0信息安全等级保护标准情况概述_许玉娜（PDF81页）

全国信息安全标准化技术委员会秘书处许玉娜二○一七年八月2017/8/6一、标准化基础知识二、全国信安标委2016年工作回顾和2017年工作要点三、我国信息安全标准体系四、信息安全等级保护政策和标准现状五、信息安全等级保护标准内容简介2017/8/6基本概念——“标准（standard）”定义：为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。2017/8/6理解：1）制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。2）标准是共同使用和重复使用的一种规范性文件。3）制定标准的对象是“活动或其结果”。4）标准产生的基础是“科学、技术和经验的综合成果”。5）标准需经过有关方面协商一致。6）标准需经“公认机构”的批准。2017/8/6基本概念——“标准化（standardization）”定义：为了在既定范围内获得最佳秩序，促进共同效益，对现实问题或潜在问题确立共同使用和重复使用的条款，编制、发布和应用文件的活动。注1：标准化活动确立的条款，可形成标准化文件，包括标准和其他标准化文件。注2：标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性，促进贸易、交流以及技术合作2017/8/6标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段2017/8/6立项阶段——①立项依据从需求出发，主要考虑：产业及市场需求、工程应用背景、产业化情况及对产业发展的作用、解决的主要问题；技术的成熟性、先进性、创新性；借鉴国际标准和国外先进标准情况及对比情况。项目要和国家的形势吻合，可以参考：国标委和行业主管部门年度标准制、修订纲要、符合重大方向；产业发展中长期计划；科研项目成果等。关注标准体系。注意该标准所在的标准体系的整体情况以及该标准所处的位置、解决的问题以及和相关标准的关系、是否急需。定标的可达性（能不能按质按期完成）：技术路线、方法的可行，数据的获得，达成协商一致的可能性；事先要做一定前期研究；。有关知识产权、专利问题2017/8/6立项阶段——②确定标准级别（国标、行标、企标、地方标准）国家标准：对需要在全国范畴内统一的技术要求，应当制定国家标准；行业标准：对没有国家标准而又需要在全国某个行业范围内统一的技术要求，可以制定行业标准；2017/8/6立项阶段——③确定标准的编制原则确定自主编制还是采标编制（采用国际标准或国外先进标准）采标：ISO、IEC、ITU2017/8/6立项阶段——④确定标准性质强制性标准：为保障国家安全、经济安全、人身安全、环境安全、食品医药安全而制定的标准以及行政主管部门要求强制执行的标准。推荐性标准：大多数标准是推荐性标准。指导性技术文件：即对于技术尚在发展中，需要有相应的标准文件引导其发展或具有标准化价值，尚不能制定为标准的项目，以及采用国际标准化组织、国际电信联盟及其他国际组织的技术报告的项目，可以制定国家标准化指导性技术文件。2017/8/6立项阶段审查要点：必要性（急需、符合方向）协调性（符合体系、无交叉、与上层标准统一）通用性（行业领域共性、平台共性、避免自用自定型）科学性（避免产品无限细化层层定标准、合理规划）成熟性（基础好、有一定数据和经验积累）可行性（起草单位的权威性代表性、技术路线的可行性）合理性（结构内容的合理性、标准实施的经济性）规范性（名称、内容、格式的规范性、准确性）这也要求标准编制组在立项和编制过程中要了解标准体系、相关标准的关系、国内外情况，注意解决这八性。2017/8/6立项阶段审查要点：标准体系的基本情况及申报项目在标准体系中位置与其他行业或领域的关系对产业发展的支撑作用及解决的主要问题与国际标准（国外先进标准）的对比分析情况及采用国际标准（国外先进标准）的情况涉及国内外专利的情况与现有标准、制定中标准的协调配套情况其他需要说明的情况，如：强制性标准项目的必要性和强制性内容等2017/8/6准备阶段计划下达后，主办单位组成工作组，落实责任人，开展调研，收集资料，分析整理，确定编制原则，若采用国际标准或国外先进标准时，要组织翻译相关资料，编制工作进度或开题报告。对于比较成熟的或比较简单的标准项目，该阶段可简化，不必作为独立的工作阶段。2017/8/6准备阶段—标准编制标准在编制标准前首先要了解并掌握五套基础标准（标准的标准）GB/T1(GB/T1.1、GB/T1.2)标准化工作导则GB/T20000所有部分标准化工作指南GB/T20001所有部分标准编写规则GB/T20002所有部分标准中特定内容的起草GB/T20003.1-2014《标准制定的特殊程序第1部分：涉及专利的标准》当然根据标准化对象，还要了解并掌握其他相关标准及法规文件2017/8/6准备阶段—标准组及起草人员基本要求起草组构成合理有较丰富的专业知识有必要的标准化和相关法律法规知识有较好的文字表达能力有一定组织协调能力有维护全局利益、听取不同意见的精神2017/8/6一、标准化基础知识二、全国信安标委2016年工作回顾和2017年工作要点三、我国信息安全标准体系四、信息安全等级保护政策和标准现状五、信息安全等级保护标准内容简介2017/8/62017/8/62002年4月,国家标准化管理委员会批复成立“全国信息安全标准化技术委员会”（简称信安标委，编号TC260）。2015年11月18日，国家标准委批复信安标委换届及组成方案；2016年1月14日，信安标委换届大会在北京召开。2016年3月—5月，信安标委完成了对原有7个工作组的设置和调整工作，对各工作组组长和副组长进行了调整和重新任命，对WG1专家组成员进行了更新和调整，并新设立了大数据安全标准特别工作组。2016年《关于加强国家网络安全标准化工作的若干意见》（中网办发文[2016]5号）明确指出“全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批。”我国网络安全标准化工作迈入了“统筹规划，协调发展”的新时期。2017/8/6副主任委员赵泽良中央网络安全和信息化领导小组办公室网络安全协调局局长韩俊工业和信息化部科技司原巡视员赵林公安部科信局副局长李守鹏中国信息安全测评中心副主任何良生国家密码管理局副局长王京涛国家保密局总工程师刘卫军国家认证认可监督管理委员会副主任主任委员王秀军中央网络安全和信息化领导小组办公室副主任2017/8/6副秘书长秘书长杜巍中央网络安全和信息化领导小组办公室网络安全协调局处长刘贤刚中国电子技术标准化研究院信息安全研究中心主任高林中央网络安全和信息化领导小组办公室网络安全协调局副局长2017/8/6新的机构设置目前各工作组成员单位总计468家，涉及单位230家，其中企业173家，包括外企14家。①标准立项评审程序②标准制修订程序组织学习总书记讲话精神，支撑《若干意见》的制定和实施工作；完成了7个下设工作组的调整和大数据特别工作组组建；完成了5项委员会管理办法的制修订工作；成功举办了两次“会议周”活动；完成了国家标准复审评估工作；30项国标发布，29项标准报批；启动了19项标准研制，19项研究项目；组织开展了2016年度优秀网络安全国家标准、先进个人评选活动；SM密码算法等多项国际提案取得进展，获2018年4月SC27会议的承办；组织政府门户网站安全标准试点示范，标准培训活动、优秀应用案例评选；实现了信息安全国家标准在线查询。一、落实《网络安全法》和《若干意见》要求，加快推动重点标准研制推动强制性国家标准研究和制定。•开展网络安全产品与服务、关键信息基础设施保护等强制性国家标准的研究和制定。•注重与现有的网络安全产品、技术、管理标准的衔接，开展配套标准和指南的制定，为强制性标准的制定实施提供技术支撑。推动重点领域推荐性标准研究和制定。•加快出台个人信息安全规范、大数据安全管理指南、大数据安全能力要求等标准，加快推动个人信息安全风险评估、个人信息去标识化、数据安全成熟度、数据交易安全、网络安全信息共享、网络安全人才评价等标准研究制定。•加快信息系统安全等级保护、密码、保密、信息安全风险评估等推荐性国家标准的研究和制修订工作。一、落实《网络安全法》和《若干意见》要求，加快推动重点标准研制开展新技术新领域标准研究。•开展物联网、区块链、人工智能等新技术新领域信息安全标准研究工作。发布新技术新应用研究报告或白皮书，形成一批标准化研究成果。去年复审意见为废止的16项在研项目，要形成专门的技术报告，公开发布。计划全年完成35项国家标准制修订工作。二、加强标准推广实施，支撑国家网络安全管理工作开展标准试点验证工作。•组织开展《个人信息安全规范》等重点标准的试点示范工作。•选取若干典型标准开展实施效果评价，跟踪标准使用情况，发现问题，总结经验。加大标准宣传培训力度和推广实施。•围绕重点领域组织编写标准实施和应用指南。•结合《网络安全法》及相关制度文件的实施和宣贯工作，联合地方网络安全主管部门、高校、人才和创新基地等，开展重要网络安全标准的宣传培训和推广实施。三、提升国际标准化贡献，做好SC27国际会议筹备工作跟踪研究国际和国外发展态势。•紧密跟踪研究国际国外网络安全标准化发展趋势和工作动态，编制研究报告。•探索建立分技术领域国际标准文件答复技术对口负责人工作机制，全面加强国际标准文件和提案研究，提高国际标准文件答复质量。积极提升国际标准贡献度。•加强国际标准化总体规划，做好ISO/IECJTC1/SC27工作组会议和全体会议的组团和参会工作，提高参会专家的持续性和稳定性，进一步推进国产密码算法、事件管理等国际标准研制进程，推动大数据安全、云计算安全等领域1-2项国际标准提案，提高国际标准提案质量，提高国际注册专家数量，推动我国专家担任更多国际标准编辑。三、提升国际标准化贡献，做好SC27国际会议筹备工作认真筹备SC27会议。•2018年4月ISO/IECJTC1/SC27工作组会议和全体会议将由中国承办。•组建SC27会议筹备工作小组，开发SC27会议网站，做好与SC27秘书处的沟通协调，全力做好国际会议的筹备和保障工作。•以承办SC27会议为契机，积极贡献国际提案，提升国际标准化工作水平。深入开展国际交流与合作。•继续举办中美、中欧等双边或多边网络安全标准化交流合作活动。•通过邀请国际标准化专家来华等多种形式，推动建立网络安全国际标准化常态化交流机制。四、完善委员会运行管理，进一步提高服务能力继续创新项目管理方式。•采取“先研究、再制定”的方式，优先对已通过深入研究形成成熟文本的标准制修订项目进行立项。•鼓励技术创新，启动一批紧跟产业发展趋势、具有技术先进性的标准研究项目。继续开展标准奖励工作。•继续举办“优秀网络安全标准奖”评选活动，对先进适用、贡献突出的网络安全标准进行奖励。•通过多种形式，对在标准制定、组织管理、国际标准化活动中表现突出的先进个人予以表彰和奖励。四、完善委员会运行管理，进一步提高服务能力加强标准管理服务平台建设。•按照委员会章程和有关规定，对委员会门户网站和标准项目管理服务平台进行全面升级改造，丰富网站内容、优化网站架构、提升用户体验，增加标准实施情况反馈模块，将委员会门户网站及标准管理服务平台打造成一个综合信息服务平台，使平台成为提高标准质量，提高标准参与度的平台。一、标准化基础知识二、全国信安标委2016年工作回顾和2017年工作要点三、我国信息安全标准体系四、信息安全等级保护政策和标准现状五、信息安全等级保护标准内容简介2017/8/6关于“标准体系”国家标准GB/T13016-2009《标准体系表编制原则和要求》明确了标准体系研究的基本概念、编制原则和基本方法标准体系是客观存在的标准有机整体，是标准的集合。标准体系是通过系统的标