间表和优先级。

5.1.5.8BP010504协调安全决定和建议

5.1.5.61描述

本基本实践的目的在于在各种安全丁程组织其他T程组织外部实体及其他合适的部门中沟通安

全决定和建议。

5.1.5.62工作产品

工作产品包括：

）决定：通过会议报告备忘录T作组会议纪要电子邮件安全指南或公告牌将有关安全的决

定告诉有关工作组；

b）建议:通过会议报告备忘录工作组会议纪要电子邮件安全指南或公告牌将有关安全的建

议通报给有关工作组。

14

GB/T30271—2013

5.2D02规划设计

5.2.1D02PA01指定安全需求

5.2.1.1概述

指定安全需求的目的在于，明确地为系统识别出与安全相关的需求。指定安全需求涉及定义系统

安全的基本原则，以此满足有关安全的所有法律策略组织要求。这些需求按照系统的目标运行安全

的前后联系组织的当前安全和系统环境，以及一系列被识别的安全目标来进行裁剪。与安全相关的需

求集合被定义为系统安全的基线。

5.2.1.2目标

在所有部门，包括用户之间达成对安全需求的共同认识。

5.2.1.3过程域注解

本过程域包括定义整个信息系统中所有安全方面（例如物理的功能的程序的）的活动。本基本实

践提出了安全需求如何被识别，并被提炼为与安全要求相关的连贯的基线，以用于系统设计开发检

验运行和维护。在大多数的情况下,有必要考虑现有环境和与安全需求相关的因素。通过这一过程域

所获得和产生的信息在整个项目中被收集提炼使用和更新，详见“提供安全输入”（DO2PAO6）,以此

提出顾客需求。

5.2.1.4基本实践清单

基本实践清单包括:

a)BPO2O1O1获得对顾客安全需求的理解；

b)BPO2O1O2识别出管理该系统的法律策略标准外部影响和约束；

c)BPO2O1O3识别出系统的用途，以此来决定安全上下文关系；

d)BP020104收集系统运行的一个高层的面向安全的思想；

e)BPO2O1O5收集定义系统安全的高层目标；

f)BPO2O1O6定义一套确定在系统中实施保护措施的一致性陈述；

g)BP020107达成特定的安全协议以满足顾客要求。

5.2.1.5BP020101获得对用户安全需求的理解

5.2.1.5.1描述

本基本实践的目的在于，收集所有用于全面理解用户安全需求所需的信息。这些需求受到安全风

险对用户重要性的影响。系统预期操作的目标环境也会影响用户与安仝:相关的需求。

5.2.1.5.2工作产品

用户安全需求的叙述:对用户所要求的安全的高层描述。

5.2.1.6BP020102识别可用的法律策略和约束

5.2.1.6.1描述

本基本实践的目的在于，收集所有对系统安全产生影响的外部影响。一个具有可适用性的决定应

识別出支配系统目标环境的法律规则策略和商务标准。应执行全局和局部间优先权的决定。由系统

15

GB/T30271—2013

用户对系统提出的安全需求应被标识并提出安全含意。

5.2.1.6.2工作产品

工作产品包括：

）安全约束:影响系统安全的法律策略规则和其他约束条件；

b）安全轮廓：安全环境（威胁组织策略）安全目标（例如需对抗的威胁）安全功能和保证需求；

开发出满足目标需求的系统合理性。

5.2.1.7BP020103识别系统安全关联性

5.2.1.7.1描述

本基本实践的目的在于识别出系统间的关系是如何影响安全的。它涉及了对系统（例如，情报金

融医疗）用途的理解。任务的处理和运行概要作为安全因素加以评估。对系统遭受到的，或可能的威

胁，在这一阶段有深入理解。评估性能和功能需求对安全可能产生的影响。就安全含意而言，运行的约

束条件也要受到检查。

定义的系统安全边界，环境可能也包括与其他组织或系统的接口。接口部件被确定为位于安全边

界的内侧或外侧。

组织的许多外部因素也影响组织安全需求的变化程度。这些因素包括策略上的倾向性和策略重点

的改变技术开发经济影响全局性事件以及信息战。由于这些因素没有一个是静态的，它们需要监视

和定期地评估这些变化潜在的影响。

5.2.1.7.2工作产品

识别系统安全关联性的工作产品包括：

）预期的威胁环境:对系统资产的已知或假定的威胁，包括威胁作用力（专门技术可用资源动

机）攻击（方法可开发的脆弱性机会）资产；

b）评估目标:描述被评估的系统或产品的安全特性（类型预期的应用通用特性使用限制）。

5.2.1.8BP020104收集系统运行的安全思想

5.2.1.&1描述

本基本实践的目的在于开发一个高层的面向安全的规划思想，包括任务职责信息流资产资源

人员保护以及物理保护。这一描述应包括对规划如何都能在系统要求约束条件内实施的讨论。系统的

这一思想在运行安全概念中典型地被提了出来，而且应包括一个有关体系结构过程和环境的高层的安

全思想。与系统开发环境有关的要求也要在这一阶段进行收集。

5.2.1.&2工作产品

收集系统运行的安全思想的工作产品包括：

）运行安全概念：系统高层的面向安全的思想（任务职责资产信息流过程）；

b）概念性安全体系结构。

5.2.1.9BP020105收集安全的高层目标

5.2.1.9.1描述

本基本实践的目的在于，识别岀在运行环境中怎样提供足够的安全才能为该系统满足其安全目标。

16

GB/T30271—2013

5.2.1.9.2工作产品

收集安全的高层目标的T作产品包括：

）运行/环境的安全策略:支配资产怎样在一个组织的内部和外部进行管理保护和发布的规则

指令和实施；

b）系统安全策略:支配资产怎样被系统或产品进行管理保护和发布的规则指令和实施。

5.2.1.10BP020106定义安全相关需求

5.2.1.10.1描述

本基本实践的目的在于定义与系统的安全相关的需求。这一实施应确保每个需求与可适用的策

略法律标准安全需求以及系统的约束条件协调一致。这些需求应完全地定义出系统的安全需求，包

括那些通过非技术手段提供的需求。通常有必要定义或确定目标的逻辑或物理边界，以确保所有的方

面都被提到。这些需求应与系统目标建立映射关系或发生关联。与安全相关的需求应被清楚地简明

地陈述，而且彼此不应发生矛盾。无论何时，安全都应将对系统功能和性能的任何影响降到最小。与安

全相关的需求应为在目标环境中对系统安全的评价提供一个基础。

5.2.1.10.2工作产品

定义安全相关需求的工作产品包括：

）与安全相关的需求：直接影响系统的安全运行，或强迫与某一特殊安全策略的一致性需求；

b）可跟踪模型：将安全需求映射成为必需条件解决方法（例如，体系结构设计实现）测试和

测试结果。

5.2.1.11BP020107达成安全协议

5.2.1.11.1描述

本基本实践的目的在于，在系统的安全需求中所有适用部分与特定安全之间达成协议。在未被识

别的特殊用户，而不是一个通用用户组的情况下，特定安全要满足目标设置。特定的安全应是完整地

一致地反映对策略法律和用户需求的管理。问题应被识別并修改直到达成协议。

5.2.1.11.2工作产品

达成安全协议的丁作产品包括：

）被审定的安全目标：陈述需对抗的已识別的威胁，和/或遵从已识别的安全策略（已被顾客认

可）的计划；

b）与安全相关的需求基线：在特定的重要阶段，被所有的适用部分（特別是顾客）认可的，与安全

相关的最低要求。

5.2.2D02PA02评估影响

5.2.2.1概述

评估影响的目的在于识别对该系统有关系的影响，并对发生影响的可能性进行评估。影响可能是

有形的，例如税收或财政罚款的丢失，或可能是无形的，例如声誉和信誉的损失。

5.2.2.2目标

对该系统风险的安全影响进行标识和特征化。

17

GB/T30271—2013

5.2.2.3过程域注解

影响是意外事件的后果,对系统资产产生影响，可由故意行为或偶然原因引起。这一后果可能毁灭

某些资产,危及该IT系统以及丧失机密性完整性可用性可记录性可鉴别性或可靠性。间接后果

可以包括财政损失市场份额或公司形象的损失。对影响是被允许在意外事件的结果与防止这些意外

事件所需安全措施费用之间达成平衡。应对发生意外事件的频率予以考虑。特别重要的是，即使每一

次影响新引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。影响的评估

是评估风险和选择安全措施的要素。

本过程域所产生的影响信息在本过程域中，与来自DO2PAO3的威胁信息和来自D02PA04的脆弱

性信息一起使用。当涉及与收集威胁脆弱性和影响信息有关的活动被综合成单个PA后，它们是相互

依存的。目的在于寻找认为是有足够风险的威胁脆弱性和影响的组合，以证明新采取的措施是合理

的。因此,对影响的搜索应通过现有相应的威胁和脆弱性进行一定延仲。

由于影响要经历变化，应定期进行监视，以保证由本过程域产生的理解始终得到维持。

5.2.2.4基本实践清单

评估影响的基本实践清单主要包括:

a)BPO2O2O1对系统中起关键作用的运行商务或任务的影响进行识别分析和优先级排列；

b)BP020202对支持系统的关键性运行能力或安全目标的系统资产进行识别和特征化；

c)BP02