GB/T 18336.3-2001：信息技术安全评估保障要求详解

GB/T 18336.3 2001是中国国家标准，全称为《信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求》。该标准由国家质量技术监督局发布，旨在规定和指导信息技术系统及其产品的安全性评估过程中的安全保证要求。标准的制定是基于国际标准化组织（ISO）和国际电工委员会（IEC）的全球标准化体系，这些国际组织鼓励各国通过相关技术委员会参与并制定国际标准。 标准的主要内容分为三个部分： 1. 简介和一般模型：这部分提供了评估过程的背景和通用框架，可能包括评估方法、流程和术语定义。 2. 安全功能要求：这部分明确了系统或产品在实现安全方面应具备的基本功能，如访问控制、数据加密、完整性保护等。 3. 安全保证要求：这是核心内容，着重于系统的安全管理体系，包括安全策略、风险评估、安全审计、灾难恢复计划等方面的要求，确保系统能够在实际应用中达到预定的安全目标。 标准的编写团队包括多个机构和专家，如中国国家信息安全测评认证中心、信息产业部电子第研究所、国家信息中心、复旦大学等，反映了跨学科的专业合作。此外，标准的制定遵循ISO导则第X部分的原则，并强调了通用准则项目的参与，该通用准则项目与信息技术安全性评估密切相关。 值得注意的是，该标准还涉及到版权问题，通用准则发起组织（由七个政府组织组成）作为共同版权所有者，允许非排他性地在国际标准开发过程中使用，但保留对标准文本的复制、分发和修改的权利。这意味着在引用或使用GB/T 18336.3 2001时，必须遵守版权规定，并尊重发起组织的权益。 GB/T 18336.3 2001为中国的信息安全评估提供了重要的规范，对于企业和组织确保其信息技术系统的安全性具有指导意义。它强调了安全保证的规范化和系统化管理，对于提升国家整体的信息安全保障水平具有重要意义。