【英语版】国际标准 ISO/IEC TR 15443-2:2012 EN 信息技术——安全技术——安全保证框架——第2部分：分析 Information technology -- Security techniques -- Security assurance framework -- Part 2: Analysis.pdf

ISO/IECTR15443-2:2012ENInformationtechnology--Securitytechniques--Securityassuranceframework--Part2:Analysis是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的技术报告标准（TechnicalReportStandards，简称TR）的一部分。该标准详细描述了信息技术（InformationTechnology，IT）的安全技术中的安全保证框架（SecurityAssuranceFramework，SAF）。该标准是针对信息安全领域的一个重要组成部分，旨在提供一套通用的、可重复使用的、用于评估和验证信息安全系统安全性的方法。

该标准分为两部分：Part1:General（一般）和Part2:Analysis（分析）。Part2主要关注安全保证框架的分析部分，提供了对信息安全系统进行安全评估的详细指南和方法。

该标准提供了以下关键概念和术语：

*安全保证：是指确保信息系统的安全性和机密性，以及防止未经授权的访问、篡改和破坏的能力。

*安全保证框架：是一个由一系列原则、指南、最佳实践和方法组成的框架，用于指导对信息安全系统的设计和实施，以确保其符合安全要求和标准。

*安全评估：是对信息安全系统进行全面的风险评估和符合性检查，以确定其是否符合相关的安全标准和要求。

*安全分析：是对信息安全系统进行深入的、基于证据的分析，以确定其潜在的安全风险和弱点，并提供相应的建议和改进措施。

该标准提供了以下关键步骤和建议，用于安全分析：

1.确定分析目标和范围：明确分析的目的和所需的信息，并确定分析的范围和限制。

2.收集和分析信息：收集与信息安全系统相关的各种信息，包括系统描述、安全要求、威胁建模、漏洞评估等，并对这些信息进行分析和评估。

3.风险评估：对信息安全系统的潜在风险进行评估，包括安全漏洞、威胁、脆弱性等，并确定这些风险对系统的影响和严重性。

4.符合性检查：检查信息安全系统是否符合相关的安全标准和要求，包括合规性、安全政策和最佳实践等。

5.建议和改进措施：基于安全分析和风险评估的结果，提供相应的建议和改进措施，以提高信息安全系统的安全性和可靠性。

ISO/IECTR15443-2:2012ENInformationtechnology--Securitytechniques--Securityassuranceframework--Part2:Analysis是一份非常重要的标准，为信息安全领域的专业人员提供了重要的工具和方法，用于评估和验证信息安全系统的安全性。