信息安全新国标26款,先紧着这些看
2020年4月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第8号),全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》等26项国家标准正式发布。其中包括了备受关注的GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》。该批标准将于2020年11月1日正式实施。
本文选取了此次发布的26项国家标准中与网络安全等级保护、网络安全事件应急演练、远程人脸识别、智慧城市建设信息安全、汽车电子系统网络安全、信息安全产品类别与代码相关的6个标准进行内容提炼与简评,其中部分标准涉及对原有版本的修改,本文也将进行提示。
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
2019年随着网络安全等级保护的四个重要标准,即5月份发布的网络安全等级保护的“基本要求”、“测评要求”和“安全设计技术标准”,以及8月份发布的网络安全等级保护实施指南”的发布,网络安全等级保护正式从信息安全等级保护进入到网络安全等级保护的2.0时代,本次发布的《网络安全等级保护定级指南》可谓是网络安全等级保护2.0的重要基础性文件,主要阐述了网络安全等级保护定级原理和流程、确定定级对象、确定安全保护定级及等级变更。
新版指南中,网络安全等级保护的对象除了信息系统外,扩充到通信网络设施和数据资源。对于通信网络设施宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级,当安全责任主体不同时,大数据应独立定级。
根据网络安全保护对象的重要程度以及对国家安全、社会秩序、公共利益和其他公民、法人和组织的合法权益的侵害程度共分为五级,这等保1.0时代并无二致。对于特定的定级对象,例如通信网络设施或云计算平台/系统,需根据其承载或将要承载的等级保护对象的重要程度确定安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。对于数据资源,综合考虑其规模、价值等因素以及遭到破坏后影响确定其安全保护等级,对于涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
GB/T22240-2020 《信息安全技术 网络安全等级保护定级指南》全文阅览,请复制:http://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=63B89FFF7CC97EBBBED8A403396F0F00
GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南
GB/T 25066-2020《信息安全技术 网络安全事件应急演练指南》(下称“标准”)给出了网络安全应急事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。适用范围为指导相关组织(有关政府部门、企事业单位、社会团体相关人员)实施网络安全应急演练活动。标准制定的重要成果如下:
1、为各部门落地实施《网络安全法》提供了指导
根据《网络安全法》第五十三条,国家网信部门与负责关键信息基础设施安全保护工作的部门有义务建立健全应急工作机制,制定网络安全事件应急预案,并定期组织演练。本标准提供了网络安全事件应急演练的具体实施方案,为各部门落地实施《网络安全法》的该条规定提供了指导。
2、明确了网络安全事件的定义
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。
3、有针对性的为相关组织进行应急演练提供了形式指导与参考文本
在附录A,标准通过表格形式横向对照了各演练对象针对不同演练形式的适用范围、演练目的与可套用模板。常用的演练形式包括专项性与综合性两大类,每类有三种形式,分别为桌面推演、实操演练与示范演练,以促进相关人员深入掌握应急预案、培养人员临场应变能力与加强领导层对应急演练的重视程度为目的。附录B提供了应急演练各步骤所需文件的参考范本,附录D相应模拟了生产系统硬件故障切换备份系统运行的实践案例为各主体提供真实案例的参考。附录C针对常见的网络安全风险类型对照列举了建议开展的演练形式。
GB/T22240-2020 《信息安全技术 网络安全事件应急演练指南》全文阅览,请复制:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=A3606C0AEF3C7874B248F635D3F34702
GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求
GB/T 38671-2020《信息安全技术 远程人脸识别系统技术要求》由公安部第一研究所牵头编制,对远程人脸识别系统做出了明确的定义,即远程人脸识别系统由客户端、服务器端、安全传输通道组成,系统由客户端实现人脸的采集、经安全传输通道、在服务器端远程进行比对。
标准对远程人脸识别系统的功能、性能、安全功能和安全保障按照基本级、增强级分别提出了分等级的技术要求。以人脸图像采集与处理的功能要求为例,基本级和增强级都要求人脸图像采集与处理应具备防止采集过程中个人信息等数据被泄露以及采集后应清除残留信息的功能。但相较于基本级,增加级还明确规定人脸图像采集与处理须具备采集前客户端、服务器端应进行双向鉴别;采集活动应由授权模块发起,并确保采集数据的真实性;应对采集到的数据进行完整性一致性校验;应跟踪和记录数据采集过程,支持人脸采集数据的可追溯性;采集设备应具备数据鉴别能力,保证原始人脸数据的真实性等功能要求。
标准适用于远程人脸识别系统产品的研制、测试和管理,是全国首个使用人脸识别技术进行身份鉴别的网络安全国家标准。从满足个人信息安全保护与信息安全总体要求出发,充分考虑当前人脸识别系统创新发展需求、用户接受度和技术成熟度现状,结合我国当前的信息安全技术发展水平,深入分析国外标准化组织制定的生物特征识别相关技术标准内容,使得利用人脸识别系统进行身份验证有标准可循。
GB/T 38671-2020《信息安全技术 远程人脸识别系统技术要求》全文阅览,请复制:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=C84D5EA6AC99608C8B9EE8522050B094
GB/Z 38649-2020 信息安全技术 智慧城市建设信息安全保障指南
GB/Z 38649-2020 信息安全技术 智慧城市建设信息安全保障指南》(以下简称“《指南》”)划分了智慧城市建设的主要角色及其安全保障责任:
1) 智慧城市建设主管部门:智慧城市建设和发展的规划和监管,协调、指导智慧城市建设信息安全保障工作。
2) 智慧城市规划设计咨询机构:前期规划设计与跟踪咨询服务。
3) 智慧城市建设者:负责智慧城市建设,保证智慧城市建设过程符合安全保障要求。
4) 智慧城市服务提供者:保证智慧城市产品和服务符合安全保障要求
5) 智慧城市运营者:保障智慧城市安全,由信息安全专业人员承担智慧城市运营安全保障岗位。
6) 第三方安全评估机构:对智慧城市建设安全开展独立的评估。
7) 智慧城市服务使用者:合理使用或应用智慧城市产品和服务并自觉接受安全培训,以及向智慧城市运营者反馈合理的需求诉求。
针对智慧城市的特征,《指南》从信息安全管理和技术保障等视角,提供了智慧城市建设全过程的信息安全保障指导,包括智慧城市建设从规划与需求分析、设计、实施施工、检测验收、运营维护、监督检查与评估到优化与持续改进的全过程信息安全保障的管理机制与技术规范。
《指南》有助于信息安全主管部门为智慧城市建设相关单位明确智慧城市建设全生命周期各阶段的信息安全保障要求与责仼提供指导,以保障智慧城市建设主体各方的权益,增强抵御风险和自主可控的能力,同时可为智慧城市管理、工程技术及第三方服务等相关人员提供管理和技术参考。
GB/T 25066-2020 《信息安全技术 智慧城市建设信息安全保障指南》全文阅览,请复制:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=08B99D14A3A6C15BA68A4FA854508192
GB/T 25066-2020 信息安全技术 信息安全产品类别与代码
GB/T 25066-2020《信息安全技术 信息安全产品类别与代码》( “新版《信息安全产品类别与代码》”)规定了信息安全产品的主要类别与代码,适用于国家信息安全管理部门对信息安全产品(不包括涉密信息系统产品和仅提供密码算法运算的商用密码产品)进行分类管理,并可指导信息安全产品研制厂商的产品化工作和用户单位在信息安全建设时的规划。
新版《信息安全产品类别与代码》相对于其所代替的GB/T 25066-2010《信息安全技术 信息安全产品类别与代码》,主要变化如下:
1. 为便于标准行文表述的简明便捷,避免误解,在第4章增加了缩略语;
2. 基于部分产品内涵发生变化,新领域的产品类型不断涌现及对接现行相关法律法规、标准等因素,修改了第5章的信息安全类别与代码表及附录A中的信息安全产品分类描述,详细列出了修订后的产品类别目录及其对应代码并给出了对每一类别产品的规范性描述;
3. 增加了附录B描述信息安全产品分类可具有适用领域属性的情况。
新版《信息安全产品类别与代码》在内容和结构上趋于完整和系统化,更为适应国内信息安全产品的发展需求,并将成为配合《网络安全法》等相关法律规定落地及监管部门的监管需求的重要支撑。
GB/T 25066-2020 《信息安全技术 信息安全产品类别与代码》全文阅览,请复制:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=543C7A37A8AE2FE23F4DE3FAD6E4260E
GB/T 38628-2020 信息安全技术 汽车电子系统网络安全指南
国家标准GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》(“汽车电子系统网络安全指南”)是我国汽车领域的第一个信息安全国家标准。
《汽车电子系统网络安全指南》一定程度上承袭了美国的SAE(国际自动机工程师学会/汽车工程师学会)2016年1月推出的针对汽车电子网络安全生命周期方面的指导手册J3061(Cybersecurity Guidebook for Cyber-Physical Vehicle Systems)的主要框架。值得一提的是,国际标准ISO 21434《道路车辆:信息安全》目前仍没有发布。
此标准从网络安全的角度,重点介绍了汽车电子系统生命周期各阶段开展的安全活动,包括概念设计、产品开发、安全测试以及产品生产、运行和运营阶段。为开发具有网络安全要求的汽车电子产品提供统一的规范,为汽车电子的产业链环节提供基于标准的活动指南。《汽车电子系统网络安全指南》概要简介如下:
1. 《汽车电子系统网络安全指南》主体共有四个部分:汽车电子系统网络安全过程框架,以及框架内三个重要阶段:网络安全管理、全生命周期的网络安全过程、辅助支持过程。
2. 网络安全的综合管理包括:建立组织机构、网络安全文化、建立沟通平台、培训和指导;各阶段包括:网络安全过程启动、网络安全评估、网络安全审查。
3. 汽车电子系统安全生命周期可具体化为概念设计阶段、系统层面的产品开发阶段、硬件层面的产品开发阶段、软件层面的产品开发阶段、产品生产、运行和服务阶段,每个阶段都包含一定的安全措施和步骤,规范整个流程。这里值得注意的是,在电子系统安全生命周期中,本《汽车电子系统网络安全标准》中,将产品生产、运行和服务阶段作为电子系统网络安全生命周期活动一部分,就现场监控、事件响应及事件追踪管理提出要求,但是未在网络安全综合管理部分提及汽车电子系统的运维安全管理。
4. 汽车电子系统网络安全辅助支持活动主要包括配置管理(配置环境、工具、版本、审计等)、需求管理(确保需求符合系统特征和属性,保证一致性)、变更管理(分析和控制系统或产品在生命周期中的变化情况)、文档管理(有效的文档管理策略)、供应链管理(评估和选择供应商,签订《开发交付协议》)等。
5. 根据《汽车电子系统网络安全指南》,就汽车电子系统内部分层次网络结构,如车辆内部网络中所有的ECU、传感器和执行器;车载网关、连接车辆与其外部环境的各种车载接入设备等场景易发的典型网络安全风险做出介绍,并提出相应解决方案。
GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》全文阅览,请复制:http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=59F8899E944C9ED52288FE5E0146C621
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
电商系列
电商系列(一) | 电商平台信用评价制度实务问题探究上周回顾
周一全球数据保护资讯 |工信部:加强移动物联网安全防护和数据保护防疫APP收集使用个人信息的必要原则遵循
周二
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~