国家支持参与网络安全国家标准行业标准的规定
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
国家标准
1. 2022年3月9日,GB/T 25069-2022《信息安全技术 术语》发布
本标准界定了信息安全技术领域中基本或通用概念的术语和定义,并对条目进行分类,是信息安全领域的重要基础性标准,也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。
2. 2022年3月9日,GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》发布
本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法,其中安全技术要求分为基础级和增强级,内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。
3. 2022年3月9日,GB/Z 41290-2022《信息安全技术 移动互联网安全审计指南》发布
本标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容,给出安全审计活动的框架、功能任务以及各功能任务的具体指南。
4. 2022年3月9日,GB/Z 41288-2022《信息安全技术 重要工业控制系统网络安全防护导则》发布
本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。
5. 2022年3月9日,GB/T 41241-2022《核电厂工业控制系统网络安全管理要求》发布
本标准规定了核电厂工业控制系统网络安全方面的管理、技术防护和应急管理的要求,并给出核电厂工业控制系统网络安全定级说明。
6. 2022年3月9日,GB/T 41260-2022《数字化车间信息安全要求》发布
本标准规定了数字化车间信息安全总则、管理要求和技术要求等,给出数字化车间信息安全常见威胁源、典型机械制造行业数字化车间信息安全示例,并提出数字化车间信息安全增强要求。
7. 2022年3月9日,GB/T 41267-2022《网络关键设备安全技术要求 交换机设备》、GB/T 41266-2022《网络关键设备安全检测方法 交换机设备》发布
两项标准互为配套,一个规定了列入网络关键设备目录的交换机设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
8. 2022年3月9日,GB/T 41269-2022《网络关键设备安全技术要求 路由器设备》、GB/T 41268-2022《网络关键设备安全检测方法 路由器设备》发布
两项标准互为配套,一个规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
9. 2022年3月9日,GB/T 41274-2022《可编程控制系统内生安全体系架构》发布
本标准规定了可编程控制系统内生安全体系架构,描述可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性,各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。
10. 2022年4月15日,GB/T 41387-2022《信息安全技术 智能家居通用安全规范》发布
本标准规定了智能家居安全通用技术要求,包括智能家居终端、智能家居网关、智能家居控制端、智能家居应用服务平台的安全要求,以及对应的安全测试评价方法。
11. 2022年4月15日,GB/T 41388-2022《信息安全技术 可信执行环境 基本安全规范》发布
本标准确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。
12. 2022年4月15日,GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》发布
本标准规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式,主体内容包括SM9的密钥对、技术要求、证实方法,并在附录中提供了数据格式编码测试用例。
13. 2022年4月15日,GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》发布
本标准规定了App收集个人信息的基本要求,包括最小必要收集、必要个人信息、特定类型个人信息、告知同意、系统权限、第三方收集管理及其他要求,并给出了常见服务类型App必要个人信息范围和使用要求。
14. 2022年4月15日,GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》发布
本标准给出了工业控制系统信息安全防护能力成熟度模型,规定核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。
15. 2022年4月15日,GB/T 41479-2022《信息安全技术 网络数据处理安全要求》发布
本标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。同时,本标准被作为数据安全管理认证的依据。
16. 2022年4月15日,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》发布
本标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
17. 2022年4月15日,GB/T 29829-2022《信息安全技术 可信计算密码支撑平台功能与接口规范》发布
本标准给出了可信计算密码支撑平台的体系框架和功能原理,规定了可信密码模块的接口规范,描述了对应的证实方法。
18. 2022年4月15日,GB/T 30283-2022《信息安全技术 信息安全服务 分类与代码》发布
本标准描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理与存储类、信息安全测评与认证类及其他类七个方面。
法律依据
《中华人民***和国网络安全法》
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。