ICS35.030 CCSL80 GB 中华人民共和国国家标准 GB/T20274.1—2023 代替GB/T20274.1—2006 信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型 Informationsecuritytechnology- Evaluation framework for information systems security assuresure- Part 1:Introduction andgeneral model 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T20274.1—2023 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 4 概述 5 信息系统安全保障模型和等级 5.1 保障概念 5.2 保障模型 5.3 保障能力等级 6 信息系统安全保障要素 6.1 信息系统安全保障要素的结构 6.2 信息系统安全保障要素的生成 7信息系统安全保障评估框架 7.1 信息系统安全保障评估概念和关系 7.2 信息系统安全保障评估内容 7.3 信息系统安全保障评估判定 参考文献 GB/T20274.1—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T20274《信息安全技术 信息系统安全保障评估框架》的第1部分。GB/T20274 已经发布了以下部分： ——第1部分：简介和一般模型； 一第2部分：技术保障； 第3部分：管理保障； 一第4部分：工程保障。 本文件代替GB/T20274.1一2006《信息安全技术信息系统安全保障评估框架第1部分：简介 和一般模型》，与GB/T20274.1一2006相比，除结构调整和编辑性改动外，主要技术变化如下： a) 删除了不适用界限（见2006年版的第1章）； b) 更改了“信息系统”和“信息系统安全保障”的定义，删除了其他术语，增加了“组织安全策略”术 语和定义，删除了缩略语（见第3章，2006年版的3.1和3.2）； 更改了目标读者的描述（见第4章，2006年版的4.2）； d) 将“一般模型”更改为“信息系统安全保障模型和等级”，增加了保障能力等级概念（见第5 章，2006年版的5.1和5.2）； f) 将“信息系统安全保障描述材料”更改为“信息系统安全保障要素”，删除了ISPP和ISST的内 容（见第6章，2006年版的5.5）； h) 更改了“信息系统安全保障评估概念和关系”的图表及文字描述（见7.1，2006年版的5.3.2）： i) 将“在信息系统生命周期中的安全保障”更改为“信息系统安全保障评估内容”（见7.2，2006年 版的5.2.2.2)； j) 更改了“信息系统安全保障评估内容”的文字描述和图表内容（见7.2，2006年版的5.3.3)； k） 将“信息系统安全保障评估和评估结果”更改为“信息系统安全保障评估判定”，删除了有关 ISPP和ISST相关的内容，增加了评估准则和保障等级判定要求（见7.3，2006年版的第6 章)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国信息安全测评中心、国家信息技术安全研究中心、国家计算机网络与信息安 全管理中心、公安部第一研究所、国家工业信息安全发展研究中心、国家信息中心、吉林信息安全测评中 心、四川省信息安全测评中心、广东省信息安全测评中心、陕西省网络与信息安全测评中心、中国南方电 网有限责任公司、南方电网数字电网集团有限公司、昆仑数智科技有限公司、泰康保险集团股份有限公 司、中国医学科学院北京协和医院、华润数科控股有限公司、四川大学、北京百度网讯科技有限公司、浪 潮云信息技术股份公司、浙江木链物联网科技有限公司、杭州安恒信息技术股份有限公司、沈阳东软系 统集成工程有限公司、启明星辰信息技术集团股份有限公司、北京神州绿盟科技有限公司、鼎铉商用密 码测评技术（深圳）有限公司、中国电子科技网络信息安全有限公司、山西轩信息安全技术有限公司 本文件主要起草人：任望、邸丽清、江常青、李斌、徐秋伊、梁智溢、张普含、杜宇鸽、宋璟、谢丰、彭勇、 GB/T20274.1—2023 孟晓阳、郭昊、刘占丰、昌彦伟、庞智、梁伟、宫月、王丹琛、张晓娜、陈禹、高强、李秋香、史大为、陈永刚、 赵增振、于盟、张格、潘承亚、杨天识、陶蓉、吕华辉、明哲、滕征岑、刘磊、陈靓、万娟、卿波、王美玲、 郭宾、王文佳、赵呈东、朱卫国、张敏、王海棠、唐晓莉、鲍捷、李滨丞、赵少飞、谭锐能、李智林、叶建伟。 本文件及其所代替文件的历次版本发布情况为： -2006年首次发布为GB/T20274.1—2006； 一本次为第一次修订。 GB/T20274.1—2023 引言 GB/T20274信息安全技术 信息系统安全保障评估框架》以GB/T18336《信息技术安全技术 信息技术安全评估准则》为基础，从产品扩展到信息技术系统，并进一步同其他国内外信息系统安全 领域的标准和规范进行结合，扩展和补充，以形成描述和评估信息系统安全保障内容和能力的通用框 架。GB/T20274是指导信息系统安全保障评估的基础性和框架性标准，为从事信息系统安全保障工 作的所有相关方（包括设计开发者工程实施者，评估者、认证认可者等）提供一种标准化、规范化的通用 描述语言、结构和方法。GB/T20274旨在给出信息系统安全保障的基本概念和模型，确立在技术、管 理和工程方面的安全保障要求和能力等级要求，由四个部分构成。 第1部分：简介和一般模型。目的在于给出信息系统安全保障的基本概念和模型，提出信息系 统安全保障评估的框架。 第2部分：技术保障。目的在于确立信息系统在技术方面的安全保障基本要求及相应的能力 等级要求。 —第3部分：管理保障。目的在于确立信息系统在管理方面的安全保障基本要求及相应的能力 等级要求。 一第4部分：工程保障。目的在于确立信息系统在工程方面的安全保障基本要求及相应的能力 等级要求。 GB/T20274.1—2023 信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型 1范围 本文件给出了信息系统安全保障的基本概念和模型，提出了信息系统安全保障评估框架 本文件适用于指导系统建设者、运营者、服务提供者和评估者等开展信息系统安全保障工作。 2 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T18336.1—2015 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般 模型 GB/T25069—2022 信息安全技术 术语 3 术语和定义 GB/T25069—2022和GB/T18336.1—2015中界定的以及下列术语和定义适用于本文件。 3.1 信息系统 Einformationsystem 应用、服务、信息技术资产或其他信息处理组件的组合。 注1：信息系统通常由计算机或者其他信息终端及相关设备组成，并按照一定的应用目标和规则进行信息处理或过 程控制。 注2：典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联网技术的系 统等。 ［来源：GB/T29246—2017，2.39，有修改］ 3.2 信息系统安全保障 information systemsecurityassurance 对信息系统的安全属性及功能、效率进行保障的一系列适当行为或过程。 3.3 组织安全策略 organizational securitypolicies 组织为确保其运行而制定的若干安全规则、规程、实践和指南。 ［来源：GB/T25069—2022，3.817］ 4概述 与信息系统安全保障评估工作相关的相关方，一般包括信息系统建设者、信息系统运营者、服务提 1 GB/T20274.1—2023 供者和评估者等。 信息系统建设者包括规划、设计和工程实施人员。建设者参考通用描述语言、方法和结构，从信息 系统安全保障的技术、管理和工程领域来表达其信息系统安全保障要求。使用本文件能帮助建设者更 好地描述其信息系统安全需求，编制符合其运行环境要求的信息系统安全保障方案和规范等。建设者 可根据信息系统安全保障的评估，了解其信息系统安全保障的现状，并根据评估结果，进一步完善和持 续改进其信息系统的安全保障能力。 信息系统运营者参考通用描述语言、方法和结构，从信息系统安全保障的技术和管理领域来表达其 信息系统安全保障要求。运营者能使用本文件同信息系统的建设者等相关人员进行更加有效的沟通和 相互理解。运营者可根据信息系统安全保障的评估，了解其信息系统安全保障的现状，还可根据评估结 果，进一步完善和持续改进其信息系统的安全保障能力，获得其信息系统安全保障的信心。 服务提供者参考通用描述语言、方法和结构，从信息系统安全保障的技术、管理和工程领域来表达 相关的信息系统安全保障要求，并与系统运营者和建设者进行有效的沟通和项目实施 评估者参考本文件来定义信息系统安全保障评估的内容，并依据定义的评估内容开展信息系统安 全保障评估工作。 5信息系统安全保障模型和等级 5.1保障概念 信息系统运行于特定的现实环境中，它从属某个组织，受到来自组织内部及外部环境的约束，因 此，信息系统的安全保障除了要在充分分析信息系统本身的技术、