【英语版】国际标准 ISO/IEC 15408-3:1999 EN 信息技术 安全技术 信息技术安全评估标准 第3部分：安全保证要求 Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance requirements.pdf

ISO/IEC15408-3:1999是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的信息技术（IT）安全技术标准。该标准被广泛用于评估IT系统的安全性，其第3部分：安全保证要求（ISO/IEC15408-3:1999EN）提供了IT系统安全性的评估标准。

安全保证要求部分涵盖了以下几个关键主题：

1.**身份和访问管理**：包括了对身份验证、授权和访问控制的要求，以确保只有经过授权的用户可以访问和操作系统。

2.**数据保密性**：要求系统必须采取适当的安全措施来保护数据的机密性，防止未经授权的访问和泄露。

3.**数据完整性**：要求系统必须能够防止数据被篡改或破坏，确保数据的真实性和准确性。

4.**可用性**：要求系统必须能够持续地提供服务，并在需要时能够快速恢复。

5.**安全审计和日志管理**：要求系统必须能够记录和审计所有重要的安全事件，以便进行事后分析和审计。

6.**安全控制**：要求系统必须实施适当的安全控制措施，如加密、防火墙、入侵检测等，以确保系统的安全性。

该标准还规定了其他一些要求，如安全策略、安全培训、安全漏洞管理等。这些要求旨在确保IT系统在整个生命周期内都能够满足安全性的要求，从而保护用户的数据和隐私。

ISO/IEC15408-3:1999EN为评估IT系统的安全性提供了详细的评估标准，这些标准对于确保信息系统的安全性和可靠性至关重要。