信息技术 安全保障框架第一部分 综述和框架-编制说明

一、任务来源《信息技术安全保障框架第1部分综述和框架》是全国信息安全标准化技术委员会2009年度信息安全专项中标准制修订项目之一，属2009年国家标准制定项目项目计划号:20090331-T-469二研究目标通过紧密跟踪和深入研究国际标准ISO/IEC TR15443《信息技术安全保障框架》三个部分标准以及相关的工作文件和学术文献，参考现有的信息安全国内国际标准，制定出适用于信息安全保障工作的安全保障框架结合其他信息安全标准规范及各类安全保障方法，保证《信息技术安全保障框架第1部分综述和框架》在信息安全具体工作中起到指导作用

三、研究内容跟踪和研究国际标准IS0/IECTR15443《信息技术安全保障框架》的三个部分以及相关工作文件和学术文献，结合我国已有的信息及信息安全国家标准，针对信息安全管理人员和其他人员，其中包括负责开发安全保障程序、确定他们的交付件的安全保障、参加安全评估审计或参加其它保障活动的人员，给出了安全保障框架的一般性描述，分析各种保障方法的保障特性帮助保障机构确定每一种保障途径的相对值，帮助相关人员选择最适合于需要保障结果的保障途径

四、编制原则鉴于我国在IT网络安全标准体系方面的研究现状，为了保证IT安全保障框架的完整性、科学性和严谨性，编制组的倾向是基本等同采用IS0/IEC15443-1《信息技术安全保障框架第1部分综述和框架》，只根据我国标准制定规范，修改个别内容的编排

五、主要工作过程

1、2008—2010年，跟踪研究国际信息技术安全保障框架相关标准发展动态，翻译了国际标准ISO/IEC15443T多个版本的中文文本，且多次在专家、成员单位、管理部门等范围内进行讨论和征求意见，并根据这些意见形成了翻译稿；

2、2010年3月一2010年5月，广泛地收集IS0/IEC15443-1《信息技术安全保障框架第1部分综述和框架》的相关资料和国内外地信息安全相关文档、资料、学术文献和法律法规，形成本标准第一阶段草稿；

3、2010年6月一2010年8月，对第一阶段草稿细化、校对翻译稿，重新整理语序，形成本标准第二阶段草稿;

4、2010年9月一2010年10月，对搜集到的资料分类整理、规范语言,统一格式，并对翻译稿进行再次细化校对，形成本标准的征求意见稿；

5、2010年11月一12月，编制组对专家新的反馈意见进行了处理，并经过内部讨论商议，对文本进一步的完善形成了《信息技术安全保障框架第1部分综述和框架》标准征求意见稿第二稿

6、2011年1月，参加北京评审会，听取相关专家意见和建议，对标准中一些有争议的用词进行评定和修改

7、2011年4月，对专家新的反馈意见进行了处理，形成了一个新版本，后又经过内部讨论商议，进一步完善文本，形成了《信息技术安全保障框架第1部分综述和框架》标准征求意见稿第三稿

8、2011年8月，对新的反馈意见进行了处理，形成了《信息技术安全保障框架第1部分综述和框架》标准送审稿

9、2011年10月，根据专家对送审稿的反馈意见对标准重新修改完善，形成了报批稿六主要内容本标准的目的是，为获得一个给定交付件满足其所指出的信息安全保障需求的信心，给出各种保障方法，并指导信息安全专业人员如何选择一个合适的保障方法（或组合一些方法）这一报告审视了不同类型组织所提出的保障方法和途径,包括已批准的标准和事实上标准信息技术安全保障框架第1部分综述和框架概述了一些基础性概念，描述了一个框架模型，用于定位现有的保障方法并给出它们之间的关系例如保障、保障框架等并给出了安全保障方法的一般性描述其目的是帮助理解本标准的第2部分和第3部分内容第1部分针对信息安全管理人员和其他人员，其中包括负责开发安全保障程序、确定他们的交付件的安全保障、参加安全评估审计或参加其它保障活动的人员本标准的主要框架如下.、P4—1-刖S引言1范围2术语和定义3缩略术语错误!未定义书签4概念5选择安全保障6框架

七、有关技术问题的说明

1、关于术语定名的说明1accreditationuaccreditationv一k词在本标准中统一为认可2approach“approach”一词在本标准中统一为途径3assessment“assessment”一词在本标准中统一为“评估”4assurance“assurance”一1词在本标准中译为保障5assurance approachuassuranceapproachn一词在本标准中统一为“保障途径二6assurance argumentuassuranceargumentv一^词在本标准中统

一、为“保障论据”7assurance assessment一词在本标准中统一为保障评估”uassurance assessment8assurance authorityaassuranceauthorityn-1词在本标准中统一为“保障机构”9assurance evidenceSecurityDimension一词在本标准中统一为“保障证据10assurance leveluassurancelevelv一词在本标准中统

一、为“保障等级”11assurance methoduassurancemethod”—*词在本标准中统一，为“保障方法12assurance propertyuassuranceproperty一词在本标准中统一为“保障特性”13assurance resultuassuranceresultv一^词在本标准中统一为“保障结果”14assurance schemeassuranceschemev一词在本标准中统一为“保障模式15assurance stageuassurancestage v―词在本标准中统一为“保障阶段”16certification“certification”一词在本标准中统一为认证17confidence“confidence”一词在本标准中统一为信心18deliverable“deliverable”一^词在本标准中统一为交付件”19evaluation“evaluation”一词在本标准中统一为评价20guarantee“guarantee”一词在本标准中统一为保证21IT securityproduct“IT securityproductv一词在本标准中统一为“IT安全产品”22life cyclestage“life cyclestage”一词在本标准中统一为“生存周期阶段”23pedigree“pedigree”一词在本标准中统一为良源”24process“process”一词在本标准中统一为过程25process assurance“process assurance一词在本标准中统

一、为“过程保障”26product“product”一词在本标准中统一为“产品”27scheme“scheme”一词在本标准中统一为“模式”28security“security”一词在本标准中统一为安全”29security assessmentusecurity assessment一词在本标准中统一为“安全评估”30security elementusecurity elementv—*词在本标准中统一,为“安全元素31service“service”一词在本标准中统一为“服务”32）stakeholder“stakeholder”一词在本标准中统一为“利益攸关方”33system“system”一词在本标准中统一为“系统”34system lifecycle“system lifecycle”一词在本标准中统一为“系统生命周期”35warrantywarranty”一1词在本标准中统一为担保”36work product“work product”一词在本标准中统一为“工作产品”

2、编辑性修改在第2章第

2.9条保障证据assurance evidence,国际标准原文中

2.9条与

2.16条产生重复，翻译是删除

2.16条，保留

2.9条《信息技术安全保障框架第部分综述和框架》1（报批稿）编制说明《信息技术安全保障框架第部分综述和框架》1（报批稿）编制说明《信息技术安全保障框架第部分综述和框架》1（报批稿）编制说明《信息技术安全保障框架第部分综述和框架》1（报批稿）编制说明。