GBZ 30286-2013 信息安全技术 信息系统保护轮廓和信息系统安全目标产生指南

GBZ 30286-2013 信息安全技术 信息系统保护轮廓和信息系统安全目标产生指南 范围 本指导性技术文件给出了编制信息系统保护轮廓（ISPP）和信息系统安全目标（ISST）的过程，为编写ISPP 和 ISST 提供指导。 本指导性技术文件适用于应用GB/T 20274系列标准进行信息系统安全性保障评估的评估者和确认评估者行为的认证者、系统开发者等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅往日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 GB/T 20274.1—2006 信息安全技术 信息系统安全保障评估框架 第 1 部分：简介和一殼模型GB/T 20274.2—2008信息安全技术 信息系统安全保障评估框架 第 2 部分：技术保障 GB/T 20274.3-2008信息安全技术 信息系统安全保障评估框架 第 3 部分：管理保障 GB/T 20274.4-2008信息安全技术 信息系统安全保障评估框架 第 4 部分，工程保障 信息安全技术 信息安全风险评估规范 GB/T 20984-20073 术语和定义 GB/T 20274.1-2006.GB/T 20274.2-2008，GB/T 20274.3-2008，GB/T 20274.4-2008界定的术语和定义适用于本文件。 4 ISPP和ISST概述 4.1 ISPP 和 ISST 的用途 GB/T 20274 系列标准的主要用途是表达信息系统的安全保障要求，信息系统有许多不同的种类，每个信息系统运行于特定的现实环境中，受到来白于组织内部与外部环境的约束，因此对于不同的信息系统，通常有不同的安全保障要求。 GB/T 20274.1—2006 中用 ISPP 和 ISST 来表达某一类信息系统和某一个特定信息系统的安全保障要求，信息系统的所有者运用ISPP来描述某一类信息系统标准化，结构化和规范化的安全保障需求，信息系统的开发者依据ISPP针对特定的信息系统编制相应的ISST，描述其特定用户系统的安全保障需求以及对 ISPP 的满足情况。 4.2 ISPP和ISST的内容 GB/T 20274.1-2006的图A.1描述了ISPP中所要求的内容条目，表1是推荐使用的ISPP 样本 ISPP或ISST的描述部分标识了ISPP或ISST的信息系统，并概要描述了ISPP或ISST，ISPP概述可以被ISPP文档的编目和注册引用 信息系统描述提供了信息系统（或信息系统类型）的一般信息，帮助目标读者理解信息系统的安全要求和信息系统的预期使用方法。ISST的信息系统描述应该包括信息系统使命描述、信息系统概要描述和信息系统详细描述。 安全保障需求是信息系统所处环境的安全保障需求，即信息系统的预期使用方式、预期使用的环境范围和特征。安全环境详细描述了用于定义安全保障需求的假设、预期使用的范围、资产所面临的已知威胁以及信息系统必须遵从的组织安全策略。 安全保障目的提供与安全保障需求相对应的符合性声明，详尽说明见第9章。 安全保障要求包括信息系统的安全技术保障要求、安全管理保障要求和安全工程保障要求，分别使用GB/T 20274.2-2008，GB/T 20274.3-2008和GB/T 20274.4-2008中的功能组件和保证组件来描述。详尽说明见第 10 章。 ISPP应用注解是 ISPP 的可选部分，它提供了ISPP有用的附加信息。 信息系统概要规范包括由信息系统提供的用于满足特定安全保障要求的安全功能，以及所有声明满足特定安全保障要求的安全保障措施。详尽说明见第 11 章。 ISPP声明是ISST的可选部分，用于声明ISST遵从和满足的所有ISPP，以及对ISPP内容的补充或裁减，详尽说明见第 12章。 4.3 ISPP 和 ISST 的目标读者 ISPP和ISST的目标读者主要包括： a）用户：用户需要了解遵从ISPP的信息系统应该采取哪些安全保障措施；b）开发者：开发者需要获得清晰的安全保障要求，以便去构建符合 ISPP的信息系统；c）信息系统使用者：信息系统使用者《包括安装人员、管理员和运维人员）需要获得信息系统安全需求 d）评估者：ISPP 或ISST 评估者需要获得相关的证实 ISPP 或 ISST 技术正确性和有效性的信息。 ISPP或ISST 的描述、信息系统描述、安全保障需求以及安全保障目的等部分主要针对用户和系统使用者。同时，信息系统开发者也应该认真了解安全保障需求和安全保障目的。 ISPP中的安全保障要求部分、ISST中的信息系统概要规范部分主要针对信息系统的开发者、系统使用者和评估者。 5 ISPP 和 ISST的产生过程 信息系统安全保障要求根本上来源于对信息系统的目的、环境及其本身的考虑。图1阐明了ISPP和ISST 的产生过程。 在GB/T 20274.1-2006附录A和附录B中，要求ISPP与ISST的编制应按逻辑顾序以-自上而下"的方式进行。例如，ISPP的编制顺序是 a）定义安全保障需求；b）确认与安全保障需求对应的安全保障目的；c）定义满足安全保障目的的安全保障要求。