GB/T 18336.1-2008
情報技術、セキュリティ技術、情報技術セキュリティ評価基準、パート 1: 概要と一般モデル (英語版)
- 規格番号
- GB/T 18336.1-2008
- 言語
- 中国語版, 英語で利用可能
- 制定年
- 2008
- 出版団体
- General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China
- 状態
- 2016-01
- に置き換えられる
- GB/T 18336.1-2015
- 最新版
- GB/T 18336.1-2015
- 交換する
- GB/T 18336.1-2001
- 範囲
- GB/T 18336 は、情報技術製品およびシステムのセキュリティ機能を評価するための基本的な基準として意図されています。 このような共通の基準基盤を確立することで、情報技術セキュリティ評価の結果をより多くの人が理解できるようになります。 一部のコンテンツは、IT セキュリティの専門技術または単なる周辺技術に関係するため、GB/T 18336 の範囲に含まれません。 例: a) GB/T 18336 には、IT セキュリティ対策に直接関係しない管理上のセキュリティ対策であるセキュリティ評価基準は含まれていません。 ただし、TOE セキュリティの一部の重要なコンポーネントは、通常、組織的、人的、物理的、手順的な制御などの管理管理手段を通じて達成できることを認識する必要があります。 TOE の動作環境では、管理上のセキュリティ対策が、特定された脅威に対抗する IT セキュリティ対策の能力に影響を与える場合、TOE は安全に使用できると想定されます。 b) GB/T 18336 は、電磁放射制御などの IT セキュリティの技術的側面、評価の物理的側面を明示的にカバーしていませんが、この規格の概念の多くはこの分野に適用されます。 言い換えれば、GB/T 18336 は TOE の物理的保護の特定の側面のみを扱っています。 c) GB/T 18336 は、評価方法にも、統治機関によるこの規格の使用のための管理および法的枠組みにも焦点を当てていません。 そのような枠組みと方法論。 d) 製品またはシステムの承認に使用される評価結果の手順は、GB/T 18336 の範囲に属しません。 製品またはシステムの認証は、IT 製品またはシステムの使用が許可される管理プロセスです。 動作環境全体。 この評価は、製品またはシステムの IT セキュリティ部分、および IT ユニットの安全な使用に直接影響を与えるオペレーティング環境に焦点を当てます。 したがって、評価結果は認定プロセスへの重要な入力となります。 ただし、IT 以外のシステムや製品のセキュリティ機能、および IT セキュリティとの関係を評価するには他のテクノロジーの方が適しているため、認定機関はこれらの状況に応じて別の条項を策定する必要があります。 e) GB/T 18336 には、固有の品質に関連する暗号アルゴリズムの標準条項の評価は含まれていません。 TOE に組み込まれた暗号アルゴリズムの数学的特性の独立した評価が必要な場合、GB/T 18336 を使用した評価システムで関連する評価のために特別な規定を設ける必要があります。 この規格は、IT セキュリティ機能と保証要件を表現するための 2 つの構造を定義します。 その中で、保護プロファイル (PP) を使用すると、いくつかの共通の再利用可能なセキュリティ要件のセットを作成できます。 PP は、対象顧客がニーズを満たす製品とその IT セキュリティ機能を指定および識別するために使用できます。 セキュリティ目標 (ST) は、セキュリティ要件を記述し、評価対象の製品またはシステムのセキュリティ機能を指定するために使用されます。 これらの製品は通常、評価対象 (TOE) と呼ばれます。 ST は、GB/T 18336 の指導の下で評価活動を実施するための手法として評価者によって使用されます。
GB/T 18336.1-2008 発売履歴
- 2015 GB/T 18336.1-2015 情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル
- 2008 GB/T 18336.1-2008 情報技術、セキュリティ技術、情報技術セキュリティ評価基準、パート 1: 概要と一般モデル
- 2001 GB/T 18336.1-2001 情報技術セキュリティ技術 情報技術セキュリティ評価基準 第 1 部: 概要と一般モデル
