B.2 信息系統安全目標內容

B.2.1　內容和形式

信息系統安全目標同信息技術安全保障目標略有不同，它是信息技術安全性評估準則安全保障要求在信息系統中的擴展。
信息系統安全目標應滿足本附錄內容的要求。信息系統安全目標應是一個面向用戶使用的文檔，它應盡量少地引用用戶無易得到的材料。必要時，應單獨提供符合性聲明。
圖B.1描述了信息系統安全目標的內容，應按其建立信息系統安全目標文檔大綱。
需要指出的是，當將信息系統安全技術保障架構、信息系統安全工程保障和信息系統安全管理保障作為評估對象時，信息系統安全目標中信息系統保護輪廓中可只出現對應的安全保障要求子項（例如：如將信息系統安全技術保障架構作為評估對象，那么在信息系統保護輪廓部分可只包含信息系統安全技術保障要求）。

B.2.2　ISST引言

信息系統安全目標引言將包括文檔管理和概述信息，如下所述：
a) ISST標識：應提供必要的標記和描述信息，以控制和標識ISST和它所指的TOE；
b) ISST概述：以敘述形式概述ISST。概述應有足夠的細節提供給TOE的潛在用戶，以便他們決定對該TOE是否有興趣。概述也可作為一個單獨的摘要，包含在已評估產品一覽表中；
c) 符合性聲明：應說明TOE與信息系統安全性準則任何可評估的一致性聲明。

B.2.3　TOE描述

信息系統安全目標的的這部分應描述評估對象，以幫助了解它的安全保障要求，并對所評估的信息系統所詳細完整地說明。在信息系統安全保障評估框架中，評估對象是信息系統整體或信息系統技術、工程和管理領域。無論是信息系統整體還是信息系統某一領域，在評估對象描述中都必須先給出整個系統完整的描述，然后再對確切的評估對象作進一步描述。
評估對象描述提供了用于評估的上下文。在評估對象描述中給出的信息將用于在評估過程中識別不一致的地方。
在信息系統安全目標中，必須詳盡完整地給出信息系統的描述，整個信息系統描述主要包括三個大類：信息系統使命，信息系統概述和信息系統詳細描述。

B.2.3.1　信息系統使命描述

信息系統的使命，即從目的和意義對信息系統進行高層描述，它是信息系統根本和本質的要求。通常，信息系統使命描述了信息系統的高層要求。

B.2.3.2　信息系統概述

信息系統概述：對所要評估的信息系統進行概括性說明和描述。
a) 信息系統標識：應給出系統的正式名稱和標識。系統標識包括其名稱、所屬的組織機構及其地點和包含最終用戶的組織機構及其地點等相關信息；
b) 信息系統環境描述：描述的運行環境以及系統開發、集成和維護的環境；
c) 信息系統評估邊界和接口描述：描述所要評估系統的邊界和相應的外部接口，此描述必須用圖表或文字清晰地描述和界定所要評估的系統部件和邊界；
d) 信息系統安全域描述：根據系統的關鍵性（描述系統的關鍵性以及系統的可接受的風險級別）、數據的分類和密級（描述系統所處理的數據類型和機密級別）和系統用戶（描述使用系統的用戶描述）等方面劃分系統的安全域。

B.2.3.3　信息系統詳細描述

信息系統詳細描述：此部分從管理體系、技術體系和業務體系分別對信息系統進行詳細描述。
a) 管理體系：在管理體系中，需要對信息系統現有的管理組織結構、所使用的相應規章制度和所涉及的重要資產進行描述：
1) 組織機構描述：描述同信息系統相關的管理/使用/開發/集成/支持組織機構的描述，特別是相關安全管理保障的組織機構的描述；
2) 管理制度、法規描述：列出同信息系統管理相關的目前使用的相應規章制度和相關法規；
3) 資產描述：描述了信息系統的物理資產（指信息系統中的各種硬件、軟件和物理設施）和信息資產（指在信息系統計劃組織、開發采購、實施交付、運行維護和廢棄這一信息系統系統生命周期過程中產生的同信息系統系統本身相關的有價值的信息以及信息系統系統所存儲、處理和傳輸的各種相關的辦公、管理和業務等信息）。
b) 技術體系：技術體系是信息系統描述的基礎，需要對現有的各種應用、相應的網絡基礎設施和所使用的技術標準進行描述，這些描述將幫助了解用戶的信息系統并為進一步描述業務系統提供基礎和支持：
1) 基礎設施描述：描述了系統的網絡層次等網絡體系結構說明；
2) 應用描述：描述用戶信息系統的各種應用說明；
3) 技術標準描述：列出相關技術應用等所適用的技術標準。
c) 業務體系：業務體系從業務角度和應用角度出發，基于技術體系，對組織機構的主要業務應用進行分類和描述，并通過業務流程和業務信息流來進一步解釋：
1) 業務應用描述：列出組織機構的主要業務應用并進行描述；
2) 流程描述：基于組織機構的管理結構等，描述業務的流程；
3) 信息流描述：描述主要業務應用的接口和相應數據流，數據流描述應包括數據的類型以及數據傳送的一般方式。

B.2.4　TOE安全環境

TOE安全環境的陳述應描述TOE意圖所處的應用環境和TOE期望的使用方式中的安全問題。該陳述包括以下幾點：
a) 假設的描述應描述TOE將在或擬在使用的環境的安全問題，它將包括以下兩點：
1) 關于TOE預期使用方式的信息，如：預期的應用、潛在的資產價值、可能的使用限制；
2) 有關TOE使用環境的信息，如：在物理的、人員的和連通性方面；
b) 威脅的描述將描述對資產的所有威脅，這些資產是在TOE或其環境內需要特定保護的。值得注意的是，并非所有的在環境中可能遇到的威脅都必須列出，只有那些與TOE的安全運行相關的威脅才需要列出。威脅應通過已確定的威脅主體、攻擊和作為攻擊對象的資產進行描述。威脅主體應通過注入專門技術、可用資源和動機等來描述。攻擊應通過諸如攻擊方法、可利用的脆弱性和時機等來描述。如果安全保障目的僅僅來源于組織性安全策略和假設，可以省略對威脅的描述；
c) 組織安全策略的描述應確定TOE必須遵守的所有組織安全策略陳述或規則，必要時還應加以說明。如果使用某個策略來建立清晰地安全保障目的，就必須對策略陳述進行說明和解釋。如果安全保障目的僅僅來自威脅和假設，可以略去組織安全策略。

B.2.5　安全保障目的

安全保障目的的陳述定義TOE及其環境的安全保障目的。安全保障目的應涉及已確定安全環境的所有方面。安全保障目的應反映被陳述的意圖，并應適于對抗所有已知的組織安全策略和假設。應指明一下兩類安全保障目的。（注意：當威脅或組織安全策略部分被TOE所覆蓋并部分被它的環境所覆蓋，那么相關的目的應在每一個種類中重復。）
a) 應明確說明TOE安全保障目的，并且可追溯到TOE所對抗的已知威脅或TOE可滿足組織的安全策略；
b) 應明確說明環境安全保障目的，并且可追溯到已知的TOE無法完全對抗的威脅或TOE無法完全滿足的組織安全策略及假設。
注意環境安全保障目的可以是全部或部分的TOE安全環境陳述的假設部分的重述。

B.2.6　安全保障要求

這部分定義信息系統TOE應滿足的安全保障要求。安全保障要求應按下列方式描述：
a) 安全保障要求的陳述應定義信息系統的安全技術保障、安全管理保障和安全工程保障領域的要求或綜合這些領域的信息系統整體的安全保障要求。根據評估對象類型的不同，安全保障要求包括以下全部或部分內容：
1) 安全保障要求的陳述應能給出信息系統整體安全保障要求的概要性描述；
2) 信息系統安全技術保障要求的陳述應把評估對象的安全技術保障要求定義為從信息系統安全保障評估框架第2部分：技術保障中提取的安全技術保障控制組件和安全技術架構能力成熟度要求；
3) 信息系統安全管理保障要求的陳述應把評估對象的安全管理保障要求定義為從信息系統安全保障評估框架第3部分：管理保障中提取的安全管理保障控制組件和安全管理能力成熟度要求；
4) 信息系統安全工程保障要求的陳述應把評估對象的安全工程保障要求定義為從信息系統安全保障評估框架第4部分：工程保障中提取的安全工程保障控制組件和安全工程能力成熟度要求。
b) 下列通用條件應同樣適用于TOE及其環境的安全保障要求的表達：
1) 所有信息系統的安全技術保障控制要求都應引用本標準第2部分的安全技術保障控制要求組件，所有信息系統的安全管理保障控制要求都應引用本標準第3部分的安全管理保障控制要求組件，所有信息系統的安全工程保障控制要求都應引用本標準第4部分的安全工程保障控制要求組件。如果對所有或部分安全保障控制要求而言，沒有打算使用本標準第2、3和4部分的安全保障控制組件，ISST應明確說明這些要求沒有引用本標準；
2) 所有信息系統的安全技術架構能力成熟度要求、安全管理能力成熟度要求和安全工程能力成熟度要求都應引用本標準第2、3和4部分中的能力成熟度要求；
3) 任何一個TOE安全保障要求均應準確、無歧義地表達，才能進行一致性評估和論證。現有的信息系統安全保障評估框架的技術、管理和工程要求的詳細程度和表達方式應當作一個典范來使用；
4) 所有安全保障要求之間的依賴關系都應滿足。依賴關系可以通過在TOE安全保障要求內包含相關的要求或對環境提出要求而滿足。

B.2.7　TOE概要規范

TOE概要規范將定義TOE安全保障要求的實現方法，該規范描述符合TOE安全保障要求的TOE安全保障控制要求和能力成熟度要求。
TOE概要規范包括下列內容：
a) 安全保障要求陳述應包含對信息系統保護輪廓的整體描述；
b) 信息系統安全技術保障陳述應包含信息系統安全技術保障控制要求和安全技術架構能力成熟度要求并說明這些要求是如何滿足信息系統保護輪廓的。該陳述將包括一個在技術控制和技術控制要求間的雙向映射，清楚表示哪個控制滿足哪個要求，并表明所有的要求都達到。每一個安全控制至少要滿足一個TOE安全控制要求；
c) 信息系統安全管理保障陳述應包含信息系統安全管理保障控制要求和安全管理能力成熟度要求并說明這些要求是如何滿足信息系統保護輪廓的。該陳述將包括一個在管理控制和管理控制要求間的雙向映射，清楚表示哪個管理控制滿足哪個管理控制要求，并表明所有的要求都達到。每一個安全管理控制至少要滿足一個TOE安全管理保障控制要求；
d) 信息系統安全工程保障陳述應包含信息系統安全工程保障控制要求和安全工程能力成熟度要求并說明這些要求是如何滿足信息系統保護輪廓的。該陳述將包括一個在工程控制和工程控制要求間的雙向映射，清楚表示哪個工程控制滿足哪個工程控制要求，并表明所有的要求都達到。每一個安全工程控制至少要滿足一個TOE安全工程控制要求。

B.2.8　ISPP聲明

ISST可以根據情況做TOE與ISPP（一個或多個ISPP）的一致性聲明。如果作出了任何ISPP一致性聲明，ISST就應包括ISPP聲明陳述，其中包括：解釋、理由和其它支持材料，以證實該聲明。
對TOE目的和要求的ISST陳述，其內容和表達會受TOE的ISPP聲明的影響。通過對每一個所聲明的ISPP考察以下情況后來概括對ISST的影響：
a) 如果沒有ISPP一致性聲明，那么TOE目的和要求的完整表達應按本附錄的規定來完成。也不需要任何ISPP的聲明；
b) 如果ISST的聲明僅符合ISPP的要求，沒有更進一步的限制，那么對ISPP的引用就足以確定和證明TOE目的和要求。重述PP的內容是不必要的；
c) 如果ISST聲明符合ISPP要求，并且對ISPP 要求進一步的限制，那么ISST應表明ISPP對限制的要求已經滿足。例如在ISPP包括不完整操作的情況下，ISST可引用特定的要求，但應在ISST內完成該操作。在某些情況下，完成操作的要求是重要的，此時最好在ISST中重述ISPP的內容，以便描述得更清楚；
d) 盡管ISPP的引用已經足夠充分定義ISPP的目的和要求，如果ISST的聲明不僅與PP的目的和要求一致，而且還通過增添目的和要求來擴展ISPP，那么ISST應定義這些增添的內容。在某些情況下，增添是重要的，此時最好在ISST中重述ISPP的內容，以便描述得更清楚；
e) 信息系統安全保障評估框架不允許ISST聲明與ISPP部分一致。
信息系統安全保障評估框架并不規定是重述還是引用ISPP的目的和要求。對ISST內容的基本的要求是必須完備、清楚、無歧義，這樣ISST的評估才是可能的，ISST是TOE 評估可接受的基礎，并且應能清楚地追溯到所有所聲明的ISPP。
要作出任何一個ISPP一致性聲明，該聲明應包括以下內容的陳述：
a) ISPP引用的陳述應指出與哪個ISPP一致，并包括任何與此相關的詳細內容。一個有效的聲明意味著TOE滿足該ISPP所有的要求；
b) ISPP裁減的陳述應指出那些滿足ISPP操作的信息系統保護輪廓，否則對ISPP要求進一步限制；
c) ISPP附加項的陳述應指出那些作為ISPP目的和要求增添的TOE目的和要求。
符合性聲明
這部分提出用于ISST評估的依據。這些依據將支持：ISST是一個完整的、緊密結合的要求集合，滿足該ISST的TOE應在安全環境內提供一組有效的信息系統安全模型，并且TOE概要規范已經說明這些要求。符合性聲明應包括以下內容：
a) 安全保障目的符合性聲明應闡明安全保障目的可追溯到在TOE安全環境里指明的所有方面，并且能覆蓋所有的這些方面；
b) 安全保障要求符合性聲明應闡明系列安全保障要求（TOE和環境）是適合于滿足，并可追溯到安全保障目的。應闡明以下幾點：
1) 將TOE及其信息系統安全環境的技術、管理和工程要求相組合，能滿足所述的安全保障目的；
2) 該組安全保障要求一起構成一個互相支持且內在一致的整體；
3) 安全保障要求的選擇應說明理由，所有下列情況都應當專門說明：
——選擇信息系統安全保障評估框架第2、3和4部分中沒有的要求；
——不滿足依賴關系；
c) TOE概述規范符合性聲明應說明TOE安全技術保障、管理和工程將適合于滿足TOE安全保障要求；
d) 信息系統保護輪廓符合性聲明的陳述應解釋ISST信息系統安全保障目的與所有聲明一致的ISPP之間的區別。如果沒有ISPP符合性聲明或者ISST安全保障目的和要求與任何聲明的ISPP是等同的，這部分可以忽略。
這部分材料可能篇幅太大，不一定對所有ISST用戶都適合和有用，因此可以單獨發行。