ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T314953—2015

.

信息安全技術(shù)信息安全保障指標(biāo)體系

及評價(jià)方法

第3部分實(shí)施指南

:

Informationsecuritytechnology—

Indicatorsystemofinformationsecurityassuranceandevaluationmethods—

Part3Imlementationuide

:pg

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國

國家標(biāo)準(zhǔn)

信息安全技術(shù)信息安全保障指標(biāo)體系

及評價(jià)方法

第3部分實(shí)施指南

:

GB/T31495.3—2015

*

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

20155

*

書號

:155066·1-51175

版權(quán)專有侵權(quán)必究

GB/T314953—2015

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………1

評價(jià)的作用

4.1…………………………1

評價(jià)活動(dòng)執(zhí)行主體

4.2…………………1

可能遇到問題和風(fēng)險(xiǎn)

4.3………………1

評價(jià)活動(dòng)實(shí)施過程

4.4…………………2

評價(jià)準(zhǔn)備

5…………………2

評價(jià)準(zhǔn)備活動(dòng)的工作流程

5.1…………2

評價(jià)準(zhǔn)備活動(dòng)的主要任務(wù)

5.2…………3

評價(jià)準(zhǔn)備活動(dòng)的文檔

5.3………………4

評價(jià)準(zhǔn)備活動(dòng)的角色和責(zé)任

5.4………………………4

方案編制

6…………………4

方案編制活動(dòng)的工作流程

6.1…………4

方案編制活動(dòng)的主要任務(wù)

6.2…………5

方案編制活動(dòng)的文檔

6.3………………7

方案編制活動(dòng)的角色和責(zé)任

6.4………………………7

數(shù)據(jù)采集

7…………………8

數(shù)據(jù)采集活動(dòng)的工作流程

7.1…………8

數(shù)據(jù)采集活動(dòng)的主要任務(wù)

7.2…………8

數(shù)據(jù)采集活動(dòng)的文檔

7.3………………9

數(shù)據(jù)采集活動(dòng)的角色和責(zé)任

7.4………………………9

數(shù)據(jù)分析

8…………………10

數(shù)據(jù)分析活動(dòng)的工作流程

8.1…………10

數(shù)據(jù)分析活動(dòng)的主要任務(wù)

8.2…………10

數(shù)據(jù)分析活動(dòng)文檔

8.3…………………14

結(jié)果分析活動(dòng)的角色與責(zé)任

8.4………………………14

報(bào)告編制

9…………………15

報(bào)告編制活動(dòng)的工作流程

9.1…………15

報(bào)告編制活動(dòng)的主要任務(wù)

9.2…………15

報(bào)告編制活動(dòng)的文檔

9.3………………15

報(bào)告編制活動(dòng)的角色與責(zé)任

9.4………………………16

Ⅰ

GB/T314953—2015

.

附錄規(guī)范性附錄信息安全保障評價(jià)工作要求

A()……………………17

附錄資料性附錄數(shù)據(jù)采集方法

B()……………………18

附錄資料性附錄指標(biāo)權(quán)重分配方法

C()………………19

附錄資料性附錄指標(biāo)合成方法

D()……………………21

參考文獻(xiàn)

……………………22

Ⅱ

GB/T314953—2015

.

前言

信息安全技術(shù)信息安全保障指標(biāo)體系及評價(jià)方法分為如下部分

GB/T31495《》3:

第部分概念和模型

———1:;

第部分指標(biāo)體系

———2:;

第部分實(shí)施指南

———3:。

本部分為的第部分

GB/T314953。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分起草單位國家信息中心國家新聞出版廣電總局監(jiān)管中心中國信息安全測評中心中國電

:、、、

信集團(tuán)中國移動(dòng)通信集團(tuán)大連理工大學(xué)國家能源局信息中心江蘇省信息中心中國民航大學(xué)中國

、、、、、、

電力科學(xué)研究院

。

本部分主要起草人何德全呂欣王憲磊王長勝郭艷卿楊月圓李守鵬呂漢陽杜巍肖英

:、、、、、、、、、、

張茉楠羅程吳志軍楊一曼謝東暉程露胡紅升孫小紅徐浩周智陳敏時(shí)雷縉樊暉高昆侖

、、、、、、、、、、、、、、

李鵬李慧

、。

Ⅲ

GB/T314953—2015

.

引言

依據(jù)國家對信息安全保障工作的相關(guān)要求提出了信息安全保障評價(jià)的概念和模型

GB/T31495,、

指標(biāo)體系及實(shí)施指南

。

由部分組成第部分描述了本標(biāo)準(zhǔn)各部分通用的基礎(chǔ)性概念給出了信息安全保

GB/T314953。1,

障及信息安全保障評價(jià)的概念和模型給出了指標(biāo)的測量模型第部分在第部分的模型指導(dǎo)下給出

,;21

了信息安全保障指標(biāo)體系和指標(biāo)測量過程第部分給出了信息安全保障評價(jià)工作實(shí)施所應(yīng)遵照的要

;3

求流程和方法

、。

主要用于為政府管理部門的信息安全態(tài)勢判斷和宏觀決策提供支持為基礎(chǔ)信息網(wǎng)

GB/T31495:;

絡(luò)和重要信息系統(tǒng)的管理部門及運(yùn)營單位的信息安全管理工作提供支持

。

Ⅳ

GB/T314953—2015

.

信息安全技術(shù)信息安全保障指標(biāo)體系

及評價(jià)方法

第3部分實(shí)施指南

:

1范圍

的本部分規(guī)定了信息安全保障評價(jià)活動(dòng)的實(shí)施指南

GB/T31495。

本部分適用于信息安全保障評價(jià)工作

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全保障指標(biāo)體系及評價(jià)方法第部分概念和

GB/T31495.1—20151:

模型

信息安全技術(shù)信息安全保障指標(biāo)體系及評價(jià)方法第部分指標(biāo)體系

GB/T31495.2—20152:

3術(shù)語和定義

和中界定的術(shù)語和定義適用于本文件

GB/T31495.1—2015GB/T31495.2—2015。

4概述

41評價(jià)的作用

.