1、ICS 35.040 L 80 道昌和国国家标准11: _,、中华人民GB/T 31495.3-2015 信息安全技术信息安全保障指标体系泣评价方法第3:3分:实施指FEJ!.:.o:ri,tOTl security technobgy.一Imicator system of informati:m. security a.ssurance an evalliation mehorls一Part 3: Implementation guide 2015-05-15发布f阳岛右。唱448Z师在42中华人民共和国国家质量监督检验检夜总局中国国家标准化管理委员会2016-01-01实施发布中华人民共
2、和国国家标准信息安全技术信息安全保障指标体系及评价方法第3部分:实施指南GB/T 31495.3-2015 中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(10004日网址总编室:(010)68533533发行中心:(010)51780238读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 开本880X 1230 1/16 印张1.75字数45千字2015年5月第一版2015年5月第一次印刷* 书号:155066.1-51175定价27.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)
3、68510107GB/T 31495.3-2015 目次前言. . . . . . . . . . . . . . . . . . . . . . .皿WHIll-1112223444457788899MMMMMH臼HHM任. 任 任HHHH任HHHH任程务责程务责程务责程务责程务责流任.和流任.和流任.和流任与流任与险.作要档色作要档色作要档色作要色作要档色体风程工主文角工主文角工主文角工主档角工主文角主和过的的的的的的的的的的的的的的文的的的的的行题施动动动动动动动动动动动动动动动动动动动动件用执问实活活需活活活活活活活活活活活活活活活活活文作动到动备鲁告各制制制制集集集集析析析析制制制制
4、用义的活遇活.准准准准.编编编编.采采采采分分分分编编编编引定价价能价备价价伊价制案案案案集据据据据析据据据果制告告告告性和评评可评准评评评评编方方方方采数数数数分数数数结编报报报报围范语述价案据据】44习范规术概JJA评123AA方iJJA数ZJA数JJA报133A-F444455556666777788889EJ123456789 GB/T 31495.3-2015 附录A(规范性附录)信息安全保障评价工作要求. . 附录B(资料性附录数据采集方法. . . . . . . . . . . . . . . . . 18 附录C(资料性附录)指标权重分配方法附录D(资料性附录)指标合成方法参
5、考文献. . . . . . . . . . . . . . . . . . . . . . . 22 E GB/T 31495.3-2015 前GB/T 31495结论的分析依据单项指标的测量结果与指标权重进行计算,得出的指标体系的综合测量结果综合数据处理、计算、分析、结论的文档记录a) 对采集数据进行预处理,根据数据结果对被调研单位的信息安全保障情况进行分析Fb) 协调专家对采集数据中存在的问题进行研讨和解决pc) 根据数据分析结果撰写分析结论报告。8.4.2 专家组职责a) 对数据预处理、计算过程中存在的问题提出意见和解决方案;b) 对指标体系综合测量结果进行研判zc) 对分析结论报告进
6、行审核并提出意见。8.4.3 被调研单位职责a) 配合完成需要二次调研的数据采集工作zb) 对指标最终测量结果进行确认。14 GB/T 31495.3-2015 9 报告编制9.1 报告编制活动的工作流程报告编制活动主要是根据数据分析活动得出的评价结论报告以及评价过程中形成的过程资料,形成信息安全保障评价报告,并组织专家对报告进行评审和确认。报告编制活动的基本工作流程见图9。图9报告编制活动的基本流程9.2 报告编制活动的主要任务9.2.1 报告编制依据评价方案、单项指标测量结果、指标综合测量结果以及形成的评价结论,编制信息安全保障评价报告。报告应至少包括详细、明确的评价结果记录,结果分析,以
7、及对未满足要求的指标的整改建议等。9.2.2 报告评审评价报告编制完成后,专家组应根据评价授权书、被调研单位提交的相关文档、评价活动的原始记录和其他辅助信息,对评价报告进行评审。9.2.3 报告确认评审通过后,由项目负责人签字确认并提交给信息安全保障评价的利益相关方。9.3 报告编制活动的文档表11列出了报告编制活动所需的相关文挡。表11报告编制活动形成的文档及其内容主要任务文档记录文档主要内容项目概述、数据采集方法、计算方法、报告编制信息安全保障评价报告文本评价分析内容、信息安全保障情况结论、改进建议等报告评审信息安全保障评价报告文本专家评对于报告内容提出的修改意见和审意见建议报告确认报告确
8、认书双方就报告结论的有效性,可靠性,科学性的确认记录15 GB/T 31495.3-2015 9.4 报告编制活动的角色与责任9.4.1 评价项目组职责a) 根据分析结论报告编制被调研单位的信息安全保障情况报告zb) 协调专家对报告进行评审工作zc) 根据专家意见对报告进行修改zd) 对评价过程中获取的数据文件、协议文件、最终确认报告等书面材料进行存档保存。9.4.2 专家组职责对信息安全保障情况报告进行评审并给出修改意见。9.4.3 被调研单位职责a) 确认信息安全保障情况报告结论;b) 根据报告建议开展相应的信息安全保障建设工作。16 GB/T 31495.3-2015 附录A(规范性附录
9、)信息安全保障评价工作要求A.1 侬据标准,遵循原则信息安全保障评价工作的实施应依据信息安全相关的要求和标准进行,评价模型见GB/T31495.1 2015的第5章,评价指标见GB/T31495.2-2015的4.2,评价活动实施的主要流程见本部分。在信息安全保障评价工作中应保证测评工作公正、科学、合理和完善bA.2 科学选取,保证质量科学选取是指对指标数据来源的选取要适当,既要避免遗漏重要的采集对象,重视可能存在重大信息安全风险、信息安全网络重点环节,也要避免过多选择、重复选择,降低效率。科学选取还要求在选取数据时要科学性和可操作性并重,即要符合信息安全系统的科学规律和信息安全评价的内在要求
10、。保证质量是指要求信息安全评价必须按照标准要求,根据信息安全保障评价工作流程,切实落实,保证指标数据来源和评价过程的科学可靠,确保评价结果的质量。A.3 规范行为,规避风险信息安全保障评价过程应该依照工作流程规范进行,包括z制定内部保密制度F实施技术培训和保密教育F过程文档的存档F指定专人负责保管信息安全保障评价的归档文件等。评价人员的行为应规范,包括z签署相关保密协议F评价人员进入评价场合辄戴工作牌z使用评价专用的电脑和设备z严格按照评价实施手册规范评价过程;准确记录评价数据;不擅自评价评价结果F不将评价结果复制给非评价小组成员等。规避风险,是指要充分估计信息安全保障评价可能给系统与行业带来
11、的影响,确保向评价所需的数据资料的责任方告知风险,要求其做好相关预防措施。同时,评价机构也应该与相关单位签订评价协议、保密协议,及时与数据来源单位沟通,尽量避免给数据来源单位带来影响。A.4 注重总结,逐步改善信息安全保障评价具备一定的引导性。相关管理部门可根据评价结果和评价报告,总结信息安全保障工作中的成果和不足。信息安全保障评价还具有长期性、持续性,相关部门可通过多次评价,抓住长期性的薄弱环节集中攻坚、深化有效措施,提高信息安全保障水平。17 GB/T 31495.3-2015 B.1 资料审阅附录B(资料性附录数据来集方法文档审阅方法是指,通过审阅相关的文档记录,来获得被调研对象在某个指
12、标属性方面的实际情况。使用该方法时,要确保搜集的文档的全面和即时,这样才能对相应调研内容做出全面的、有效的评价。该方法的优点是对被调研对象影响小,被调研单位只需整理已有文档并交给评价组人员即可。缺点是可能无法保证文档的全面性和新鲜性,从而无法保障做出的评价是全面、有效的。B.2 人员访谈人员访谈方法是指,评价组人员通过与被调研单位的相关人员(包括各级领导和具体工作实施人员面对面交流,来获得被调研对象在某个指标属性方面的实际情况。使用该方法时,应当注意与被调研单位提前安排好访谈的时间、地点和相关人员,避免影响被调研单位的正常工作。此外在访谈之前要设计好所有提问,在访谈过程中做好详细记录,访谈结束
13、后对访谈记录再做彻底分析。该方法的优点是灵活多变、获取的信息有针对性。缺点是可能会占用被访研主空相关人员的正常工作时间。B.3 问卷调查问卷调查方法是指,评价组人员设计好统一的调查问卷,发放到各个被调研单位,由被调研单位在规定的时间内组织相关人员填写,填写完毕之后上交给评价组人员,通过调查问卷的结果来获得被调研对象在某个指标属性方面的实际情况。使用该方法时,应当注意调查问卷设计的合理性、全面性,对选择型调查项目,尽量给出全部可能情况的选项。该方法的优点是获取信息有针对性,同时尽可能地减少了对被调研单位相关人员正常工作的影响。缺点是调查问卷可能难以覆盖所需调研内容的所有情况。B.4 实地考察实地
14、考察方法是指,评价组人员亲自考察被调研单位的正常工作情况,直接获得被调研对象在某个指标属性方面的实际情况。使用该方法时,应当注意与被调研单位提前做好沟通,并在考察过程中做好各方面的记录。该方法的优点是获取的信息更真实可靠。缺点是评价组人员工作量比较大。18 C.1 综述附录C(资料性附录指标权重分配方法信息安全保障指标的权重可采用层次分析法(AHP)来进行分配。GB/T 31495.3-2015 层次分析法(AnalyticalHierarchy Process) ,简称AHP,是由美国运筹学家Saaty在20世纪70年代初提出的,是指把系统中复杂问题中的各种因素,通过划分为相互联系的有序层次
15、,使之条理化,根据对一定客观现实的判断对每一层次相对重要性给予定量表示,利用数学方法确定每一个层次的全部元素的相对重要次序的权值,并通过排序的结果分析和解决问题的一种决策分析方法。AHP法一般分为四个步骤。C.2 分析各因素之间的关系,建立层次结构模型AHP的关键在于如何建立层次结构模型。依据系统分析的方法,对系统因素和其层次加以分析,设计出层次系统结构的表示模型。为解决层次建模问题,Saaty将问题中所包含的因素分为了三个层次z最高层、中间层和最低层。最高层也称目标层,表示层次分析需要达到的目标。中间层又叫准则层,表示采取某种措施、政策、方案等来实现预定总目标所设计的中间环节。最低层包括措施
16、层、指标层、方案层,指要选用的解决问题的各种措施和方案。C.3 构造判断矩阵AHP通过两两比较法构造判断矩阵,采用数据19及其倒数表示相对重要程度(也可采用数字17及其倒数或数字15及其倒数),标准为:1 :表示Bi与Bj一样重要;3 :表示Bi比Bj重要一点;5 :表示Bi比Bj重要$7:表示Bi比Bj重要的多z9:表示Bi比Bj极端重要;用2,4,6,8分别表示两邻点的中值。设A表示目标,B表示评价指标集,Bi表示评价指标,biEB(i二1,2,川。bij表示bi对屯的重bn b1n 要性赋值,则判断矩阵Z为Z二I: bn1 bnn C.4 层次单排序所谓层次单排序,是指根据判断矩阵,计算
17、对于上层指标而言,本层次与之有联系指标的重要性次序的权值。它是对本层次所有的指标针对上一层次而言的重要性进行排序的基础。对于判断矩阵Z,求出满足BZ=m皿Z的特征根和特征向量。max表示最大特征根,Z= G/T 31495.3-2015 (ZI ,Z2,Z.)T为对应于).max的正规化特征向量,Zi为所对应指标乱的单排序的权值。C.5 一致性检验计算各层因素对系统目标的合成权重,并进行排序和一致性检验。CI CR=一称为判断矩阵的平均随机一致性指标。RI -n CI=_:_巳丁主二称为一致性指标。n-l 当CRO.l时,认为判断矩阵有可以接受的一致性,否则,由于判断矩阵偏离一致性程度过大而需
18、要对判断矩阵进行重新修订。20 GB/T 31495.3-2015 附录D(资料性附录)指标合成方法D.1 合成上一级指标的方法对某项指标的所有下级指标进行无量纲化后,将每项下级指标的值与其权重按照式(D.l)进行计算,得到该项指标的值。L = L: ZBjWj 一-, L:Wj .( D.l ) 式中zIi 一一某一层级第t个指标的值;ZBj一一第j个下级指标元量纲化后的值;Wj一一第j个下级指标的权重。D.2 合成信息安全保障综合指数的方法对信息安全保障指标体系中的每项指标进行无量纲化后,将每项指标的值与其权重按照式(D.2)进行计算,得到信息安全综合保障指数。w一旦-wp-NZH F (
19、 D.2 ) 式中:F 一-信息安全综合保障指数的值zZBi-第t个三级指标元量纲化后取得的值pWi一一第i个三级指标的权重。的FON|仍-m立伺LF阁。GB/T 31495.3-2015 献GB/T 20984-2007信息安全技术信息安全风险评估规范GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南ISO/IEC 27004: 2009 Informaition technology-security techniques-Information security 文考参lJ 2J 3J rnanagernent-easurernant 4J 郭亚军.综合评价理论、方法及应用.北京z科学出版社,2007.5J 邱东.多指标综合评价方法的系统分析.北京z中国统计出版社,1991.6J 顾基发,王注尘,唐锡晋等.综合集成方法体系与系统学研究.北京z科学出版社,2007.侵权必究书号:155066 1-51175 * 版权专有27.00元定价z打印日期:2015年6月2HF002