【英语版】国际标准 ISO/IEC 15408-1:2009 EN 信息技术 安全技术 信息技术安全评估标准 第1部分：导言和一般模型 Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model.pdf

ISO/IEC15408-1:2009信息安全管理-信息技术安全技术-信息安全评估准则-第1部分：总述和通用模型（ISO/IEC15408-1:2009ENInformationtechnology—Securitytechniques—EvaluationcriteriaforITsecurity—Part1:Introductionandgeneralmodel）是一个国际标准，它为信息技术安全评估提供了一个通用框架和准则。该标准旨在帮助组织理解并管理其信息系统的安全风险，以确保信息的保密性、完整性和可用性。

该标准包含以下主要部分：

1.引言：这部分概述了标准的目的、范围和基本概念，如信息安全、风险、威胁等。

2.通用模型：这部分描述了一个通用的信息安全评估框架，包括安全目标、安全评估、安全控制和安全保障等步骤。

在安全评估步骤中，标准提供了以下关键要素的评估准则：

*物理和环境安全：评估物理和环境设施的安全措施，以确保信息设备和数据的安全。

*访问控制：评估用户和访问者的身份验证和授权机制，以确保只有授权人员能够访问信息。

*通信和数据处理安全：评估通信和数据处理过程的加密、认证和完整性保护措施。

*安全记录和管理：评估安全记录的保存、访问和管理的规定，以确保安全措施的可追溯性和可审计性。

标准还提供了评估信息安全控制的通用准则，包括安全原则、风险分析、符合性评估等。这些准则有助于组织根据标准的要求评估其信息系统的安全状况，并采取相应的控制措施来减轻安全风险。

ISO/IEC15408-1:2009标准为组织提供了信息安全评估的通用框架和准则，帮助组织理解并管理其信息系统的安全风险，确保信息的保密性、完整性和可用性。