1.2.2 规范性文件
1.标准组织
为充分发挥企业、科研机构、检测机构、高等院校、政府部门、用户等的作用,引导产学研各方面共同推进网络安全标准化工作,经国家标准化管理委员会批准成立全国信息安全标准化技术委员会(以下简称“信安标委”),信安标委的代号为SAC/TC260,英文名称为National Information Security Standardization Technical Committee。
信安标委是网络安全专业领域从事标准化工作的技术组织,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批,具体范围包括网络安全技术、机制、服务、管理、评估等领域。信安标委由国家标准委领导,业务上受中共中央网络安全和信息化委员会办公室(以下简称“中央网信办”)指导。信安标委印章由国家标准委颁发。
(1)信安标委的工作任务
1)遵循网络安全相关法律法规及国家有关方针政策,提出网络安全标准化工作的方针、政策和技术措施的建议。
2)按照国家标准制修订原则,以及采用国际标准和国外先进标准的方针,组织制定和持续完善网络安全国家标准体系;坚持问题导向,围绕国家网络安全工作急需,研究提出网络安全领域制定和修订国家标准的规划、年度计划和采用国际标准的建议,并提出与标准有关的科研、实施工作建议。
3)统筹考虑国家标准与行业标准、团体标准的衔接,支持具有先进性和引领性、实施效果良好、需要在全国范围推广应用的行业标准、团体标准转化为国家标准。
4)指导支持企业、高等院校、科研机构等单位根据国家网络安全工作急需研究起草标准,按照《全国信息安全标准化技术委员会标准制修订工作程序》申报立项。根据国家标准委批准的计划,组织开展网络安全国家标准的征求意见、技术审查、复审及国家标准外文版的翻译和审查工作。
5)根据国家标准委的有关规定,做好网络安全国家标准的通报和咨询工作。
6)受国家标准委委托,承担归口国家标准的解释工作。
7)组织开展网络安全国家标准的宣贯和培训工作,组织开展重要标准的试点验证和应用推广,与高校、研究机构、企事业单位等联合开展网络安全标准化人才培养。
8)协助相关主管部门推动标准的实施,开展网络安全领域标准的实施效果评估,建立相应的信息反馈机制。
9)组织开展网络安全领域标准成果评价,向相关主管部门提出奖励建议。
10)组织开展网络安全领域国内外标准一致性比对分析,跟踪、研究网络安全领域国际标准化发展趋势和工作动态,承担国际标准的起草工作,积极推动我国标准成为国际标准。受国家标准委的委托,承担ISO/IEC JTC1/SC27等网络安全相关国际标准化组织的对口业务工作,组织参与国际标准化工作,组织开展对外交流活动。
11)组织研究制定并发布委员会技术文件,引导网络安全技术、产业发展。
12)受国家标准委及有关主管部门的委托,承担与网络安全标准化有关的其他工作。
(2)信安标委的机构设置
信安标委的机构设置如图1-1所示。各机构的方向及任务见表1-1。
•图1-1 信安标委的机构设置
•表1-1 信安标委各机构的方向和任务
(续)
2.常用信息安全测评相关标准规范
下面介绍一些常用的与风险评估、等级保护、密评等安全业务相关的标准规范。
(1)风险评估相关
• 《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007)。
• 《信息安全技术 信息安全风险评估实施指南》(GB/T 31509—2015)。
• 《信息安全技术 信息安全风险处理实施指南》(GB/T 33132—2016)。
• 《风险管理 风险评估技术》(GB/T 27921—2011)。
(2)等级保护相关
• 《计算机信息系统 安全保护等级划分准则》(GB/T 17859—1999)。
• 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)。
• 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)。
• 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)。
• 《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449—2018)。
• 《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627—2018)。
• 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959—2018)。
• 《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T 36958—2018)。
• 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)。
(3)密评相关
• 《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)。
• 《信息系统密码应用测评要求》(GM/T 0115—2021)。
• 《信息系统密码应用测评过程指南》(GM/T 0116—2021)。
• 《信息系统密码应用高风险判定指引》(规范性文件2021)。
• 《商用密码应用安全性评估量化评估规则》(规范性文件2021)。
• 《信息系统密码应用基本要求》(GM/T 0054—2018)。
(4)其他安全相关
• 《信息安全技术 电子邮件系统安全技术要求》(GB/T 37002—2018)。
• 《信息安全技术 办公信息系统安全管理要求》(GB/T 37094—2018)。
• 《信息安全技术 办公信息系统安全基本技术要求》(GB/T 37095—2018)。
• 《信息安全技术 办公信息系统安全测试规范》(GB/T 37096—2018)。
• 《信息安全技术 计算机终端核心配置基线结构规范》(GB/T 35283—2017)。
• 《信息安全技术 网络攻击定义及描述规范》(GB/T 37027—2018)。
• 《信息安全技术 网络安全威胁信息格式规范》(GB/T 36643—2018)。
• 《信息安全技术 网络安全预警指南》(GB/T 32924—2016)。
• 《信息安全技术 个人信息安全规范》(GB/T 35273—2020)。
• 《信息安全技术 个人信息去标识化指南》(GB/T 37964—2019)。