解决规划
信安标委就《信息安全技术 网络安全等级;ざ吨改稀氛髑蠖
1月19日,全国信息安全尺度化技术委员会秘书处颁布《关于国度尺度〈信息安全技术 网络安全等级;ざ吨改稀嫡髑蠖逭髑蠖耐ㄖ。通知指出,经尺度假造单元的辛勤致力,现已形成国度尺度《信息安全技术 网络安全等级;ざ吨改稀氛髑蠖。为确保尺度质量,信安标委秘书处面向社会宽泛征求定见,截止日期为2018年03月05日。征求定见稿面向社会征求定见,标志取《网络安全等级;ざ吨改稀返募僭斐鎏ㄒ丫胱詈蟪宕探锥。
据悉本尺度编写工作由全国信息安全尺度化技术委员会下达,2017年4月立项,具体由亚信科技(成都)有限公司掌管具体假造工作,参加单元蕴含公安部信息安全等级;て拦乐行摹⒗镌仆扑阌邢薰尽⒗鼋刑谘锻扑慊低秤邢薰尽⑵裘餍浅叫畔⒓际跫庞邢薰。
全国信息安全尺度化技术委员会经国度尺度化治理委员会核准成立(简称“信安标委”,TC260),是在信息安全专业领域内,从事全国尺度化工作的技术工作组织,掌管全国信息安全尺度化的技术归口工作。重要工作领域蕴含信息安全技术、机造、服务、治理、评估等领域的尺度化技术工作。
以下是通知原文以及有关文件和注明。
家尺度《信息安全技术 信息系统安全等级;ざ吨改稀罚ǘ┱┘僭熳⒚
一、工作简况
本尺度编写工作由全国信息安全尺度化技术委员会下达,2017年4月立项,具体由亚信科技(成都)有限公司掌管具体假造工作,参加单元蕴含公安部信息安全等级;て拦乐行摹⒗镌仆扑阌邢薰尽⒗鼋刑谘锻扑慊低秤邢薰尽⑵裘餍浅叫畔⒓际跫庞邢薰。
本尺度重要工作过程如下:
自2017年4月进行该尺度项目申报以来,成立了由亚信科技(成都)有限公司、公安部信息安全等级;て拦乐行摹⒗镌仆扑阌邢薰尽⒗鼋刑谘锻扑慊低秤邢薰尽⑵裘餍浅叫畔⒓际跫庞邢薰镜裙餐橹某叨燃僭熳。假造组人员蕴含:李明、曲洁、张振峰、任卫红、袁静、朱建平、马力、刘东红、王欢、沈锡镛杨晓光、段伟恒。前期尺度假造组组织人员进行有关技术调研,初步确定订正思路与重要内容。在此基础上约请电力、广电、海关等沉要行业专家进行技术钻研,与会专家别离针对尺度订正思路、主体方向、具体技术细节等方面提出了很好的建议。
2017年5月,尺度假造组初步形成尺度草案(第1稿),并组织能力域及行业安全专家进行钻研。与会专家针对尺度术语、定级流程、大数据定级步骤、云推算平台定级步骤、工业节造系定级步骤以及尺度文本规范性等方面提出了批改定见和建议。假造组当真钻延注分析了专家定见,并凭据专家定见美满了尺度文本。
2017年9月14日,全国信息安全尺度化技术委员会组织专家对该尺度草案进行了第一次专家评审会。与会专家针对大数据定级对象、定级流程、术语等方面内容提出了批改定见和建议。假造组会后当真组织进行了钻研分析,凭据专家定见进一步批改美满了尺度草案。
二、尺度假造准则和确定重要内容的论据及解决的重要问题
1994年国务院颁布的《中华人民共和国推算机信息系统安全;ぬ趵坊,“推算机信息系统尝试安全等级;,安全等级的划分尺度和安全等级;さ木咛宸ㄗ,由公安部会同有关部门造订”。为确保信息系统的运维、使用单元科学、合理简直定系统的安全;さ燃,进一步推动等级;すぷ,2008年颁布了国度尺度《信息安全技术 信息安全等级;ざ吨改稀罚℅B/T 22240-2008)。
随着国度尺度的落地执行已有近十年功夫,各信息系统运维使用单元依照该尺度的定级步骤和要求均发展了各单元的定级工作,有力的推动了等级;すぷ。但在这个过程,也出现了个别单元定级禁绝,甚至级别差距较大的景象,另表国度尺度未明确针对新技术新利用的定级步骤提出针对性的定级步骤。为进一步在尺度中明确以上内容,出格是加快推动新技术新利用等级;すぷ鞯姆⒄,有必要针对该尺度进行订正,以便推动更好的发展等级;じ飨罟ぷ。
1、假造准则
本尺度在假造过程中遵循以下准则:
a) 实用性准则
本尺度在假造过程中,综合思考我国目前网络安全工作必要,各类等级;ざ韵蟀踩,在充分全面的调研基础上发展,使得尺度更切近现实必要,保障可操作性。
b) 先进性准则
尺度是先进经验的总结,同时也代表技术发展的趋向。本尺度在假造过程中,充分调研国表有关方面技术经验,吸收其精华,保障尺度的技术先进性。
2、重要订正内容
本尺度的重要订正内容蕴含以下部门:
a) 尺度名称:为适应网络安全法,共同落实“网络安全等级;ぴ於”,尺度的名称由原来的GB/T22240-2008《信息安全技术 信息系统安全等级;ざ吨改稀犯奈“信息安全技术网络安全等级;ざ吨改”
b) 术语界说:新增了网络、基础信息网络、关键信息基础设施等术语界说,订正了等级;ざ韵蟮仁跤锝缢。
c) 定级对象确定步骤:除保留原有的定级对象确定步骤表,增长了对基础信息网络、大数据、云推算平台、物联网、选取移动互联技术的网络等定级对象简直定步骤。
d) 确定安全;さ燃恫街瑁涸龀ち嘶⌒畔⑼纭⒃仆扑闫教ā⒋笫荨⑽锪⒀∪∫贫チ际醯耐绲榷抖韵蟮陌踩;さ燃恫街璧某龈褡⒚。
e) 定级流程:明确了定级工作的流程,即为:确定定级对象—初步确定等级—专家评审—主管部门审核—公安机关登记审查。
f) 增长附录A 定级步骤流程和附录B 各级等级;ざ韵蠖豆ぷ饕。
3、重要章节内容
本尺度共分为10章,2个附录,每章内容如下:
第1、2、3章,为尺度的通例性描述,蕴含领域、规范性引用文件、术语和界说。
第4章为定级道理及流程。给出了等级;ざ韵笪甯霭踩;さ燃兜木咛褰缢,将等级;ざ韵笫艿椒鬯槭彼趾Φ目吞搴投钥吞逶斐傻那趾λ搅椒矫娉煞肿魑渡矸,并给出了定级身分与等级;ざ韵蟀踩;さ燃兜亩杂叵。给出了定级工作的流程步骤。
第5章为确定定级对象。将基础信息网络、云推算平台、工业节造系统、物联网、大数据和使用移动互联技术的网络等确定为分歧的定级对象。
第6章为初步确定安全;さ燃,概要描述了定级步骤。安全;さ燃队梢滴裥畔踩拖低撤务安全两方面确定。从业务信息安全角度反映的定级对象安全;さ燃冻埔滴裥畔踩;さ燃。从系统服务安全角度反映的定级对象安全;さ燃冻葡低撤务安全;さ燃。将业务信息安全;さ燃逗拖低撤务安全;さ燃兜慕细哒叱醪饺范ㄎ抖韵蟮陌踩;さ燃。对于大数据等定级对象,应凭据数据规模、数据价值等成分确定其安全;さ燃。对于基础信息网络、云推算平台等定级对象,应凭据其承载或将要承载的等级;ざ韵蟮某烈饺范ㄆ浒踩;さ燃,准则上应不低于其承载的等级;ざ韵蟮陌踩;さ燃。
第7、8、9章为定级工作的后续工作流程内容。
第10章为等级调换。
附录A为定级步骤流程,描述了定级步骤的七步步骤。
附录B为各级等级;ざ韵蠖豆ぷ饕。出格描述了第二级及以上等级;ざ韵蟮亩豆ぷ髂谌菀约暗谒募兜燃侗;ざ韵蟮淖移郎笠。
三、重要试验[或验证]情况分析
在尺度订正过程中,关于云推算平台、工业节造系统的定级工作参照此尺度进行了试验,有关单元提出了定见和建议,假造组进行了分析并批改尺度文本。
四、知识产权情况注明
本尺度内容为自主知识产权。
本尺度不涉及专利。
五、选取国际尺度和国表先进尺度情况
在尺度订正过程中,别离参考了美国FIPS 199、NIST SP800-53A等有关尺度和要求的最新订正内容,并参考了国际上关于云推算、供给链等热点领域的尺度,这些尺度都直接或间接影响了本次尺度的订正内容。
六、与现行有关司法、律例、规章及有关尺度的协调性
本尺度与现行司法、律例以及国度尺度没有矛盾与矛盾的处所。
等级;は盗谐叨取陡蟆贰ⅰ恫馄酪蟆贰ⅰ恫馄拦讨改稀返瘸叨纫泊τ诙┱,本尺度在订正过程中维持了与其他尺度间的有关性和兼容性。
七、沉大吩扃定见的处置经过和凭据
在整个过程中未遇到沉大定见吩扃,但对专家提出的定见和建议,假造组做了应答和处置,更好地美满了本尺度订正工作。
八、尺度性质的建议
本项目是对国度推荐性尺度GB/T 22240-2008的订正,建议订正后的尺度仍为国度推荐性尺度。
九、贯彻尺度的要求和措施建议
无特殊要求。
十、代替或废止现行有关尺度的建议
尺度订正实现后,《信息安全技术 网络安全等级;ざ吨改稀 将代替原来的GB/T22240-2008《信息安全技术信息系统安全等级;ざ吨改 》。
建议废止 GB/T22240-2008《信息安全技术 信息系统安全等级;ざ吨改稀。
十一、其它应予注明的事项
无。