信息安全、网络安全和隐私保护.IT安全评估标准.ISOIEC 15408系列和ISOIEC 18045的补丁管理扩展标准立项发展报告.docxVIP

*

ISO/IECTS9569:2023信息技术安全技术补丁管理扩展标准立项发展报告

英文标题

StandardizationDevelopmentReport:Informationsecurity,cybersecurityandprivacyprotection-EvaluationcriteriaforITsecurity-PatchManagementExtensionfortheISO/IEC15408seriesandISO/IEC18045

摘要

随着网络攻击手段的持续演化和高危害性漏洞的频繁披露，软件和固件的安全漏洞修补已成为保障信息系统安全运行的关键环节。传统的IT安全评估标准，如ISO/IEC15408（通用准则，CC）系列和ISO/IEC18045（通用评估方法论，CEM），在评估产品的安全性时，未能充分考虑到产品生命周期中持续进行的补丁管理活动，导致产品获证后的安全状态难以有效维持和验证。为应对这一挑战，国际标准化组织/国际电工委员会（ISO/IEC）第一联合技术委员会/第27分委员会（JTC1/SC27）发布了技术规范ISO/IECTS9569:2023。本报告旨在系统阐述该标准立项的背景、核心内容、技术路线及应用价值。

报告首先分析了全球网络安全态势及补丁管理作为安全基石的现实困