中华人民共和国国家标准
GB/T 20274.4-2008
Information security technology-Evaluation framework for information systems security assurance-Part 4:Engineering assurance
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
目
1范围 前言2规范性引用文件3术语和定义4本部分的结构5信息系统安全工程保障框架5.1信息系统安全工程保障概述 5.2信息系统安全工程保障控制5.3信息系统安全工程能力成熟度级别6信息安全工程保障控制类结构6.1概述6.3安全工程保障控制子类结构 6.2安全工程保障控制类结构6.4安全工程保障控制组件结构7PRM安全工程保障控制类:风险过程7.1风险过程安全工程保障控制类介绍 7.2 系统定义(PRM_SDF)7.3 评估威胁(PRM_ATT)7.4 评估脆弱性(PRM_AVL). 107.5 评估影响(PRM_AIM)... 128PEN安全工程保障控制类:工程过程 7.6评估安全风险(PRM_ASR) 15 178.1 工程过程安全工程保障控制类介绍 178.2 确定安全要求(PEN_ISR) 188.3 高层安全设计(PEN_HSD) 218.4 8.5 详细安全设计(PEN_DSD) 安全工程实施(PEN_SEE) 238.6 提供安全输人(PEN_PSI)8.7 监视安全态势(PEN_MSP).8.8 管理安全控制(PEN_MSC)8.9协调安全(PEN_COS) 9PAS安全工程保障控制类:保障过程 35 999.1保障过程安全工程保障控制类介绍9.2验证和确认安全(PAS_VVS)9.3建立保证证据(PAS_EAE) 10安全工程保障控制类能力级10.1述 41 4110.2安全工程能力级别说明 41
图1安全工程过程生命周期图2安全工程保障控制类结构图3安全工程保障控制子类结构图4 安全工程保障控制组件结构图5 图6 风险过程说明 系统定义(PRM_SDF)安全工程保障控制子类分解图7 评估威胁(PRM_ATT)安全工程保障控制子类分解图8评估脆弱性(PRM_AVL)安全工程保障控制子类分解 10图9 评估影响(PRM_AIM)安全工程保障控制子类分解图10 图11 评估安全风险(PRM_ASR)安全工程保障控制子类分解 工程过程安全工程保障控制类介绍图12确定安全要求(PEN_ISR)安全工程保障控制子类分解 .. 18图13高层安全设计(PEN_HSD)安全工程保障控制子类分解 21图14详细安全设计(PEN_DSD)安全工程保障控制子类分解 图15 安全工程实施(PEN_SEE)安全工程保障控制子类分解 .24图16提供安全输人(PEN_PSI)安全工程保障控制子类分解 26图17监视安全态势(PEN_MSP)安全工程保障控制子类分解 29图 18 管理安全控制(PEN_MSC)安全工程保障控制子类分解 32图 19 图20保障过程安全工程保障控制类说明 协调安全(PEN_COS)安全工程保障控制子类分解 ..37图21验证和确认安全(PAS_VVS)安全工程保障控制子类分解图22建立保证证据(PAS_EAE)安全工程保障控制子类分解图23信息系统安全工程能力要求级别图
前言
GB/T20274《信息安全技术信息系统安全保障评估框架》分为以下四个部分:
一第1部分:简介和一般模型 一第2部分:技术保障第3部分:管理保障第4部分:工程保障
本部分是GB/T20274的第4部分.
本部分由全国信息安全标准化技术委员会提出并归口.
本部分起草单位:中国信息安全产品测评认证中心.
本部分主要起草人:吴世忠、王海生、陈晓桦、王贵、李守鹏、江常青、彭勇、张利、姚轶瑞、班晓芳、李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山.
