GB/T31495.1-2015
信息安全技术信息安全保障指标体系及评价方法第1部分:概念和模型
Informationsecuritytechnology—Indicatorsystemofinformationsecurityassuranceandevaluationmethods—Part1:Conceptsandmodel
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2016-01-01
- 文件格式PDF
- 文本页数8页
- 文件大小319.05KB
以图片形式预览信息安全技术信息安全保障指标体系及评价方法第1部分:概念和模型
信息安全技术信息安全保障指标体系及评价方法第1部分:概念和模型
国家标准 GB/T31495.1一2015 信息安全技术信息安全保障指标体系 及评价方法 第1部分;概念和模型 Informationsecuritytechnology ndieatorsystemofinfrmationseeurityassuraneeandevalwatimethods Part1:Conceptsandmodel 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T31495.1一2015 目 次 前言 引言 范围 规范性引用文件 术语和定义 信息安全保障模型 信息安全保障评价模型 参考文献
GB/T31495.1一2015 前 言 GB/T31495《信息安全技术信息安全保障指标体系及评价方法》分为如下3部分 -第1部分:概念和模型; 第2部分;指标体系; 第3部分:实施指南
本部分为GB/T31495的第1部分
本部分按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本部分起草单位;国家信息中心,国家新闻出版广电总局监管中心,信息安全测评中心、电 信集团、移动通信集团,大连理工大学,国家能源局信息中心、江苏省信息中心、民航大学、 电力科学研究院
本部分主要起草人;何德全、吕欣.王宪磊、王长胜、郭艳卿,杨月圆,李守鹏、昌汉阳、杜巍.肖英、 张茉楠、罗程、吴志军、杨一曼、谢东晖、程露、胡红升、孙小红、徐浩、周智、陈敏时、雷鳍、樊晖、高昆仑 李鹏、李慧
m
GB/T31495.1一2015 引 言 GB/T31495依据国家对信息安全保障工作的相关要求,提出了信息安全保障评价的概念和模型、 指标体系及实施指南
31495由3部分组成
第1部分描述了本标准各部分通用的基础性概念,给出了信息安全保障及 信息安全保障评价的概念和模型,给出了指标的测量模型;第2部分在第1部分的模型指导下给出了信 息安全保障指标体系和指标测量过程;第3部分给出了信息安全保障评价工作实施所应遵照的要求、流 程和方法
31495主要用于;为政府管理部门的信息安全态势判断和宏观决策提供支持;为基础信息网络和重 要信息系统的管理部门及运营单位的信息安全管理工作提供支持
GB/T31495.1一2015 信息安全技术信息安全保障指标体系 及评价方法 第1部分概念和模型 范围 GB/T31495的本部分界定了信息安全保障评价的基本概念,确立了信息安全保障评价的一般 模型
本部分适用于信息安全保障评价工作
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T250692010信息安全技术术语 术语和定义 GB/T25069一2010中界定的以及下列术语和定义适用于本文件
3.1 信息安全保障informationseeurityassurance 对信息和信息系统的安全属性及功能,效率进行保障的一系列适当行为或过程
3.2 信息安全保障评价evaluationofinformationseeurityassurance 收集信息安全保障证据,并获得信息安全保障值的过程和途径
3.3 信息安全保障措施neasresforinformationseeurityassuranee 为达到信息安全目的所采用的保障手段的集合
3.4 信息安全保障能力capabilityofinformat atiomsecurityassurance 被保障实体安全防御、响应和恢复等特性的体现
3.5 信息安全保障效果ereetsofinformationseeurityassurance 被保障实体的信息安全保障目标和属性的实现程度
信息安全保障模型 信息安全保障模型是采用过程方法建立的
图1说明了信息安全保障是根据利益相关方的保障需求建立保障措施,形成保障能力,以实现保障 效果的过程
根据利益相关方对保障效果的反馈,可以动态调整保障措施,以更好地满足保障需求
GB/T31495.1一2015 注:组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”
参见 GB/T22080一2008《信息技术安全技术信息安全管理体系要求》. 调格 利益相关方 保障效果 保障措怖 保障需求 信息安全保障 对象 利益相关方 保障需求 实现 形成 保降能力 图1信息安全保障模型 信息安全保障包含三个环节 建立保障措施
保障措施是基于利益相关方的保障需求设计的一系列保障手段,是实现信息 安全保障需求的途径
-形成保障能力
保障能力是保障措施作用于保障对象过程中所形成的能力,是从防御过程的 视角对保障措施运行有效性的体现
实现保障效果
保障效果是保障能力对利益相关方保障需求的满足程度,是从保障对象安全 目标实现程度的视角对保障措施运行有效性的体现
利益相关方是指与保障对象的信息安全相关的主管部门、运营机构和用户等
信息安全保障评价模型 信息安全保障评价是为了验证信息安全保障过程的有效性而开展的一系列评价活动
信息安全保障评价的过程是基于评价目标(即评价的信息需求)设计指标体系,从每项指标中提取 该指标的评价对象及其属性,通过一定的测量模型和方法得出单项指标值,再进行综合研判,获得评价 结果,用于支持评价目标的实现
图2给出了信息安全保障评价模型
评价目标 验证保障过程的有效性 -评价的信息需求 支持实现 保障措旅、保障能力、保障效果 指标体系 评价结果 测量模型 评价对象 提取 综合研判 属性8 测最 指标值 属性 属性2 图2信息安全保障评价模型 为进一步描述对指标进行测量的过程,图3给出了信息安全保障的测量模型
信息安全保障的测
GB/T31495.1一2015 量模型描述了如何将评价对象的相关属性进行量化并通过一系列测量过程得出测量结果的过程
提供依据 研判得出 指标值 评价结果 判定准则 测量 值 分析模型 评价对象 属性1 属性3 导出测度 属性2 那量面数 基本测度 图3指标的测量模型 图3所示,属性是评价对象的可定量或定性识别的特征
基本测度是指对测量对象的属性进行基 本测量得到的测度(一般为统计所得的原始数据或资料)
测量函数是对基本测度进行组合以生成导出 测度的计算
导出测度由两个或两个以上基本测度组合运算得出
分析模型是对导出测度进行计算得 出测量值的函数
测量值经过判定准则得到指标值
GB/T31495.1一2015 参 考 文 献 GB/T17532一2005术语工作计算机应用词汇 [2]GB/T19001一2008质量管理体系;要求(Is9001.2008) [1 GB/T20917一2007软件工程软件测量过程 cBT298一2信息安全技术信息安全风险评估规范 [51 信息安全技术信息安全事件分类分级指南 GB/Z209862007 [C1 GB/T20988一2007信息安全技术信息系统灾难恢复规范 信息技术安全技术信息安全管理体系 GB/T220802008 要求(ISO/IEC27001 2005 [8]GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 ] GBy/T29830.1一2013信息技术安全技术信息安全保障框架第1部分;综述和框架 信息安全技术信息系统安全管理测评 [[107 GA/T7132007 [1 tehnology SO/IEC15408 l:2009 lnformation -SecuritytechniquesEvaluation criteriaforITsecurityPart1:Introductionandgeneralmodel 12] SO/IEC27004:2009 InformaitiontechnologysecuritytechniquesInformation securitymanagement一Measuremant [13 NISTSpeeialPubieation800-37;GuideforApplyingtheRiskManagement 14]公通字[2007]43号《信息安全等级保护管理办法 FederallnformationSecurityManagenmentAect(联邦信息安全管理法案) [157 [16 NationalsecurityAgency.NationalInformationsystemsSecurityGlo5sary.NSTIss14009 FortMeade,MD.Sept.2000. [17]钱学森.创建系统学(新世纪版).上海:上海交通大学出版社,2007 [18]赵战生,杜虹,吕述望.信息安全保密教程.合肥;科学技术大学出版社,2006
[19]沈昌祥信息安全工程导论北京;电子工业出版社,2003. [20]吴世忠,陈晓桦,李鹤田,李斌,等,信息安全测评认证一理论与实际.合肥;科学技术大 学出版社,2006. [21]冯登国,蔡吉人.网络安全与密码学.贵州;贵州科学技术出版社,2004 [22]宁家骏.信息内容安全.贵州;贵州科技出版社,2004.
信息安全保障指标体系及评价方法第1部分:概念和模型GB/T31495.1-2015
信息安全保障指标体系的概念和意义
信息安全保障指标体系是指在企业或组织中建立的一套完整的信息安全保障措施体系,用于确保信息系统和信息资产的安全。
这个体系包括安全目标、安全策略、安全机制和安全措施等方面,是企业或组织实施信息安全管理的基础。
信息安全保障指标体系的建立,不仅可以提高信息系统和信息资产的安全性,也可以降低信息安全风险的可能性。
信息安全保障指标体系的模型及其评价方法
信息安全保障指标体系的模型,是根据GB/T31495.1-2015标准建立的。
在这个模型中,信息安全的保障指标被分为了4个层次:安全目标、安全策略、安全机制和安全措施。每个层次包含了不同的指标,用于评价企业或组织的信息安全保障水平。
其中,安全目标层面主要评价企业或组织的信息安全战略和目标是否与其业务目标相一致;安全策略层面评估企业或组织的信息安全策略是否合理,是否能够有效地实现信息安全目标;安全机制层面主要评价企业或组织的信息安全技术措施是否完善,是否能够有效地应对安全威胁;安全措施层面评价企业或组织的信息安全管理是否得当,是否能够有效地执行信息安全策略。
除了模型外,GB/T31495.1-2015标准还提供了一套评价方法,用于评估企业或组织的信息安全保障水平。这个评价方法包括了资产价值评估、风险评估、控制评估和保障水平评价等方面,可以帮助企业或组织全面地了解其信息安全状况。
结论
信息安全是企业或组织运营中必不可少的一部分,建立信息安全保障指标体系及其评价方法,可以更好地保障信息系统和信息资产的安全。GB/T31495.1-2015标准提供了一套完整的信息安全保障指标体系模型和评价方法,可以帮助企业或组织全面地了解其信息安全状况,并采取相应的措施进行改进。
