GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型

ICS35.040

L80

中华人民共和国国家标准

GB/T20274.1—2006

信息安全技术

信息系统安全保障评估框架

第1部分：简介和一般模型

Informationsecuritytechnology—

Evaluationframeworkforinformationsystemssecurityassurance—

Part:Introductionandgeneralmodel

2006-05-31发布2006-12-01实施

发布

GB/T20274.—2006

目次

前言V

引言VI

0.1信息系统安全保障的含义M

0.2信息系统安全保障评估框架的编制目的和意义M

1范围1

2规范性引用文件1

3术语、定义和缩略语1

3.1术语和定义1

3.2缩略语4

4概述4

4.1引言4

4.2信息系统安全保障评估框架的目标读者4

4.3评估上下文5

4.4信息系统安全保障评估框架的文档结构6

5一般模型7

5.1概述7

5.2安全保障上下文7

5.3信息系统安全保障评估10

5.4ISPP和ISST的生成12

5.5信息系统安全保障描述材料14

6信息系统安全保障评估和评估结果17

6.1介绍17

6.2ISPP（信息系统保护轮廓）和ISST（信息系统安全目标）的要求18

6.3TOE的要求18

6.4评估结果的声明19

6.5TOE评估结果的应用19

附录A（规范性附录）信息系统保护轮廓20

A.1概述20

A.2信息系统保护轮廓内容20

A.2.1内容和表述20

A.2.2ISPP引言20

A.2.3TOE描述20

A.2.4TOE安全环境21

A.2.5安全保障目的21

A.2.6信息系统安全保障要求22

A.2.7ISPP应用注解22

A.2.8符合性声明22

附录B（规范性附录）信息系统安全目标规范24

T

GB/T20274.—2006

B.1概述24

B.2信息系统安全目标内容24

B.2.1内容和形式24

B.2.2ISST引言24

B.2.3TOE描述25

B.2.4TOE安全环境26

B.2.5安全保障目的26

B.2.6安全保障要求27

B.2.7TOE概要规范27

B.2.8ISPP声明28

B.2.9符合性声明28

附录C(资料性附录)信息系统描述30

C.1概述30

C.2信息系统描述规范30

C.3信息系统描述说明31

附录D(资料性附录)信息系统安全保障级说明33

D.1概述33

D.2信息系统使命分类33

D.3信息系统威胁分级33

D.4信息系统安全保障级(ISAL)矩阵34

D.5信息系统安全保障级(ISAL)分级要求34

参考文献36

图1评估上下文5

图2信息系统安全概念和关系8

图3信息系统安全保障模型8

图4信息系统安全保障生命周期的安全保障要素9

图5信息系统安全保障评估概念和关系10

图6信息系统安全保障评估说明11

图7信息系统安全保障评估整体和应用12

图8ISPP和ISST的生成过程13

图9安全保障控制要求的组织和结构15

图10安全保障要求的应用16

图11评估结果18

图A.1信息系统保护轮廓内容21

图B.1信息系统安全目标内容25

图C.1信息系统安全保障评估的信息系统描述规范30

图C.2信息系统技术参考模型32

图D.1信息系统安全管理能力成熟度级要求示例图35

图D.2某信息系统安全工程能力成熟度级要求示例图35

表1信息系统安全保障评估框架使用指南6

n

GB/T20274.—2006

表D.1信息系统使命分类示例33

表D.2信息系统威胁分类示例33

表D.3信息系统安全保障级矩阵示例34

表D.4信息系统安全保障级要求示例34

ni

GB/T20274.—2006

-1.Z-—1—

刖弓

GB/T20274《信息安全技术信息系统安全保障评估框架》分为四个部分：

——第1部分:简介和一般模型

——第2部分:技术保障

——第3部分:管理保障

——第4部分:工程保障

本部分的附录A和附录B为规范性附录，附录C和附录D为资料性附录。

本部分由全国信息安全标准化技术委员会提出并归口°

本部分起草单位：中国信息安全产品测评认证中心。

本标准主要起草人:吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、班晓芳、李静、

王庆、邹琪、钱伟明、江典盛、陆丽、姚轶崭、孙成昊、门雪松、杜宇鸽、杨再山。

GB/T20274.—2006

引言

0.1信息系统安全保障的含义

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应

的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性

和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。信息系统安全保障涵盖

以下几个方面：

a）信息系统安全保障应贯穿信息系统的整个生命周期，包括规划组织、开发采购、实施交付、运行

维护和废弃5个阶段，以获得信息系统安全保障能力的持续性。

b）信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全

面保障信息系统安全。在安全技术上，不仅要考虑具体的产品和技术，更要考虑信息系统的安

全技术体系架构；在安全管理上，不仅要考虑基本安全管理实践，更要结合组织的特点建立相

应的安全保障管理体系，形成长效和持续改进的安全管理机制；在安全工程上，不仅要考虑信

息系统建设的最终结果，更要结合系统工程的方法，注重工程过程各个阶段的规范化实施；在

人员安全上，要考虑与信息系统相关的所有人员包括规划者、设计者、管理者、运营维护者、评

估者、使用者等的安全意识以及安全专业技能和能力等。

c）信息系统安全保障是基于过程的保障。通过风险识别、风险分析、风险评估、风险控制等风险

管理活动，降低信息系统的风险，从而实现信息系统安全保障。

d）信息系统安全保障的目的不仅是保护信息和资产的安全，更重要是通过保障信息系统安全保

障信息系统所支持的业务的安全，从而达到实现组织机构使命的目的。

e）信息系统安全保障是主观和客观的结合。通过在技术、管理、工程和人员方面客观地评估安全

保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。

因此，它是一种通过客观证据向信息系统所有者提供主观信心的活动，是主观和客观综合评估

的结果。

f）保障信息系统安全不仅是系统所有者自身的职责，而且需要社会各方参与，包括电信、电力、国

家信息安全基础设施等提供的支撑，保障信息系统安全不仅要满足系统所有者自身的安全需

求，而且要满足国家相关法律、政策的要求，包括为其他机构或个人提供保密、公共安全和国家

安全等社会职责。

0.2信息系统安全保障评估框架的编制目的和意义

本标准不仅可以作为信息系统安全保障评估的基础标准，也可以为从事信息系统安全保障工作的

所有相关方（包括设计开发者、工程实施者、评估者、认证认可者等）提供一种标准化、规范化的通用描述

语言、结构和方法。本标准是GB/T18336-2001在信息系统领域的扩展和补充，它是以

GB/T18336-2001为基础，吸收其科学方法和结构，将GB/T18336—2001从产品和产品系统扩展到

信息技术系统，并进一步同其他国内外信息系统安全领域的标准和规范进行结合、扩展和补充，以形成

描述和评估信息系统安全保障内容和能力的通用框架。在本标准中，信息系统作为评估对象，不仅涉及

具体产品和产品系统，而且还包含信息系统运行环境的管理、工程等，是用于采集、处理、存储、传输、分

发和部署信息的整个基础设施、组织结构、人员等的总和。

本标准属于信息系统安全保障的基础性和框架性标准，定义了信息系统安全保障的主要的通用要

VI

GB/T20274.—2006

求，制定此标准的意义在于：

a）为信息系统安全的设计、实施、建设、测评、审核提供规范的、通用的描述语言。

b）有利于信息系统所有者编制其信息系统的安全保障要求。

c）有利于信息系统安全集成商和安全服务提供商提供更为科学规范化的设计和服务，促进信息

安全市场的发展。

d）有利于有关行政管理部门、执法机构、测评认证机构对信息系统进行安全检查、检测、审计、评

估和认证。

GB/T20274.—2006

信息安全技术

信息系统安全保障评估框架

第1部分：简介和一般模型

1范围

GB/T20274描述了信息系统安全保障的模型，建立了信息系统安全保障的框架，从信息系统安全

技术、管理和工程三方面制定了信息系统的通用安全保障要求。

CB/T20274的本部分给出了信息系统安全保障的基本概念和模型，并建立了信息系统安全保障

框架。

本部分适用于从事信息系统安全保障工作的所有相关方，包括设计开发者、工程实施者、评估者、认

证认可者等。

本部分不适用于以下方面：

a）人员技能和能力的评估,但对人员安全的要求在管理保障中体现；

b）系统评估方法学；

C）密码算法固有质量的评价。

2规范性引用文件

下列文件中的条款通过GB/T20274的本部分的引用而成为本部分的条款。凡是注日期的引用文

件,其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成

协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本

部分。

GB/T9387.2—1995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构

（idtISO7498-2：1989）

GB/T18336—2001信息技术安全技术信息技术安全性评估准则（idtISO./IEC15408：1999）

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本部分。

3.1.1

访问控制accesscontrol

防止对资源的未授权使用，包括防止以未授权方式使用某一资源。

[GB/T9837.2—1995,3.3.1]

3.1.2

可追究性accountability

这样一种性质，它确保一个实体的作用可以被独一无二地跟踪到该实体。

[GB/T9837.2—1995,3.3.3]

3.1.3

资产asset

信息系统安全策略中所保护的信息或资源。

1

GB/T20274.1—2006

[GB/T18336.1—2001,3.3.1]

3.1.4

攻击attack

在信息系统中一种绕过安全控制的行为。攻击成功与否取决于信息系统的脆弱性以及现有对策的

有效性。

3.1.5

审计audit

为了测试出系统的控制是否足够，为了保证与已建立的策略和操作堆积相符合，为了发现安全中的

漏洞，以及为了建议在控制、策略和堆积中作任何指定的改变，而对系统记录与活动进行的独立观察和

考核。

[GB/T9837.2—1995,3.3.5]

3.1.6

鉴另IJauthentication

验证实体所声称的身份。

3.1.7

授权authorization

授予权限，包括允许基于访问权的访问。

[GB/T9837.2—1995,3.3.10]

3.1.8

授权用户authorizeduser

依据安全策略可以执行某项操作的用户。

[GB/T18336.1—2001,3.3.7]

3.1.9

可用性availability

根据授权实体的请求可被访问与使用。

[GB/T9387.2—1995,3.3.11]

3.1.10

计算环境computingenvironment

整个信息系统、网络或组件运行的环境，包括物理环境、管理规则、人员工作程序以及与其他系统的

通信和网络连接。

3.1.11

保密性confidentiality

这一性质使信息不泄露给非授权的个人、实体或进程，不为其所用。

[GB/T9837.2—1995,3.3.16]

3.1.12

酉己置管理configurationmanagement

在整个系统生命周期中通过控制硬件、软件、固件、文档、测试、测试设备和测试文档的变化来管理

安全功能和保证措施。

3.1.13

信息系统安全保障informationsystemssecurityassurance；ISSA

在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从

技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全

风险到可接受的程度，从而保障系统实现组织机构的使命。

2

GB/T20274.—2006

3.1.14

信息系统informationsystems；IS

用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。

3.1.15

信息系统安全informationsystemssecnrity；INFOSEC

通过使用合理的安全控制措施保护在存储、处理或传输等过程中的信息不被未授权用户访问，并保

证授权用户能够正常使用系统。

3.1.16

信息技术系统informationtechnologysystems；ITSystems

用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件

的任何组合，在信息系统中执行组织机构信息功能。

3.1.17

完整性integrity

这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。

:GB/T9837.2—1995,3.3.31]

3.1.18

抗抵赖性non-repudiation

证明一个行动或事件已经发生的能力，以便以后不能抵赖此事件或行动。

3.1.19

风险risk

威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。

3.1.20

风险分析riskanalysis

估算风险大小的系统化的过程。

3.1.2

风险管理riskmanagement

以可接收的成本，标识、控制、减少或最小化那些可能影响信息系统的安全风险的过程。

3.1.22

安全security

一种基于建立和保持保护措施的状态，以确保处于一种不被敌对行为或影响所侵犯的状态。

3.1.23

安全体系结构securityarchitecture

安全组件或部件之间如何构成一个相互协作的系统规则或方式。

3.1.24

安全域securitydomain

遵守相同的安全策略的用户和系统的集合。

3.1.25

安全策略securitypolicy

组织机构为保障其运转而规定的若干安全规则、过程、规范和指南。

:GB/T18336.1—2001,3.3.29]

注：安全策略使用GB/T18336.1-2001,3.3.29中组织安全策略的定义。

3

GB/T20274.1—2006

3.1.26

信息系统安全保障级informationsystemsassurancelevel；ISAL

通过综合技术、管理和工程等安全机制所推荐的对抗各种安全威胁的保护组织机构信息和信息资

产来保障组织机构使命的强度和保障度级别。

3.1.27

威胁threat

能够通过未授权访问、毁坏、揭露、数据修改和/或拒绝服务对系统造成潜在危害的任何环境或

事件。

3.1.28

脆弱性vulnerability

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中的，可能被攻击者利用来获得

未授权的信息或破坏关键处理的弱点。

3.2缩略语

下列缩略语适用于本标准。

CC：通用准则(CommonCriteria)

EAL：评估保证级别(EvaluationAssuranceLevel)

IS：信息系统(InformationSystems)

ISAL信息系统安全保障级(InformationSystemsAssuranceLevel)

TCML：安全技术能力成熟度级(SecurityTechniqueCapabilityMaturityLevel)

MCML：安全管理能力成熟度级(SecurityManagementCapabilityMaturityLevel)

ECML：安全工程能力成熟度级(SecurityEngineeringCapabilityMaturityLevel)

ISPP：信息系统保护轮廓(InformationSystemsProtectionProfile)

ISST:信息系统安全目标(InformationSystemsSecurityTarget)

IT:信息技术(InformationTechnology)

STR：安全技术要求(SecurityTechniqueRequirements)

SMR：安全管理要求(SecurityManagementRequirements)

SER：安全工程要求(SecurityEngineeringRequirements)

SRL：系统健壮性级别(SystemRobustnessLevel)

TOE：评估对象(TargetofEvaluation)

4概述

本章介绍信息系统安全保障评估框架的主要概念，确定目标读者、评估环境和文档结构。

4.1引言

信息安全的目标是为了保证信息的保密性、完整性和可用性。信息系统安全保障是在信息系统的

整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和

人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程

度，从而保障系统实现组织机构的使命。

4.2信息系统安全保障评估框架的目标读者

4.2.1概述

本标准的读者主要有三类，包括：信息系统的所有者或用户、信息系统的开发者和信息系统的评估

者。本标准从内容和结构上支持所有三个方面的需求，他们是本标准的主要使用者。正如下文所述，他

们都能从本标准中受益。

4

GB/T20274.1—2006

4.2.2用户

用户可以参考本标准中给出的通用描述语言、方法和结构，从信息系统安全保障的技术、管理和工

程领域来表达其信息系统安全保障要求，即信息系统安全保护轮廓（ISPP）。

用户可以使用本标准同信息系统的设计开发等相关人员进行更加有效的沟通和相互理解。

用户可根据信息系统安全保障的评估，了解其信息系统安全保障的现状，获得其信息系统安全保障

的信心。同时，用户还可以根据评估结果，进一步完善和持续改进其信息系统的安全保障能力，以跟上

外部和内在环境不断变化产生的安全保障要求。

4.2.3开发者

开发者使用本标准能帮助客户更好的描述其信息系统安全需求，编制符合其运行环境要求的信息

系统安全目标（ISST）和具体的信息系统安全保障方案和措施。

使用本标准还可以评估某个特定系统的信息系统安全目标（ISST）和特定的安全保护轮廓的符合

性。通常，用户的需求由一个或多个信息系统保护轮廓（ISPP）提供。

开发者可以使用本标准来编制相应的安全保障证据的内容和表现形式，支持评估方的评估要求。

4.2.4评估者

评估者可使用本标准来定义信息系统安全评估的内容。评估的内容包括安全技术、安全管理和安

全工程等要求。

本标准并没有规定如何进行评估，具体的评估过程由信息系统安全保障评估方法、系统安全导出性

测评指南、安全评估指南、操作手册等文档来描述。

4.2.5其他读者

除上述人员之外，本标准还可以供以下人员参考使用：

a）系统管理员和系统安全管理员：负责维护系统达到组织机构的信息系统安全保障策略和要求；

b）内部和外部的审核员：负责评定信息系统安全保障是否恰当；

c）安全规划和设计者：负责设计信息系统安全技术、工程和管理保障等规范；

d）认可者:负责批准一个信息系统在特定环境中的使用；

e）评估发起者：负责申请和支持一个信息系统安全评估活动；

D评估机构：负责管理和监督评估者实施信息系统安全保障评估。

4.3评估上下文

为了使不同的评估机构和评估者得出的评估结果在技术上具有可比性，信息系统安全保障的评估

应在国家权威的测评体系内执行，通过该体系所建立的严格、规范、科学的评估标准、评估质量的监督，

以及评估机构和评估者遵循相关的国家法律和政策，确保了评估结果的权威性和客观性。

图1描述了形成评估上下文的主要部分。

图1评估上下文

5

GB/T20274.—2006

在评估上下文中，信息系统安全保障通用评估方法学（SCEM）有助于保证评估结果的可重复性和

客观性，但仅靠SCEM本身是不充分的。本标准的许多条款需要专业判断和一定的背景知识，而这些

是很难达到一致的。为了增强评估结果的一致性，评估机构须在权威的测评体系内，不同评估机构须遵

循相同的评估机构认可准则，同时评估机构之间要增加评估基准的对比测试。此外，评估的结果即测评

报告可以进入认可或审批过程，并生成最终的评定证书或正式批准文件。这些证书或文件通常是公

开的。

对于测评体系、评估方法学和评估过程的监督和管理是认证监督管理机构的责任，不属于本标准的

范围；对评估结果的认可或审批是信息系统所有者或其主管机构的责任，也不属于本标准的范围。

4.4信息系统安全保障评估框架的文档结构

本标准由以下相互关联的4个部分组成：

a）第1部分：简介和一般模型。该部分定义了信息系统安全保障评估框架的一般概念和原理，并

在信息安全的基础上提出了信息系统安全保障的模型。它也详细解释了信息系统安全保障模

型的概念和关系以及信息系统安全保障评估的整体框架和应用。在该部分的附录中，给出了

信息系统保护轮廓（ISPP）和信息系统安全目标（ISST）的描述规范；

b）第2部分:技术保障。该部分描述了信息系统安全保障框架中的技术保障方面的内容，定义了

一系列信息系统安全技术保障组件，定义了反映信息系统安全技术保障能力的成熟度模型和

级别；

c）第3部分:管理保障。该部分描述了信息系统安全保障框架中的管理保障方面的内容，定义了

一系列信息系统安全管理保障组件，定义了反映信息系统安全管理保障能力的成熟度模型和

级别；

d）第4部分:工程保障。该部分描述了信息系统安全保障框架中的工程保障方面的内容，定义了

一系列信息系统安全工程保障组件，定义了反映信息系统安全工程保障能力的成熟度模型和

级别。

表1列出了主要的三方面读者及其可能感兴趣的信息系统安全保障评估框架内容：

表1信息系统安全保障评估框架使用指南

内容用户开发者评估者

理解和建立信息系统安全保障

理解和建立信息系统安全保障理解和建立信息系统安全保障

的整体概念和背景知识，帮助建

的整体概念和背景知识，根据信的整体概念和背景知识，评估信

第1部分立信息系统安全保障工作的整

息系统保护轮廓（ISPP）编制信息系统保护轮廓（ISPP）和信息

体规划和开发信息系统保护轮

息系统安全目标（ISST）。系统安全目标（ISST）。

廓（ISPP）。

作为建立信息系统安全技术保

障体系的指导利参考。用户可作为系统评估、保护轮廓评估利

以选择合适的信息系统安全技用于理解信息系统安全技术控安全目标评估的依据之，信息

第2部分术架构能力级，制定相应的安全制措施并作为生成技术方案的系统安全技术控制措施是信息

技术控制措施以形成信息系统参考。系统保护轮廓利信息系统安全

安全技术体系和信息系统保护目标的组成部分。

轮廓。

6

GB/T20274.—2006

表（续）

内容用户开发者评估者

作为建立信息系统安全管理保

作为系统评估、保护轮廓评估利

障体系的指导利参考。用户可

用于理解信息系统安全管理控安全目标评估的依据之，信息

以选择合适的信息系统安全管

第3部分制措施并作为生成管理策略与系统安全管理控制措施是信息

理能力级，制定相应的安全管理

制度的参考。系统保护轮廓利信息系统安全

控制措施以形成信息系统安全

目标的组成部分。

管理体系和信息系统保护轮廓。

作为建立信息系统安全工程保

作为系统评估、保护轮廓评估利

障体系的指导利参考。用户可

用于理解信息系统安全工程控安全目标评估的依据之，信息

以选择合适的信息系统安全工

第4部分制措施和生成安全工程规范的系统安全工程控制措施是信息

程能力级，制定相应的安全工程

参考。系统保护轮廓利信息系统安全

控制措施以形成信息系统安全

目标的组成部分。

工程体系和信息系统保护轮廓。

5一般模型

5.1概述

本章提出了信息系统安全保障评估框架的一般概念,其中也包括使用这些概念的上下文，以及使用

这些概念的方法。本标准的其他部分在这些概念的基础上进一步展开，并使用了本章描述的方法。

本部分使用一系列安全保障概念和术语讨论信息系统安全保障。对这些概念和术语的理解是有效

运用本标准的前提条件。这些概念和术语是相当通用的，不限于在本标准的应用，可以在其他标准中

使用。

5.2安全保障上下文

5.2.1安全保障概念

随着组织机构的使命越来越依赖于信息系统，信息系统也越来越成为组织机构生存和发展的关键

因素。信息系统的安全风险也成为组织风险的一部分。为了保障组织机构完成其使命，必须针对信息

系统面临的各种各样的风险，制定相应的策略来抵抗这些风险。图2说明了信息系统安全保障中的这

些高层概念的关系。

信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、机构人员和组

件的总和。每个信息系统总是运行于特定的现实环境中，它从属某个组织机构，受来自组织内部与外部

环境的约束，因此，信息系统的安全保障除了要在充分分析信息系统本身的技术、业务、管理等特性基础

上提出相应的要求外，还要考虑这些约束条件产生的要求。

信息系统安全风险是具体的风险，各个风险是针对某一特定对象的风险。产生风险的因素主要有

信息系统自身存在的脆弱性和来自系统外部的威胁。信息系统运行环境存在着怀有特定威胁动机的威

胁源，它会使用各种攻击方法，利用信息系统运行环境中的各种脆弱性，对信息系统造成相应的风险，由

此才产生信息安全事件和问题。

信息系统安全保障工作就是针对信息系统在运行环境中所面临的各种风险，制定信息安全保障策

略体系，在它的指导下，设计并实现信息安全保障架构或模型，采取技术、管理等安全保障措施，将风险

减少至预定可接受的程度，从而保障其使命要求。策略体系是组织机构在对风险、资产和使命综合理解

的基础上所作出的指导文件。策略体系的制定，反映了组织机构对信息系统安全保障及其目标的理解，

它的制定和贯彻执行对组织机构信息系统安全保障起着纲领性的指导作用。

7

GB/T20274.1—2006

图2信息系统安全概念和关系

5.2.2信息系统安全保障模型

5.2.2.1信息系统安全保障模型

在5.2.1的内容中，给出了信息系统安全保障涉及的高层概念关系。这个高层概念是本标准的基

础，本标准在此基础上提出了信息系统安全保障模型。

信息系统安全保障模型的主要内容是：以风险和策略为基础和出发点（即从信息系统所面临的风险

和信息系统所处的环境出发），制定组织机构信息系统安全保障策略体系，通过在信息系统生命周期中

在技术、管理、工程和人员等方面实施保障措施，确保信息的保密性、完整性和可用性特征，从而实现和

贯彻组织机构策略并将风险降低到可接受的程度，达到保护组织机构信息和信息系统资产，从而保障组

织机构实现其使命的最终目的。

图3描述了信息系统安全保障模型。

图3信息系统安全保障模型

整个信息系统安全保障模型包含保障要素、生命周期和安全特征三方面。

本模型主要特点为：

a）以安全概念和关系为基础，将风险和策略作为信息系统安全保障的基础和核心；

b）强调信息系统安全保障持续发展的动态安全模型，即强调信息系统安全保障应贯穿于整个信

息系统生命周期的全过程中；

c）强调信息系统安全保障的概念，信息系统的安全保障是通过综合技术、管理、工程和人员的安

全保障要求来实施和实现信息系统的安全保障目标，通过对信息系统的技术、管理、工程和人

员要求的评估，提供了对信息系统安全保障的信心；

d）通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要

素，从而使信息系统安全保障实现信息安全的安全特征：信息的保密性、完整性和可用性特征，

8

GB/T20274.—2006

从而达到保障组织机构执行其使命的根本目的。

本标准更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。信息

系统生命周期有各种各样的模型，在本标准中的信息系统生命周期模型是基于这些模型的一个简单、抽

象的概念性说明模型，它的主要用途在于对信息系统生命周期模型进行示例说明。在进行信息系统安

全保障具体操作吋，可根据实际环境和要求，在信息系统生命周期内进行改动和细化。在这里，强调信

息系统生命周期的意义是强调信息系统安全保障并不是仅在某个时间点下的安全，而是在信息系统的

整个生命周期中通过对技术、管理、工程和人员这些方面建立信息系统安全保障,来保证信息系统整个

生命周期的、动态持续的、长效的安全。

5.2.2.2在信息系统生命周期中的安全保障

在信息系统安全保障模型中，信息系统的生命周期层面和保障要素层面不是相互孤立的，而是相互

关联、密不可分的。图4示例化地描述了它们之间的关系。

rt——受JLR用十系址]

FL也忍》_实0丈村》运行梯「浚片

牛金削朗

，「乩肝謂、丁卩孔人口仅耳熨斎：

图4信息系统安全保障生命周期的安全保障要素

在信息系统生命周期模型中，将信息系统的整个生命周期抽象成规划组织、开发采购、实施交付、运

行维护和废弃五个阶段以及在运行维护阶段的变更产生的反馈，形成信息系统生命周期完整的闭环结

构。在信息系统的生命周期中的任何时间点上，都需要综合信息系统安全保障的技术、管理、工程和人

员保障要素对信息系统进行安全保障。

a）规划组织阶段：由于组织机构的使命要求和业务要求产生了信息系统安全保障建设和使用的

需求。在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中，从信息系统

建设的开始就应该综合考虑系统的安全保障要求，使信息系统的建设和信息系统安全保障的

建设同步规划、同步实施。

b）开发采购阶段：此阶段是规划组织阶段的细化、深入和具体体现，在此阶段中，进行系统需求

分析、考虑系统运行的需求、进行系统体系的设计以及相关的预算申请和项目准备等管理活

动。在此阶段，应克服传统的基于具体技术或产品的片面性，要基于系统需求和风险、策略将

信息系统安全保障作为一个整体进行系统体系的设计和建设，以建立信息系统安全保障整体

规划和全局视野。组织机构可根据具体要求，对系统整体的技术、管理安全保障规划或设计进

行评估，以保证对信息系统的整体规划满足组织机构的建设要求和相关国家、行业和组织机构

的其他要求。

C）实施交付阶段：在此阶段，组织机构可通过对承建方进行安全服务资格要求和信息安全专业人

员资格要求以确保施工组织的服务能力；组织机构还可通过信息系统安全保障的工程保障对

实施施工过程进行监理和评估，最终确保所交付系统的安全性。

d）运行维护阶段：信息系统进入运行维护阶段后，对信息系统的管理、运行维护和使用人员的能

力等方面进行综合保障，是信息系统得以安全正常运行的根本保证。

e）变更和反馈：信息系统投入运行后并不是一成不变的，它随着业务和需求的变更、外界环境的

变更产生新的要求或增强原有的要求，重新进入信息系统的规划阶段。

D废弃阶段：当信息系统的保障不能满足现有要求吋，信息系统进入废弃阶段。

这样，通过在信息系统生命周期的所有阶段融入信息系统安全保障概念，确保了信息系统的持续动

态安全保障。

9

GB/T20274.—2006

5.3信息系统安全保障评估

5.3.概述

信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活

动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息

系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观

信心。信息系统安全保障评估的评估对象是信息系统，信息系统是用于采集、处理、存储、传输、分发和

部署信息的整个基础设施、组织结构、人员等的总和，因此信息系统不仅包含了仅讨论技术的信息技术

系统，还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续

的过程，涉及信息系统整个生命周期，因此信息系统安全保障的评估也应该提供一种动态持续的信心。

5.3.2信息系统安全保障评估概念和关系

评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立

其主观的信心。图5描述了信息系统安全保障评估的概念和关系。

仃234班

TWffK

人14砂

MraiE*

•松安金