【英语版】国际标准 ISO/IEC 15408-2:1999 EN Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional requirements 信息技术 安全技术 信息技术安全评估标准 第2部分：安全功能要求.pdf

ISO/IEC15408-2:1999是一个国际标准，用于信息技术（IT）安全技术的评估标准。该标准规定了IT安全系统的安全功能要求。下面是对该标准的详细解释：

一、背景和目标

ISO/IEC15408系列标准旨在为IT安全系统的设计和实施提供一套通用的安全功能要求。这些标准提供了评估IT安全系统性能的准则，旨在确保系统在面临各种安全威胁时能够提供足够的安全保护。

二、组成部分

ISO/IEC15408-2:1999是该系列标准的一部分，专门关注安全功能要求。该标准包括一系列关键的安全功能要求，包括：

1.安全策略与管理：包括确保组织的安全政策和战略的制定、实施、监督和更新。

2.安全技术和实施：描述了确保安全所需的适当技术和措施，例如访问控制、数据加密、入侵检测等。

3.身份和访问管理：涉及识别和验证用户、系统和外部实体，以及授权和监控访问的过程。

4.数据完整性保护：包括确保数据在传输和处理过程中不被篡改或损坏的措施。

5.应急响应：描述了针对潜在安全威胁和事故的应对计划和措施。

三、功能分解

这些安全功能要求被进一步分解为一系列具体的安全要求和指导原则，包括：

1.安全性级别：定义了不同级别的安全性要求，以满足组织在不同安全需求下的要求。

2.安全风险评估：用于识别和评估潜在的安全威胁和弱点，以便采取适当的措施进行缓解。

3.安全审计与监控：强调了对安全系统和活动进行定期审计和监控的重要性，以确保合规性和安全性。

四、评估方法

ISO/IEC15408-2:1999提供了评估IT安全系统性能的方法和指南，包括评估流程、评估指标和评估工具等。这些方法旨在确保系统满足所有安全功能要求，并能够应对各种安全威胁。

五、与其他标准的关联性

ISO/IEC15408系列标准与其他相关安全标准（如ISO/IEC27001信息安全管理体系标准）相辅相成，提供了更全面和系统的安全框架。这些标准有助于组织确保其IT基础设施和应用程序在面临各种安全威胁时能够提供足够的安全保护。

总结来说，ISO/IEC15408-2:1999标准提供了对IT安全系统的安全功能要求进行评估的准则，包括安全策略与管理、安全技术和实施、身份和访问管理、数据完整性保护以及应急响应等方面。这些要求旨在确保系统能够应对各种安全威胁并提供足够的安全保护。