标准摘要
[中文适用范围]: 1.1 目的 ISO/IEC TR 15443 的这一部分提供了一系列保证方法,包括那些并非 ICT 安全所独有的方法,只要它们有助于整体 ICT 安全即可。 它概述了它们的目标,并描述了它们的特征、参考和标准化方面。 原则上,由此产生的ICT安全保证是对产品、系统或服务运行的保证。 因此,所得保证是在其生命周期阶段应用于产品、系统或服务的每种保证方法所获得的保证增量的总和。 大量可用的保证方法使得有必要就将哪种方法应用于给定的 ICT 领域以获得公认的保证提供指导。 ISO/IEC TR 15443 本部分中介绍的集合中的每个项目均使用 ISO/IEC TR 15443-1 中开发的基本保证概念和术语以概述方式进行分类。 ISO/IEC TR 15443 的这一部分使用这种分类来指导 ICT 专业人员选择和可能的组合,以适应给定的 ICT 安全产品、系统或服务及其特定环境。1.2 应用领域 ISO/IEC TR 15443 的这一部分以总结和概述的方式提供指导。 通过排除不适当的方法,从所提供的集合中获得一组减少的适用方法以供选择是合适的。 摘要信息丰富,可提供基础知识,以促进对分析的理解,而无需源标准。 ISO/IEC TR 15443 本部分的预期用户包括以下人员: 1. 收单方(从供应商处获取或采购系统、软件产品或软件服务的个人或组织); 2. 评估者(进行评估的个人或组织;评估者可以是测试实验室、软件开发组织的质量部门、政府组织或用户); 3、开发者(在软件生命周期过程中进行需求分析、设计、测试直至验收等开发活动的个人或组织); 4. 维护者(进行维护活动的个人或组织); 5、供应商(按照合同条款与需方签订供应系统、软件产品或者软件服务合同的个人或者组织)在资格测试中验证软件质量时; 6、用户(使用软件产品执行特定功能的个人或组织)在验收测试中评价软件产品的质量时; 7. 在资格测试中评估软件质量时的安全官员或部门(对软件产品或软件服务进行系统检查的个人或组织)。1.3 限制 ISO/IEC TR 15443 的这一部分仅以概述方式提供指导。 ISO/IEC TR 15443-3 提供了细化此选择的指南,以更好地解决保证要求,从而能够审查其可比较和协同属性。 支持保证方法验证的监管基础设施和执行验证的人员不属于 ISO/IEC TR 15443 本部分的范围。 [外文原描述]: ISO/IEC TR 15443-2:2005 describes a variety of IT security assurance methods and approaches and relates them to the IT security assurance framework in ISO/IEC TR 15443-1. The emphasis is to identify qualitative properties of the assurance methods and elements that contribute to assurance, and where possible, to define assurance ratings. This material is intended for IT security professionals for the understanding of how to obtain assurance in a given life-cycle stage of a product or service. The objective is to describe and categorize assurance methods and approaches in a manner enabling a review of their comparable and synergetic properties. This will facilitate selection of the appropriate assurance method or and possible combination of assurance methods for a given IT security product, system, or service and its specific environment.
英文名称Information technology - Security techniques - A framework for IT security assurance - Part 2: Assurance methods