信息技术 安全保障框架 第二部分 保障方法-编制说明

一、任务来源《信息技术安全保障框架第2部分保障方法》是全国信息安全标准化技术委员会2009年度信息安全专项中标准制修订项目之一，属2009年国家标准制定项目项目计划号20090332-T-469二研究目标通过紧密跟踪和深入研究国际标准IS0/IECTR15443《信息技术安全保障框架》三个部分标准以及相关的工作文件和学术文献，参考现有的信息安全国内国际标准，制定出适用于信息安全保障工作的安全保障框架结合其他信息安全标准规范及各类安全保障方法，保证《信息技术安全保障框架第2部分保障方法》在信息安全具体工作中起到指导作用

三、研究内容跟踪和研究国际标准IS0/IECTR15443《信息技术安全保障框架》的三个部分以及相关工作文件和学术文献，结合我国已有的信息及信息安全国家标准,针对信息安全管理人员和其他人员，其中包括负责开发安全保障程序、确定他们的交付件的安全保障、参加安全评估审计或参加其它保障活动的人员，给出了安全保障框架的一般性描述，分析各种保障方法的保障特性帮助保障机构确定每一种保障途径的相对值，帮助相关人员选择最适合于需要保障结果的保障途径

四、编制原则鉴于我国在IT网络安全标准体系方面的研究现状，为了保证IT安全保障框架的完整性、科学性和严谨性，编制组的倾向是基本等同采用IS0/IEC15443-2《信息技术安全保障框架第2部分保障方法》，只根据我国标准制定规范，修改个别内容的编排

五、主要工作过程

1、2008—2010年，跟踪研究国际信息技术安全保障框架相关标准发展动态,翻译了国际标准ISO/IEC15443T多个版本的中文文本，且多次在专家、成员单位、管理部门等范围内进行讨论和征求意见，并根据这些意见形成了翻译稿；

2、2010年3月一2010年5月，广泛地收集IS0/IEC15443-2《信息技术安全保障框架第2部分保障方法》的相关资料和国内外地信息安全相关文档、资料、学术文献和法律法规，形成本标准第一阶段草稿；

3、2010年6月一2010年8月，对第一阶段草稿细化、校对翻译稿，重新整理语序，形成本标准第二阶段草稿;

4、2010年9月一2010年10月，对搜集到的资料分类整理、规范语言，统一格式，并对翻译稿进行再次细化校对，形成本标准的征求意见稿；

5、2010年11月一12月，编制组对专家新的反馈意见进行了处理，并经过内部讨论商议，对文本进一步的完善形成了《信息技术安全保障框架第2部分保障方法》标准征求意见稿第二稿

6、2011年1月，参加北京评审会，听取相关专家意见和建议，对标准中一些有争议的用词进行评定和修改

7、2011年4月，对专家新的反馈意见进行了处理，形成了一个新版本，后又经过内部讨论商议，进一步完善文本，形成了《信息技术安全保障框架第2部分保障方法》标准征求意见稿第三稿

8、2011年8月，对新的反馈意见进行了处理，形成了《信息技术安全保障框架第2部分保障方法》标准送审稿

9、2011年10月，根据专家对送审稿的反馈意见对标准重新修改完善，形成了报批稿六主要内容本标准的目的是，为获得一个给定交付件满足其所指出的信息安全保障需求的信心，给出各种保障方法，并指导信息安全专业人员如何选择一个合适的保障方法（或组合一些方法）这一报告审视了不同类型组织所提出的保障方法和途径,包括已批准的标准和事实上标准信息技术安全保障框架第二部分保障方法，描述由不同类型的组织提出和使用的各种IT安全保障方法和途径，不论它们是被一般公认的、事实上被认可的或标准的；并把这些保障方法与第一部分的保障模型关联起来重点是识别对保障有影响的保障方法的定性特征，在可能的地方，还将定义保障级别该标准面向IT安全专业人员，帮助理解如何在产品或服务的特定的生命周期阶段中获得保障本标准的主要框架如下5刖引言1范围2规范性引用文件3术语定义与缩略语4方法概述和表达5保障的生命周期阶段与图示符号6保障方法

七、有关技术问题的说明

1、关于术语定名的说明1accreditation“accreditation”一词在本标准中统一为认可”2approach“approach”一词在本标准中统一为“途径”3assessment“assessment”一词在本标准中统一为“评估4assurance“assurance”一词在本标准中译为“保障”5assurance approachuassuranceapproach”―*词在本标准中统一为“保障途径6assurance argument“assurance argumentv一词在本标准中统一为“保障论据7assurance assessment一^词在本标准中统一,为“保障评估assurance assessment8assurance authority“assurance authorityv一^词在本标准中统一为“保障机构9assurance evidence“Security Dimensionv一词在本标准中统一为“保障证据”10assurance leveluassurancelevel”-词在本标准中统一,为“保障等级11assurance methoduassurancemethodv一词在本标准中统一为“保障方法”12assurance propertyuassurancepropertyv一^词在本标准中统

一、为“保障特性”13assurance result“assurance resultv一词在本标准中统一为“保障结果”14assurance schemeuassurancescheme”一词在本标准中统

一、为“保障模式”15assurance stageuassurancestage v一词在本标准中统一为保障阶段”16certificationucertificationH一词在本标准中统一为认证17confidence“confidence”一^词在本标准中统一为信心18deliverable“deliverable”一词在本标准中统一为“交付件19evaluation“evaluation”一词在本标准中统一为评价”20guarantee“guarantee”一词在本标准中统一为保证21IT securityproduct“IT securityproduct”一词在本标准中统一为“IT安全产品”22life cyclestage“life cyclestage”一词在本标准中统一为“生存周期阶段”23pedigree“pedigree”一词在本标准中统一为“良源”24process“process”一词在本标准中统一为过程25process assuranceuprocessassurance v―*词在本标准中统

一、为“过程保障26product“product”一词在本标准中统一为“产品”27scheme“scheme”一词在本标准中统一为模式28security“security”一词在本标准中统一为安全”29security assessmentusecurity assessmentn―k词在本标准中统一为“安全评估”30security element“security element”—词在本标准中统一为“安全元素31service“service”一词在本标准中统一为服务32stakeholder“stakeholder”一^词在本标准中统一为“利益攸关方33system“system”一词在本标准中统一为“系统”34system lifecycleusystem lifecyclen—^词在本标准中统

一、为“系统生命周期”35warranty“warranty”一词在本标准中统一为担保36work product“work productv一词在本标准中统一为“工作产品”37辑性修改无《信息技术安全保障框架第部分保障方法》2报批稿编制说明《信息技术安全保障框架第部分保障方法》2报批稿编制说明《信息技术安全保障框架第部分保障方法》2报批稿编制说明《信息技术安全保障框架第部分保障方法》2报批稿编制说明。