1、 ICS 35.040 L 80 道昌中华人民共和国国家标准GB/T 31495.1-2015 信息安全技术信息安全保障指标体系及评价方法53:部分:概念和模型In!rmation scnTity tecbnology一Indicatvr systzm 01 info:rmation securlty assurance and evaluatio!l l_Qetlt1)1:一Part 1 : Concepts and model 2015-05嗣15发布2016-01-01实施._也防伪句,_.,f235这一句苟亵.二町全在手1f-可叫句中华人民共和国国家质量监督检验检疫总局也士中国国家标准
2、化管理委员会。叩 , . GB/T 31495.1-2015 目次前言. . . . . . . . . . . . . . . . . . . . . . . .皿引言. . . . . . . . . . . . . N 1 范围2 规范性引用文件. . 3 术语和定义4 信息安全保障模型5 信息安全保障评价模型.2 参考文献. . . . . . 4 I GB/T 31495.1-2015 前-E . GB/T 31495(信息安全技术信息安全保障指标体系及评价方法分为如下3部分z第1部分z概念和模型z第2部分z指标体系;第3部分z实施指南。本部分为GB/T31495的第1部分。本部分按
3、照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能捞及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位z国家信息中心、国家新闰出版广电总局监管中心、中国信息安全测评中心、中国电信集团、中国移动通信集团、大连理工大学、国家能源局信息中心、江苏省信息中心、中国民航大学、中国电力科学研究院。本部分主要起草人z何德全、吕欣、王宪磊、王长胜、郭艳卿、杨月圆、李守鹏、吕汉阳、杜巍、肖英、张荣楠、罗程、吴志军、杨一曼、谢东晖、程露、胡红升、孙小红、徐浩、周智、陈敏时、雷绪、樊晖、高昆仑、李鹏、李慧。- 皿G
4、B/T 31495.1-2015 51 GB/T 31495依据国家对信息安全保障工作的相关要求,提出了信息安全保障评价的极念和模型、指标体系及实施指南。31495由3部分组成。第1部分描述了本标准各部分通用的基础性概念,给出了信息安全保障及信息安全保障评价的概念和模型,给出了指标的测量模型s第2部分在第1部分的模型指导下给出了信息安全保障指标体系和指标测量过程z第3部分给出了信息安全保障评价工作实施所应遵照的要求、流程和方法。31495主要用于z为政府管理部门的信息安全态势判断和宏观决策提供支持z为基础信息网络和重要信息系统的管理部门及运营单位的信息安全管理工作提供支持。1V 1 范围信息安
5、全技术信息安全保障指标体系及评价方法第1部分:概念和模型G/T 31495.1-2015 GB/T 31495的本部分界定了信息安全保障评价的基本概念,确立了信息安全保障评价的一般p 模型。a , 本部分适用于信息安全保障评价工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069一2010信息安全技术术语3 术语和定义3.1 3.2 3.3 3.4 3.5 GB/T 25069-2010中界定的以及下列术语和定义适用于本文件。信息安全保障inform
6、ation security assurance 对信息和信息系统的安全属性及功能、效率进行保障的一系列适当行为或过程。信息安全保障评价evaluation of information security assurance 收集信息安全保障证据,并在得信息安全保障值的过程和途径。信息安全保障措施mea阳回forinformation能四rity幽uranee为达到信息安全目的所采用的保障手段的集合,信息安全保障能力capability of information security assurance 被保障实体安全防御、响应和恢复等特性的体现。信息安全保障效果eff,饵tsof infor
7、mation security描surance被保障实体的信息安全保障目标和属性的实现程度。4 信息安全保障模型信息安全保障模型是采用过程方法建立的。图1说明了信息安全保障是根据利益相关方的保障需求建立保障措施,形成保障能力,以实现保障效果的过程。根据利益相关方对保障效果的反馈,可以动态调整保障措施,以更好地满足保障需求。GB/T 31495.1-2015 注z组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理,可称之为过程方法。参见GB/T 22080一2008(信息技术安全技术信息安全管理体系要求L; 、; 、利益相关方| 保障需求| 利益相关方飞 / - 、; - -一一国1
8、信息安全保障模型信息安全保障包含三个环节z建立保障措施。保障措施是基于利益相关方的保障需求设计的一系列保障手段,是实现信息安全保障需求的途径。一一形成保障能力。保障能力是tk捷措施作用于保障对象艺高中所形成的能力,是从防御过程的视角对保障措施运行有效性.二现。一一实现保障效果。保障效果是保障能力对利益相关方保障需求的满足程度,是从保障对象安全目标实现程度的视角对保障拮l运行有效性的体现。利益相关方是指与保障对象的信二J全相关的主管部门、运营护词和用户等。5 信息安全保障评价模型信息安全保障评价是为了验证信息安全保障过程的有效性而开展的一系列评价活动,信息安全保障评价的过程是基于评价目标(即评价
9、的信息需求)设计指标体系,从每项指标中提取该指标的评价对象及其属性,通过一定的测量模型和方法得出单项指标值,再进行综合研判,获得评价结果,用于支持评价目标的实现。图2给出了信息安全保障评价模型。评价目标验证保障过程的有效性(保障措施、保障能力、保障效果)测量模型dg3GF吐量三仨三测量楠值什主?判1- _ =-=-=一- -一-一一一一一一一_.J圈2信息安全保障评价模型为进一步描述对指标进行测量的过程,图3给出了信息安全保障的测量模型。信息安全保障的测2 GB/T 31495.1-2015 量模型描述了如何将评价对象的相关属性进行量化并通过一系列测量过程得出测量结果的过程。黯供一提一出果得结
10、唰附判定准则I I 测量值基本测度 l一一一一一一一一一一一一一. 图3指标的测量模型图3所示,属性是评价对象的可定量或定性识别的特征。基本测度是指对测量对象的属性进行基本测量得到的测度(一般为统计所得的原始数据或资料。测量函数是对基本测度进行组合以生成导出测度的计算。导出测度由两个或两个以上基本测度组合运算得出。分析模型是对导出测度进行计算得出测量值的函数。测量值经过判定准则得到指标值。且,3 GB/T 31495.1-2015 参考文献lJ GB/T 17532-2005术语工作计算机应用词汇2J GB/T 19001-2008 质量管理体系z要求(lSO9001 :2008) 3J GB
11、/T 20917-2007软件工程软件测量过程4J GB/T 20984-2007信息安全技术信息安全风险评估规范5J GB/Z 20986-2007信息安全技术信息安全事件分类分级指南6J GB/T 20988-2007信息安全技术信息系统灾难恢复规范7J GB/T 22080-2008信息技术安全技术信息安全管理体系要求OSO/IEC27001: 2005) 8J GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求9J GB/T 29830.1-2013信息技术安全技术信息安全保障框架第1部分E综述和框架口OJGA/T 713一2007信息安全技术信息系统安全管理测评
12、口1JISO/IEC 15408 - 1: 2009 Information technology-Security techniques-Evaluation criteria for IT security - Part 1: Introduction and general model 12J ISO/IEC 27004: 2009 Informaition technology-security techniques-Information security management-Measuremant 13J NIST Special Publication 800-37 : Gui
13、de for Applying the Risk Management 14J 公通宇2007J43号信息安全等级保护管理办法口5JFederal Information Security Management Act(联邦信息安全管理法案)16J National Security Agency.National Information Systems Security Glossary.STISSI 4009 F ort Meade , MD. Sept. 2000. 17J 钱学森.创建系统学(新世纪版).上海z上海交通大学出版社,2007.18J 赵战生,杜虹,吕述望.信息安全保密教程
14、.合肥z中国科学技术大学出版社,2006.19J 沈昌祥.信息安全工程导论.北京=电子工业出版社,2003.20J 吴世忠,陈晓桦,李鹤田,李斌,等.信息安全测评认证一理论与实际.合肥z中国科学技术大学出版社,2006.4 21J 冯登国,蔡吉人.网络安全与密码学.贵州z贵州科学技术出版社,2004.22J 宁家骏.信息内容安全.贵州z贵州科技出版社,2004. -. . EON-气的立的H阁。.、唱也华人民共和国家标准信息安全技术信息安全保障指标体系及评价方法第1部分z概念和模型GB/T 31495.1-2015 国中司* 中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)、网址总编室:(010)68533533发行中心:(010)51780238读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 印张0.75字数12千字2015年5月第一次印刷开本880X 1230 1/16 2015年5月第一版16.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107定价* 书号:155066. 1-51121 打印H期:2015年6月2RF002
