❶ 國家支持參與網路安全國家標准行業標準的規定
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
國家標准
1. 2022年3月9日,GB/T 25069-2022《信息安全技術 術語》發布
本標准界定了信息安全技術領域中基本或通用概念的術語和定義,並對條目進行分類,是信息安全領域的重要基礎性標准,也是所有信息安全人員在信息安全領域中進行溝通交流、開展研究工作和項目實施的基本工具。
2. 2022年3月9日,GB/T 20278-2022《信息安全技術 網路脆弱性掃描產品安全技術要求和測試評價方法》發布
本標准規定了網路脆弱性掃描產品的安全技術要求和測試評價方法,其中安全技術要求分為基礎級和增強級,內容包括安全功能要求、自身安全保護要求、環境適應性要求、安全保障要求。
3. 2022年3月9日,GB/Z 41290-2022《信息安全技術 移動互聯網安全審計指南》發布
本標準定義了移動互聯網安全審計活動的概念,描述了移動互聯網安全審計活動中的角色職責、審計范圍和審計內容,給出安全審計活動的框架、功能任務以及各功能任務的具體指南。
4. 2022年3月9日,GB/Z 41288-2022《信息安全技術 重要工業控制系統網路安全防護導則》發布
本標准規定了重要工業控制系統網路安全防護的基本原則、安全防護技術、應急備用措施和安全管理等要求,以建立重要工業控制系統的網路安全防護體系。
5. 2022年3月9日,GB/T 41241-2022《核電廠工業控制系統網路安全管理要求》發布
本標准規定了核電廠工業控制系統網路安全方面的管理、技術防護和應急管理的要求,並給出核電廠工業控制系統網路安全定級說明。
6. 2022年3月9日,GB/T 41260-2022《數字化車間信息安全要求》發布
本標准規定了數字化車間信息安全總則、管理要求和技術要求等,給出數字化車間信息安全常見威脅源、典型機械製造行業數字化車間信息安全示例,並提出數字化車間信息安全增強要求。
7. 2022年3月9日,GB/T 41267-2022《網路關鍵設備安全技術要求 交換機設備》、GB/T 41266-2022《網路關鍵設備安全檢測方法 交換機設備》發布
兩項標准互為配套,一個規定了列入網路關鍵設備目錄的交換機設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中,安全功能要求包括設備標識安全、冗餘、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟體啟動及更新安全、默認狀態安全、抵禦常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日誌審計安全、通信安全、數據安全和密碼要求。
8. 2022年3月9日,GB/T 41269-2022《網路關鍵設備安全技術要求 路由器設備》、GB/T 41268-2022《網路關鍵設備安全檢測方法 路由器設備》發布
兩項標准互為配套,一個規定了列入網路關鍵設備目錄的路由器設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中,安全功能要求包括設備標識安全、冗餘、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟體啟動及更新安全、默認狀態安全、抵禦常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日誌審計安全、通信安全、數據安全和密碼要求。
9. 2022年3月9日,GB/T 41274-2022《可編程式控制制系統內生安全體系架構》發布
本標准規定了可編程式控制制系統內生安全體系架構,描述可編程式控制制系統內生安全的目標和各單元模塊的相關安全需求,規定可編程式控制制系統的內生安全要求。其中,可編程式控制制系統內生安全的目標為保障可編程式控制制系統的完整性,各單元模塊的相關安全需求包括全生命周期安全保護、綜合診斷與高可用實現等。
10. 2022年4月15日,GB/T 41387-2022《信息安全技術 智能家居通用安全規范》發布
本標准規定了智能家居安全通用技術要求,包括智能家居終端、智能家居網關、智能家居控制端、智能家居應用服務平台的安全要求,以及對應的安全測試評價方法。
11. 2022年4月15日,GB/T 41388-2022《信息安全技術 可信執行環境 基本安全規范》發布
本標准確立了可信執行環境系統整體技術架構,描述了可信執行環境基礎要求、可信虛擬化系統、可信操作系統、可信應用與服務管理、跨平台應用中間件等主要內容及其測試評價方法。
12. 2022年4月15日,GB/T 41389-2022《信息安全技術 SM9密碼演算法使用規范》發布
本標准規定了SM9密碼演算法的使用要求,描述了密鑰、加密與簽名的數據格式,主體內容包括SM9的密鑰對、技術要求、證實方法,並在附錄中提供了數據格式編碼測試用例。
13. 2022年4月15日,GB/T 41391-2022《信息安全技術 移動互聯網應用程序(App)收集個人信息基本要求》發布
本標准規定了App收集個人信息的基本要求,包括最小必要收集、必要個人信息、特定類型個人信息、告知同意、系統許可權、第三方收集管理及其他要求,並給出了常見服務類型App必要個人信息范圍和使用要求。
14. 2022年4月15日,GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》發布
本標准給出了工業控制系統信息安全防護能力成熟度模型,規定核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法。
15. 2022年4月15日,GB/T 41479-2022《信息安全技術 網路數據處理安全要求》發布
本標准規定了網路運營者開展網路數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理的安全技術與管理要求。同時,本標准被作為數據安全管理認證的依據。
16. 2022年4月15日,GB/T 20984-2022《信息安全技術 信息安全風險評估方法》發布
本標准描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法,以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。
17. 2022年4月15日,GB/T 29829-2022《信息安全技術 可信計算密碼支撐平台功能與介面規范》發布
本標准給出了可信計算密碼支撐平台的體系框架和功能原理,規定了可信密碼模塊的介面規范,描述了對應的證實方法。
18. 2022年4月15日,GB/T 30283-2022《信息安全技術 信息安全服務 分類與代碼》發布
本標准描述了信息安全服務的分類與代碼,主要包括信息安全咨詢類、信息安全設計與開發類、信息安全集成類、信息安全運營類、信息的安全處理與存儲類、信息安全測評與認證類及其他類七個方面。
法律依據
《中華人民共和國網路安全法》
第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。