金融行业标准网
ICS35.030 CCSL80 中华人民共和国国家标准 GB/T20274.2—2026 代替GB/T20274.2—2008,GB/T20274.3—2008,GB/T20274.4—2008 网络安全技术 信息系统安全保障 评估框架 第2部分:安全保障要求 Cybersecuritytechnology—Evaluationframeworkforinformationsystems securityassurance—Part2:Securityassurancerequirements 2026-05-25发布 2026-12-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅴ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 信息系统安全保障评估框架 1 …………………………………………………………………………… 4.1 安全保障评估模型 1 ………………………………………………………………………………… 4.2 保障能力等级确定 3 ………………………………………………………………………………… 5 信息系统安全保障能力等级 4 …………………………………………………………………………… 5.1 能力维度 4 …………………………………………………………………………………………… 5.2 基本执行级 5 ………………………………………………………………………………………… 5.3 计划跟踪级 5 ………………………………………………………………………………………… 5.4 充分定义级 6 ………………………………………………………………………………………… 5.5 量化控制级 8 ………………………………………………………………………………………… 5.6 持续改进级 9 ………………………………………………………………………………………… 6 技术保障组件 10 …………………………………………………………………………………………… 6.1 概述 10 ………………………………………………………………………………………………… 6.2 系统与通信保护类(SCP) 10 ………………………………………………………………………… 6.3 访问控制类(FAC) 14 ………………………………………………………………………………… 6.4 标识与鉴别类(FIA) 16 ……………………………………………………………………………… 6.5 数据安全类(FDS) 18 ………………………………………………………………………………… 6.6 安全审计类(FAU) 23 ………………………………………………………………………………… 6.7 物理与环境安全类(FPE) 24 ………………………………………………………………………… 7 管理保障组件 28 …………………………………………………………………………………………… 7.1 概述 28 ………………………………………………………………………………………………… 7.2 安全管理类(ASM) 28 ……………………………………………………………………………… 7.3 安全工程类(ASE) 39 ………………………………………………………………………………… 7.4 安全运营类(ASO) 43 ………………………………………………………………………………… 参考文献 57 …………………………………………………………………………………………………… ⅠGB/T20274.2—2026前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T20274《网络安全技术 信息系统安全保障评估框架》的第2部分。GB/T20274 已经发布了以下部分: ———第1部分:简介和一般模型; ———第2部分:安全保障要求。 本文件代替GB/T20274.2—2008《信息安全技术 信息系统安全保障评估框架 第2部分:技术 保障》、GB/T20274.3—2008《信息安全技术 信息系统安全保障评估框架 第3部分:管理保障》、 GB/T20274.4—2008《信息安全技术 信息系统安全保障评估框架 第4部分:工程保障》。本文件与 GB/T20274.2—2008、GB/T20274.3—2008和GB/T20274.4—2008相比,除结构调整和编辑性改动 外,主要技术变化如下: ———增加了信息系统安全保障框架的描述(见第4章); ———更改了技术保障组件的类别及相关描述(见第6章,GB/T20274.2—2008版的第7章~第17章); ———更改了管理保障组件的类别及相关描述(见第7章,GB/T20274.3—2008版的第7章~第18 章及GB/T20274.4—2008版的第7章~第9章)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国信息安全测评中心、国家信息技术安全研究中心、国家信息中心、南方电网数 字电网集团信息通信科技有限公司、云南电网有限责任公司数智运营中心、南航数智科技(广东)有限公 司、国家石油天然气管网集团有限公司、公安部第三研究所、吉林信息安全测评中心、广东省信息安全测 评中心、启明星辰信息技术集团股份有限公司、天翼安全科技有限公司、浪潮电子信息产业股份有限公 司、浪潮软件集团有限公司、北京数安行科技有限公司、中国移动通信集团有限公司、中国银联股份有限 公司、昆仑数智科技有限责任公司、华润(集团)有限公司、国家计算机病毒应急处理中心、中国电子科技 集团公司第十五研究所、清华大学、北京时代新威信息技术有限公司、广州市昊恒信息科技有限公司、 国网思极网安科技(北京)有限公司、中国信息安全测评中心华中测评中心、陕西省网络与信息安全测评 中心、中科信息安全共性技术国家工程研究中心有限公司、中国医学科学院北京协和医院、工业和信息 化部电子第五研究所、北京源堡科技有限公司、北京中测安华科技有限公司、四川省数字经济研究中心、 中贸促信息技术有限责任公司、杭州安恒信息技术股份有限公司、中国电力科学研究院有限公司、深圳 开源互联网安全技术有限公司、山西轩辕信息安全技术有限公司、北京神州绿盟科技有限公司、奇安信 网神信息技术(北京)股份有限公司、深信服科技股份有限公司、北京禹宏信安科技有限公司、上海观安 信息技术股份有限公司。 本文件主要起草人:宋璟、温哲、邸丽清、王庆、张毅、李斌、任望、江常青、肖鹏、刘占丰、杨天识、 梁露露、王文佳、梁伟、赵媛、张鹏、刘玉红、樊凯、黄伟键、王学力、杨杰、张雪莲、昌彦伟、叶晓俊、吴强、 宋皓、孟晓阳、阮晶晶、孙晓丽、于园园、陈永刚、李祉岐、陈芳、张峰、崔庆虎、李滨丞、吴文超、谭近军、 王作为、孙文龙、姚雨秋、胡建勋、董晶晶、袁泉、于敏、宋好好、程虎、张强、肖红阳、王颉、王丹琛、赖永晓、 徐可、彭勇、张普含、杜宇鸽、田斌、杨光、赵佳璐、刘彦钊、胡超群、王新洋、孙子玉、伊玮珑、石磊、王文君。 本文件及其所代替文件的历次版本发布情况为: ———2008年首次发布为GB/T20274.2—2008、GB/T20274.3—2008、GB/T20274.4—2008; ⅢGB/T20274.2—2026———本次为第一次修订,合并了GB/T20274.2—2008《信息安全技术 信息系统安全保障评估框 架 第2部分:技术保障》、GB/T20274.3—2008《信息安全技术 信息系统安全保障评估框 架 第3部分:管理保障》、GB/T20274.4—2008《信息安全技术 信息系统安全保障评估框 架 第4部分:工程保障》的内容。 ⅣGB/T20274.2—2026引 言 GB/T20274《信息安全技术 信息系统安全保障评估框架》以GB/T18336《网络技术安全 信息 技术安全评估准则》为基础,从产品扩展到信息技术系统,并进一步同其他国内外信息系统安全领域的 标准和规范结合、扩展和补充,以形成描述和评估信息系统安全保障内容和能力的通用框架。 GB/T20274是指导信息系统安全保障评估的基础性和框架性标准,为从事信息系统安全保障工 作的所有相关方(包括设计开发者工程实施者、评估者、认证认可者等)提供一种标准化、规范化的通用 描述语言、结构和方法。GB/T20274旨在给出信息系统安全保障的基本概念和模型,确立在技术和管 理方面的安全保障要求和能力等级要求,拟由两个部分构成。 ———第1部分:简介和一般模型。目的在于给出信息系统安全保障的基本概念和模型,提出信息系 统安全保障评估的框架。 ———第2部分:安全保障要求。目的在于确立信息系统安全保障评估框架和安全保障能力等级,规 定技术保障组件和管理保障组件的要求。 为了确立信息系统在技术、管理和工程方面的安全保障要求和能力等级,我国在2008年发布了 GB/T20

.pdf文档 GB-T 20274.2-2026 网络安全技术 信息系统安全保障评估框架 第2部分 安全保障要求

文档预览
中文文档 67 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共67页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB-T 20274.2-2026 网络安全技术 信息系统安全保障评估框架 第2部分 安全保障要求 第 1 页 GB-T 20274.2-2026 网络安全技术 信息系统安全保障评估框架 第2部分 安全保障要求 第 2 页 GB-T 20274.2-2026 网络安全技术 信息系统安全保障评估框架 第2部分 安全保障要求 第 3 页
下载文档到电脑,方便使用
本文档由 人生无常 于 2026-07-04 11:58:13上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。