查看原文
其他

安全域盘点 | 2023年上半年国内网络安全领域重要标准








近年来,全国信安标委、各行业标准委陆续发布了多项网络安全相关标准,指引着各行业网络安全建设工作有序开展。为全面了解近期标准建设情况,数据安全域整理了2023上半年我国发布的重要网络安全标准,供大家参考。

1. 1月17日,人社部发布《数据安全工程技术人员国家职业标准》和《密码工程技术人员国家职业标准》

两项标准按照《国家职业标准编制技术规程 (专业技术类)》 有关要求,分别对数据安全工程从业者、密码工程技术从业人员的专业活动内容进行规范细致描述, 明确了各等级专业技术人员的工作领域、工作内容以及知识水平、专业能力和实践要求。

2. 2月7日,证监会发布《证券期货业信息系统渗透测试指南》

本标准提供了在证券期货业信息系统建设过程中开展渗透测试的整体流程,同时提供了在渗透测试策划、渗透测试设计、渗透测试执行、渗透测试总结、渗透测试风险管理等环节如何保障测试质量、控制安全风险的操作指南。

3. 3月17日,全国信息安全标准化技术委员会发布《信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》

本标准规定了采用基于非对称技术的数字签名的实体鉴别机制,主要给出了两类机制,第一类共五种机制不引入在线可信第三方,第二类共五种机制引入在线可信第三方。在这两类机制中,分别各有两种机制实现单向鉴别,各有三种机制实现双向鉴别。

4. 3月17日,全国信息安全标准化技术委员会发布《信息技术 安全技术 带附录的数字签名 第1部分:概述》

本标准规范了一系列的任意消息长度的带附录的数字签名机制,包含了一系列带附录的数字签名的基本原则与要求,同时也包括了该系列标准的所有部分都用到的定义与符号。

5. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》

本标准给出了信息系统安全保障模型,建立了信息系统安全保障建设和评估的框架,并建立了信息系统安全技术保障、管理保障和工程保障建设,以及给出了评估要求和内容。

6. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 公钥基础设施 PKI系统安全技术要求》、《信息安全技术 公钥基础设施 PKI系统安全测评方法》

两项标准互为配套,《技术要求》规定了五个等级的PKI系统的技术要求,每个等级的技术要求包括:物理安全、角色与责任、访问控制、密钥管理、轮廓管理、证书管理、配置管理、分发与操作等。而《测评方法》则规定了不同等级PKI系统所需要满足的评估内容。

7. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 IPSec VPN安全接入基本要求与实施指南》

本标准明确了采用IPSec VPN技术实现安全接入的场景,提出了IPSec VPN安全接入应用过程中有关网关、客户端以及安全管理等方面的要求,同时给出了IPSec VPN安全接入的实施过程指导。

8. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 公共域名服务系统安全要求》

本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求,适用于顶级域名服务系统,其他各级域名服务系统、递归域名服务系统的开发和管理,也适用于开展公共域名服务系统的单位使用。

9. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全从业人员能力基本要求》

本标准确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求,适用于党政机关、网络运营者、网络安全教育和科研机构等各类组织对网络安全从业人员的使用、培养、评价、管理等。

10. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 电信领域数据安全指南》

本标准提出了电信领域大数据分类分级方法,基于电信领域大数据生存周期安全和通用安全从管理和技术两方面给出了防护指南,并针对平台与组件安全给出了实现指南。

11. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全态势感知通用技术要求》

本标准描述了进行网络安全态势感知能力建设的单位应考虑的技术方面的能力要求,可为政府部门、企事业单位等组织机构的网络安全态势感知能力建设提供参考,也适用于第三方机构对网络安全态势感知能力进行检测和评估。

12. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 个人信息去标识化效果评估指南》

本标准提出了个人信息去标识化效果的分级评估方法,包括个人信息去标识化效果评估流程和评估实施,适用于个人信息去标识化活动,也适用于开展个人信息安全管理、监管和评估。

13. 3月17日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全服务成本度量指南》

本标准确立了网络安全服务成本构成,提供了网络安全服务成本度量指南,标准中的网络安全服务成本不包含利润,适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动。

14. 3月17日,全国信息安全标准化技术委员会发布《工业自动化和控制系统信息安全 IACS组件的安全技术要求》

本标准定义了用于工业自动化和控制系统(IACS)组件的信息安全技术要求,包括通用控制系统安全约束、标识和鉴别控制、使用控制、系统完整性、数据保密性、受限的数据流、对事件的及时响应、资源可用性、软件应用要求、嵌入式设备要求、主机设备要求、网络设备要求等内容。

15. 3月17日,全国工业过程测量控制和自动化标准化技术委员会《工业自动化和控制系统信息安全 产品安全开发生命周期要求》发布

本标准定义了一个用于开发和维护安全产品的安全开发生命周期(SDL),包括信息安全管理、信息安全要求规范、安全设计、信息安全实施、信息安全验证和确认测试、管理与安全有关的问题、安全更新管理、信息安全导则等内容。

16、3月22,中国船级社发布《船舶网络安全指南》

为提升船舶网络安全防御能力,结合IACS最新船舶及系统的网络韧性要求(UR E26和UR E27)、IMO的MSC 428(98)决议及海事网络风险管理指南、IEC 有关船舶设备及等标准的最新要求,中国船级社在《船舶网络系统要求及安全评估指南》(2020)指南实施实践的基础上,征求业界反馈意见及建议,对《船舶网络系统要求及安全评估指南》的进行了修订,调整了船舶网络安全进行了分级,细化了船舶及系统的网络安全技术要求及检验验证要求,形成了《船舶网络安全指南》(2023)。指南生效后将替代《船舶网络系统要求及安全评估指南》(2020)。

17、5月1日,《信息安全技术 汽车数据处理安全要求》开始实施

《信息安全技术 汽车数据处理安全要求》规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。标准适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,并用于行业监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。

18、5月1日,《信息安全技术 网络支付服务数据安全要求》开始实施

《信息安全技术 网络支付服务数据安全要求》规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求,有利于贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关法律、法规要求,强化平台企业数据安全责任、保障平台经济安全健康发展。标准适用于网络支付服务提供者规范数据处理活动,并为监管部门、第三方评估机构对网络支付服务数据处理活动进行监督、管理、评估提供参考。

19、5月1日,《信息安全技术 基因识别数据安全要求》开始实施

随着高通量测序技术、生物信息学和生物大数据的快速发展,基因识别技术日趋成熟,且有着广泛的应用前景。但是,由于涉及医疗服务、法庭科学生物样本基因信息的鉴定服务、消费级服务及研究开发等众多场景,基因识别数据存在较高的安全风险。《信息安全技术 基因识别数据安全要求》规定了基因识别数据及关联信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。标准适用于基因识别数据及关联信息的处理者规范数据处理活动,也为监管部门、第三方评估机构对基因识别数据处理活动进行监督、管理、评估提供参考。

20、5月1日,《信息安全技术 声纹识别数据安全要求》开始实施

《信息安全技术 声纹识别数据安全要求》规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求。标准适用于规范数据处理者的声纹识别数据处理行为。

21、5月1日,《信息安全技术 步态识别数据安全要求》开始实施

《信息安全技术 步态识别数据安全要求》规定了步态识别数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安全要求。标准适用于步态识别数据处理者规范数据处理活动,也用于监管部门、第三方评估机构对步态识别数据处理活动进行监督、管理、评估时使用。

22、5月1日,《信息安全技术 人脸识别数据安全要求》开始实施

人脸识别技术在政府、教育、医疗、金融、交通等行业均得到广泛应用,创造了很大的社会价值。但随着未告知行为人的情况下获取人脸识别数据、强制人脸识别等乱象频发,人脸识别数据安全也面临巨大威胁。《信息安全技术 人脸识别数据安全要求》规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。标准适用于数据处理者安全开展人脸识别数据处理活动。

23、5月1日,《信息安全技术 网上购物服务数据安全要求》开始实施

《信息安全技术 网上购物服务数据安全要求》规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。标准适用于网上购物服务提供者规范数据处理活动,也为监管部门、第三方评估机构对网上购物服务数据处理活动进行监督、管理、评估提供参考。

24、5月1日,《信息安全技术 快递物流服务数据安全要求》开始实施

《信息安全技术 快递物流服务数据安全要求》规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。标准适用于快递物流服务提供者规范数据处理活动,也为监管部门、第三方评估机构对快递物流服务数据处理活动进行监督、管理、评估提供参考。

25、5月1日,《信息安全技术 即时通信服务数据安全要求》开始实施

《信息安全技术 即时通信服务数据安全要求》规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。标准适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通信服务数据处理活动进行监督、管理、评估提供参考。

26、5月1日,《信息安全技术 网络预约汽车服务数据安全要求》开始实施

《信息安全技术 网络预约汽车服务数据安全要求》规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全要求。标准适用于网络预约汽车服务提供者规范数据处理活动,也为监管部门、第三方评估机构对网络预约汽车服务数据处理活动进行监督、管理、评估提供参考。

27、5月1日,《信息安全技术 网络音视频服务数据安全要求》开始实施

《信息安全技术 网络音视频服务数据安全要求》规定了网络音视频服务收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。标准适用于网络音视频服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络音视频服务数据处理活动进行监督、管理、评估提供参考。

28、5月1日,《信息安全技术 个人信息安全工程指南》开始实施

《信息安全技术 个人信息安全工程指南》是一项「实施类指南」,以标准的形式从制度层面出发将组织内各团队/部门间的工作配合方式作出协调和指导。《工程指南》对于企业如何将现有法规和标准落实到具体的系统和软件的设计开发程序中给出了强实践意义的指引,企业在提升网络产品和服务的个人信息保护能力时应将该标准作为重要参考。

29、5月1日,《证券期货业网络和信息安全管理办法》开始实施

中国证券监督管理委员会制定并发布了《证券期货业网络和信息安全管理办法》。《办法》共有八个章节七十五条,从组织架构、网络和信息安全、个人信息保护、关键信息基础设施安全保护以及监督管理与法律责任等多个方面,针对证券期货业的人才建设、系统建设、数据安全以及重大事件处理等网络和信息安全要点,对照国家和行业相关法律法规,提出了具体的、操作性较强的管理要求。

30、5月31日,全国信息安全标准化技术委员会发布《信息安全技术网络安全审计产品技术规范》

本文件规定了网络安全审计产品的技术要求并描述了测评方法,本文件适用于网络安全审计产品的设计、开发、测试和评价。

31、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全事件分类分级指南》

本文件描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。本文件适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等活动。

32、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 信息安全风险管理实施指南》

本文件确立了信息安全风险管理的实施框架,描述了信息安全风险管理的原则、保障机制、保障措施、能力和过程,提供了每个管理过程的实施要点和工作形式。本文件适用于各类组织开展信息安全风险管理工作。

33、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 网络入侵防御产品技术规范》

本文件规定了网络入侵防御产品的安全技术要求和测评方法,并进行了等级划分。本文件适用于网络入侵防御产品的设计、开发、测试和评价。

34、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 反垃圾邮件产品技术规范》

本文件规定了反垃圾邮件产品的技术要求,并描述了对应的测试评价方法。本文件适用于对反垃圾邮件产品的研制、测试和评价,以及用于指导产品的使用和管理。

35、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 云计算服务安全能力要求》

本文件规定了云服务商提供云计算服务时应具备的安全能力。本文件适用于对云计算服务能力的建设、监督、管理和评估。

36、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 行业间和组织间通信的信息安全管理》(征求意见稿)

本文件提供了信息安全管理体系(ISMS)标准族的补充指南,用于在信息共享团体中实现信息安全管理。本文件为行业间和组织间通信提供了有关发起、实现、维护与改进信息安全的控制和指南。它为如何使用已建立的消息传递和其他技术方法满足规定要求提供了指南和通用原则。本文件适用于行业间和组织间各种形式的敏感信息交换与共享。特别的,本文件可适用于与组织或国家关键基础设施的供给、维护和保护相关的信息交换与共享。

37、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 电子政务移动办公系统安全技术规范》

本文件规定了电子政务移动办公系统的移动终端安全、移动通信安全、移动接入安全、服务端安全和系统安全管理等各部分技术要求,给出了测试评价方法。本文件适用于电子政务移动办公系统的安全设计、建设实施、安全管理和测试评价。

38、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 边缘计算安全技术要求》

本文件规定了边缘计算安全框架以及安全框架下的基础设施安全、网络安全、应用安全、数据安全、安全运维、安全支撑、端边协同安全、云边协同安全技术要求。本文件适用于指导边缘计算提供者和边缘计算开发者开展边缘计算的研发、测试、部署和运营。

39、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 区块链技术安全框架》

本文件给出了区块链技术安全框架,该框架包括区块链密码支撑、区块链安全功能组件、区块链安全管理运行和区块链角色安全职责等部分。本文件适用于指导区块链业务提供者在区块链设计、开发、部署、管理和运维的过程中进行整体规划和安全框架设计,也可为开展区块链安全评估提供参考。

40、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 区块链信息服务安全规范》

本文件规定了区块链信息服务提供者的安全技术要求和安全管理要求,描述了相应测试评估方法和检查评估方法。本文件适用于对区块链信息服务开展安全建设、安全运行、安全管理和安全评估等服务。

41、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 可信执行环境服务规范》

本文件确立了可信执行环境服务的技术框架体系,并规定了相关安全技术要求及测试评价的方法本文件适用于可信执行环境服务的设计、开发、测试等,设备制造商、系统软件提供商、检测机构和科研机构等可信执行环境服务参与方可参照使用。

42、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 网络身份服务安全技术要求》

本文件确立了面向自然人的网络身份服务的参与方和模型,规定了网络身份服务安全级别和安全技术要求。本文件适用于面向自然人的网络身份服务的设计、开发、部署和应用。

43、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 个人信息处理中告知和同意的实施指南》

本文件给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤。本文件适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。

44、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 政务网络安全监测平台技术规范》

本文件规定了政务网络安全监测平台的通用技术要求、扩展技术要求以及测试评价方法本文件适用于政务网络安全监测平台的设计、建设、运维和测试评价。

45、5月31日,全国信息安全标准化技术委员会发布《信息安全技术 电子凭据服务安全规范》

本文件规定了电子凭据核发、开具、交付、存储、核准、查验、状态管理等服务的安全要求及测评方法。本文件适用于电子凭据服务的设计、部署、提供和测评,也可为电子凭据服务监管提供参考。

46、8月11日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全信息共享指南》发布

由国家工业信息安全发展研究中心(以下简称中心)牵头编制的《信息安全技术 网络安全信息共享指南》正式发布,并将于2024年3月1日起实施。标准规范了网络安全信息共享活动要素和基本原则,描述了共享活动的范围和过程。标准的实施将有助于指导网络运营者、关键信息基础设施运营者、网络安全服务机构等开展网络安全信息共享,同时也将带动网络安全信息共享技术产品、工具的研发及相关产业发展。

47、8月11日,全国信息安全标准化技术委员会发布《信息安全技术 机器学习算法安全评估规范》

明确了相关企业针对算法安全的技术性评估指标,包括保密性、完整性、可用性、可控性、鲁棒性、隐私性等技术属性,并按照业务流程将安全风险归类为算法、数据和环境三个层面。

48、8月11日,全国信息安全标准化技术委员会发布《信息安全技术 移动互联网应用程序(APP)生命周期安全管理指南》

立足于移动应用安全管理工作,避免开发引入或管理不当造成如恶意代码攻击、应用程序漏洞、用户隐私数据泄露、数据保护不当等安全威胁。为App提供者在App开发、运营等生命周期的安全管理提供指导,同时为App分发平台管理者和移动智能终端厂商等管理App提供参考。该标准的发布实施对于推动落实《国家网络安全法》、《数据安全法》和《个人信息保护法》提出的督促相关企业强化App个人信息保护,指导和规范相关行业领域开展的移动应用安全开发、应用风险监测、App生命周期安全管理等工作提供了重要的标准支撑。

49、8月11日,全国信息安全标准化技术委员会发布《信息安全技术 大数据服务安全能力要求》

规定了大数据服务提供者的大数据服务安全能力要求,包括大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力的要求。适用于指导大数据服务提供者的大数据服务安全能力建设,也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行评估。该标准基于国内数据安全,特别是大数据安全方面的最佳实践,总结形成具有我国特色的大数据服务安全能力要求。作为国内数据安全领域的上位标准,该标准对指导我国大数据服务安全能力的提升具有重要意义。

由数据安全域综合整理,转载请注明来源。



END
往期推荐

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存