国家标准信息技术安全技术信息安全治理编制说明-全国信息安全

信息安全技术国标《信息安全技术国家标准》是我国在信息安全领域制定的标准体系，涵盖了网络安全、数据安全、系统安全等多个方面。

本文将围绕该标准系统进行详细介绍，包括标准的制定背景、内容概要、实施意义等方面。

## 一、背景介绍随着信息技术的飞速发展，信息安全问题日益突出，对社会、企业和个人都构成了严重威胁。

为了规范信息安全技术和管理，我国积极推动信息安全技术国家标准的制定，旨在确保信息系统的正常运行和信息的安全传输、存储。

## 二、标准内容概要《信息安全技术国家标准》从以下几个方面进行了规范和要求：### 1. 网络安全该部分涵盖了网络架构、防火墙配置、入侵检测与防范等内容，旨在规范网络环境的安全建设，防范网络攻击和数据泄露。

### 2. 数据安全包括数据加密、数据备份、灾难恢复等内容，要求组织对重要数据进行分类和加密存储，以应对数据泄露和损坏的风险。

### 3. 系统安全涉及操作系统、应用软件安全配置、安全审计等，要求对系统漏洞和安全隐患进行及时修复和监控。

### 4. 安全管理包括安全策略制定、安全培训、事件响应等，旨在加强组织对信息安全工作的管理和监控。

## 三、实施意义《信息安全技术国家标准》的实施具有重要意义：### 1. 提升信息安全水平标准规范了信息安全技术和管理，有利于各类组织建立健全的信息安全体系，提升信息安全水平。

### 2. 保障国家安全加强信息系统的安全防护，有助于防范网络攻击、数据泄露等安全事件，从而保障国家安全和民生稳定。

### 3. 促进产业发展规范的信息安全标准引导和促进了信息安全技术的研发和应用，有利于推动信息安全产业发展。

### 4. 促进国际交流与合作我国信息安全标准与国际接轨，有利于推动国际信息安全技术交流与合作，增强国际间的信任和合作。

## 四、结语信息安全技术国家标准是我国信息安全领域的重要规范，对于推动信息安全技术和管理的标准化、规范化具有重要意义。

希望通过不断完善和实施，能够提升我国信息安全水平，保障国家安全和社会稳定。

国家标准《信息安全技术互联网信息服务安全通用要求》（草案）编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目，由中国科学院信息工程研究所主要牵头承担。

该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策，包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员中国科学院信息工程研究所（以下简称“中科院信工所”）主要负责起草，公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。

工作组成员包括：孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。

1.3 主要工作过程1、2017年4月——2018年5月，中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一，顺利项目完成结题验收。

2、2018年7月——2018年12月，与参与单位共同开展标准体系架构研讨，组织召开3次内部技术研讨会，修改10余次。

3、2018年12月——2019年2月，与参与单位共同完成标准草案，并组织召开专家研讨会，并根据专家意见对标准内容进行3轮次修改。

4、2019年2月——2019年4月，对标准内容进行修改和调整，并组织召开专家研讨会，根据专家意见对标准内容进行2轮次修改，形成标准草案。

5、2019年4月，在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。

6、2019年5月——2019年9月，对标准草案进行讨论和完善。

国家标准《信息安全技术网络产品和服务安全通用要求》编制说明一、任务来源《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目，国标立项号20193257-T-469，由中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、联想（北京）有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子（中国）有限公司、奇安信科技集团股份有限公司等单位共同参与了该标准的起草工作。

标准主要起草人包括：刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。

二、编制原则当前，网络产品和服务中经常出现多种网络安全问题，例如，个人信息泄露、默认口令、后门、木马等，严重影响用户安全或国家安全。

全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知（信安字〔2007〕12号）各有关单位：《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟，通过了全国信息安全标准化技术委员会的审查，已形成国家标准报批稿，正在报批过程中。

为推动正在进行的全国信息系统安全等级保护工作，经信安标委主任办公会议同意，现将该国家标准报批稿先印发给你们，供在工作中参考。

特此通知。

全国信息安全标准化技术委员会二00七年六月二十七日附件：《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

国家标准《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》（报批稿）编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划，计划号：20192180-T-469。

本标准由全国信息安全标准化技术委员（TC260）会提出并归口管理，2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司，协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。

闵京华为项目负责人，主要工作包括项目组织、文本翻译、修改完善和文本编辑；周亚超主要工作包括文本翻译和修改完善；王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直：主要工作包括修改完善。

3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件，从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。

为了落实这些法定要求，需要制定相应的国家标准在标准层面上配套支撑。

随着新一代信息技术的发展，信息安全面临着更为严峻的挑战，信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大，信息安全事件响应全球化趋势越发显著。

信息安全事件管理是关键信息基础设施必备的安全控制。

有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。

2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。

最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。

全国信息安全标准化技术委员会关于印发《全国信息安全标准化技术委员会章程》的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2021.11.03•【文号】信安字〔2021〕21号•【施行日期】2021.11.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文关于印发《全国信息安全标准化技术委员会章程》的通知信安字〔2021〕21号各位委员、秘书处、各工作组、各成员单位：现将第三届全国信息安全标准化技术委员会第一次全体会议审议通过的《全国信息安全标准化技术委员会章程》印发给你们，请认真遵照执行。

附件：《全国信息安全标准化技术委员会章程》全国信息安全标准化技术委员会2021年11月3日全国信息安全标准化技术委员会章程（2021年11月3日）第一章总则第一条根据《中华人民共和国标准化法》和《全国专业标准化技术委员会管理办法》（2020修订版）等有关规定，制定本章程。

第二条为充分发挥企业、科研机构、检测机构、高等院校、政府部门、用户等方面专家的作用，引导产学研各方面共同推进网络安全标准化工作，经国家标准化管理委员会（以下简称“国家标准委”）批准成立全国信息安全标准化技术委员会（以下简称“信安标委”，TC260）。

第三条信安标委是网络安全专业领域从事标准化工作的技术组织，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批，具体范围包括网络安全技术、机制、服务、管理、评估等领域。

第四条信安标委由国家标准委领导，业务上受中央网络安全和信息化委员会办公室（以下简称“中央网信办”）指导。

信安标委印章由国家标准委颁发。

第二章工作任务第五条遵循网络安全相关法律法规及国家有关方针政策，提出网络安全标准化工作的方针、政策和技术措施的建议。

第六条按照国家标准制修订原则，以及采用国际标准和国外先进标准的方针，组织制定和持续完善网络安全国家标准体系；坚持问题导向，围绕国家网络安全工作急需，研究提出网络安全领域制修订国家标准的规划、年度计划和采用国际标准的建议，并提出与标准有关的科研、实施工作建议。

国家标准《信息安全技术信息安全风险评估规范》（征求意见稿）编制说明一、工作简况1.1 任务来源2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016年第二次全会讨论通过，研究修订《信息安全技术信息安全风险评估规范》国家标准。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口。

1.2 主要起草单位和工作组成员国家信息中心和北京安信天行科技有限公司主要负责起草，协作起草单位包括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上讯信息技术股份有限公司等。

1.3 主要工作过程标准于2017年3月开始进行相关调研工作，于2017年7月立项，于2017年4月至9月编制完成《信息安全技术信息安全风险评估规范（修订版）》草案，并邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等对草案进行多次研讨。

在2017年9月，标准召开了专家评审会。

并将修改完成后的《信息安全技术信息安全风险评估规范（修订版）》草案提交安标委，在2017年10月根据安标委的工作安排，供专家讨论评审。

标准于2018年1月根据专家意见，形成《信息安全技术信息安全风险评估规范（修订版）》（征求意见稿），提交进行意见征集。

（1）基础研究和调研组建《信息安全风险评估规范》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和新挑战；同时，组织技术力量对云计算、物联网、大数据、智慧城市等新技术应用对原有信息安全风险评估方法带来的挑战进行研究，并提出解决方案；组织人员对ISO/IEC 27005:2011、ISO/IEC 13335,NIST SP 800系列等国际标准进行研究，充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态，为《信息安全风险评估规范》修订工作提供借鉴。

国家标准《信息技术安全技术信息安全控制措施审核员指南》（报批稿)编制说明一、工作简况1.1任务来源：《信息技术安全技术信息安全控制措施审核员指南》是全国信息安全标准化技术委员会(全国信息安全标准化技术委员会秘书处）2012年下达的信息安全国家标准制定项目,由中国电子技术标准化研究院主要负责起草。

工业和信息化部电子第五研究所、中国合格评定国家认可中心、北京赛西认证有限责任公司、北京时代新威信息技术有限公司等单位共同参与了该技术规范的起草工作.本指导性技术文件由全国信息安全标准化技术委员秘书处提出并归口，由中国电子技术标准化研究院承担。

1.2主要工作过程：1。

2012.12-2013。

3系统化查阅并梳理标准法、审计法、安全法、认证认可条例等文件与信息安全相关内容的总结,提出标准草案。

2。

2013.4-2013.6对已形成的《信息技术安全技术信息安全控制措施审核员指南》标准草案组织两次专家项目组内部评审，并就技术性翻译和标准中信息技术说明进行了修订.专家来自中国合格评定国家认可委员会、工业和信息化部电子第五研究所、中国电子技术标准化研究院等。

3. 2013.7——2013。

11 草案组内专家评审会，会后按照专家意见对文本进行了修改完善,形成了第二版草案文本。

4。

2013。

12-2013。

12通过了安标委WG7组的草案专家审查会.会后按照专家意见，对文本进行了修改完善，形成了最终草案文本。

5．2014年3月18日通过WG7组全体成员单位投票,投票通过率100％。

会后根据各成员单位意见对标准草案文本进行了修改完善，形成标准征求意见稿文本.二、编制原则和主要内容2。

1 编制原则：《信息技术安全技术信息安全控制措施审核员指南》是信息安全管理体系标准族中标准之一。

目前，我国在参考借鉴国际信息安全管理体系标准族（ISO/IEC 27000系列）的基础上，等同转化了ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》（对应国家标准GB/T 22080：2008）、ISO/IEC 27002:2005《信息技术安全技术信息安全管理使用规则》(对应国家标准GB/T 22081：2008）、ISO/IEC 27006：2007《信息技术安全技术信息安全管理体系认证机构认可要求》（对应国家标准GB/T 25067-2010)和ISO/IEC 27007:2007《信息安全管理体系审核指南》(对应国家标准GB/T 28450-2012），为国内各机构开展信息安全管理体系认证工作提供了依据和技术支撑.本指导性技术文件编制过程中，按照GB/T 1。

《可信计算规范第2部分：可信平台主板功能接口规范》编制说明可信计算标准平台组2011年09月国家标准《可信计算规范第2部分：可信平台主板功能接口规范》编制说明一、任务来源可信计算技术解决了以往终端PC体系结构上的不安全，从基础上提高了可信性，正在成为计算机安全技术与产业的发展趋势，各个国家和IT企业巨头都积极投身于可信计算领域的技术研究、标准制定与可信计算产品开发，以企占领未来信息安全以至IT技术的制高点。

为了推进可信计算在中国快速、健康的发展，2008年2月，全国信息安全标准化技术委员会将“可信平台主板功能接口”课题下达给北京工业大学，课题负责人沈昌祥院士。

沈昌祥院士组织成立了以企业为主体的“产学研用”结合的“可信平台主板功能接口”，研究制定“可信平台主板功能接口规范”。

项目启动会于2008年12月17日在北京工业大学召开。

可信计算规范分为4个部分，第1部分：可信平台控制模块规范、第2部分：可信平台主板功能接口规范、第3部分：可信基础支撑软件规范、第4部分：可信网络连接架构规范。

本部分是该系列标准的第2部分，由北京工业大学、中国长城计算机深圳股份有限公司、武汉大学、南京百敖软件有限公司、航天科工706所等负责起草。

参与标准制定的单位有中国电子科技集团公司信息化工程总体研究中心、北京龙芯中科技术服务中心有限公司、中安科技集团有限公司、瑞达信息安全产业股份有限公司、江南计算所、中船重工第707研究所、华为技术有限公司、北京超毅世纪网络技术有限公司、北京华大恒泰科技有限责任公司等。

二、编制原则1）积极采用国家标准和国外先进标准的技术，并贯彻国家有关政策与法规；2）标准编制要具有一定的先进性、科学性、可行性、实用性和可操作性；3）标准内容要符合中国国情，广泛征求用户、企业、专家和管理部门的意见，并做好意见的正确处理；4）面向市场，参编自愿；标准编制工作与意见处理，应坚持公平、公正，切实支持产业发展；5）合理利用国内已有标准科技成果，处理好标准与知识产权的关系；6）采用理论与实践相结合的工作方法，开展标准验证试点工作，并充分利用国内已有的各类可信计算重点项目、示范项目的建设经验，处理好标准的先进性和实用性之间的关系；7）尽可能吸纳成熟的技术和已有共识的框架结构，适当的提出前瞻性的规范。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448—2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448—2012进行修订.根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd—WG5—006.1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字［2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现.《信息安全技术信息系统安全等级保护基本要求》（GB/T22239—2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）(简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节.此外,《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法.1.3 与其他标准的关系图1 等级保护标准相互关系从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008）(简称“《定级指南》"）确定等级保护对象的安全保护等级，然后根据《信息安全技术 网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术 信息系统安全等级保护实施指南》(简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-20XX)(简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术 网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。

GB/T 15843.1信息技术安全技术实体鉴别第1部分：概述（征求意见稿）编制说明中科院数据与通信保护研究教育中心二O一六年六月十五日《信息技术安全技术实体鉴别第1部分：概述》（征求意见稿）编制说明一、任务来源根据国家标准化管理委员会2014年下达的国家标准制修订计划，国家标准GB/T 15843.1—2008《信息技术安全技术实体鉴别第1部分：概述》由中国科学院数据与通信保护研究教育中心负责修订，参与标准修订的单位包括普华诚信信息技术有限公司、赞嘉电子科技（北京）有限公司。

该标准为等同采用国际标准ISO/IEC 9798-1:1997，后者已于2010年发布了更新版本ISO/IEC 9798-1:2010，因此有必要按照ISO/IEC 9798-1:2010对GB/T 15843.1—2008进行修订，以符合其等同采用的国际标准的最新版本。

二、编制的原则和依据GB/T 15843.1系等同采用国际标准ISO/IEC 9798-1。

后者已于2010年发布了更新版本ISO/IEC 9798-1:2010。

本次修订将以ISO/IEC 9798-1:2010为依据，对GB/T 15843.1进行修订，以使其与ISO/IEC 9798-1的最新版本保持一致。

三、本标准起草和修改过程（1）2015年1月，接到全国信息安全标准化技术委员会关于GB/T 15843.1—2008标准修订任务之后，课题组负责人向继随即召集标准修订参与单位相关人员开会，成立以向继为主笔人的标准修订工作组，并具体讨论和分配了小组的任务、修订的重要事项以及需要注意的相关事项。

课题组成员包括：姓名工作单位职称/职务向继中国科学院数据与通信保护研究教育中心高级工程师王雷中国科学院数据与通信保护研究教育中心高级工程师李丹仪中国科学院数据与通信保护研究教育中心工程师荆继武中国科学院数据与通信保护研究教育中心研究员谢超上海普华诚信信息技术有限公司经理张嘉纯赞嘉电子科技（北京）有限公司经理（2）2015年2月-2015年6月间，课题组成员在对本标准进行深入的需求分析的基础上，对所等同采用的国际标准ISO/IEC 9798-1:2010进行了全面理解，并对修订工作后期安排进一步规划。

国家标准《信息安全技术关键信息基础设施安全检查评估指南》编制说明一、工作简况1.1任务来源根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。

网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。

1.2主要工作过程2017年1月至3月，《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。

2017年4月，本标准获得由全国信息安全标准化技术委员会立项。

国家标准《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》（报批稿）编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划，计划号：20192180-T-469。

本标准由全国信息安全标准化技术委员（TC260）会提出并归口管理，2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司，协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。

闵京华为项目负责人，主要工作包括项目组织、文本翻译、修改完善和文本编辑；周亚超主要工作包括文本翻译和修改完善；王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直：主要工作包括修改完善。

3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件，从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。

为了落实这些法定要求，需要制定相应的国家标准在标准层面上配套支撑。

随着新一代信息技术的发展，信息安全面临着更为严峻的挑战，信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大，信息安全事件响应全球化趋势越发显著。

信息安全事件管理是关键信息基础设施必备的安全控制。

有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。

2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。

最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。

信息安全技术国标信息安全技术国标（GB/T）是我国在信息安全领域的技术标准，对于规范和指导信息安全技术的发展具有重要意义。

信息安全技术国标主要包括信息安全管理、密码技术、网络安全、应用安全、安全评估等多个方面，下面就信息安全技术国标展开详细介绍。

一、信息安全管理信息安全管理是信息安全工作的基础，也是国标中一个重要的领域。

信息安全管理国标主要围绕着信息安全体系建设、安全管理机制和安全管理要求等方面进行规范。

信息安全体系建设要求建立完整的信息安全管理体系，并结合实际情况，制定有效的信息安全政策和流程。

而安全管理机制要求规范组织机构安全架构、安全培训和管理流程等内容，确保信息资产得到有效管理和保护。

安全管理要求还包括了安全检查、安全事件处理和安全改进等方面的规范，以应对信息安全管理过程中出现的问题和风险。

二、密码技术密码技术是信息安全领域的核心技术之一，国标中也对密码技术进行了相关规范。

包括了密码算法的选择、密码产品的设计和开发、密码产品测试和安全评估等多个方面。

密码算法的选择要求采用国家规定的安全密码算法，并指导密码算法在各个领域的具体应用。

而密码产品的设计和开发要求规范密码产品的安全设计和实现，并对密码产品的开发过程进行详细的说明。

密码产品测试和安全评估则是确保密码产品的安全性和可靠性的重要环节，需要满足国家相关的测试要求和标准。

三、网络安全网络安全国标涵盖了网络安全基本要求、网络防护技术和网络安全事件处理等内容。

其中网络安全基本要求要求对网络安全的基本概念和基本框架进行详细规范，为网络安全工作提供了基本依据。

而网络防护技术则是对网络安全防护的技术手段和方法进行了规范，包括了网络边界防护、入侵检测、网络安全监控等多方面内容。

网络安全事件处理要求也对网络安全事件的分类、处理流程和信息报送等方面进行了详细规范，以确保网络安全事件得到及时、有效的处理。

四、应用安全应用安全主要包括了应用系统安全要求、安全设计和开发、应用系统安全测试等方面内容。

国家标准《信息安全技术大型互联网企业内设个人信息保护监督机构要求》（征求意见稿）编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术大型互联网企业内设个人信息保护监督机构要求》由中国人民大学负责承办，计划号：20230793-T-469,标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景2023年8月，我国《个人信息保护法》正式颁布，并于2023年11月正式实施。

其中，第58条被业界视为我国“互联网守门人”条款备受关注。

该条第一项要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

2023年3月，全国信息安全标准化技术委员会发布《关于发布2023年度网络安全国家标准需求的通知》，将本标准纳入2023年网络安全国家安全标准需求项目。

2023年10月，全国信息安全技术标准化委员会发布《关于2023年网络安全国家标准项目立项的通知》，明确本标准由中国人民大学作为项目牵头单位负责标准编制工作。

1.3起草过程1.3.1草案阶段1、2023年3月，中国人民大学牵头组建标准前期研究工作小组，小组对大型互联网企业个人信息保护监督机构相关立法、实践等进行详细调研，形成相应标准草案，并准备申报材料。

2、2023年4月、2023年7月，中国人民大学标准编制组在全国信息安全标准化技术委员会进行标准申报汇报。

3、2023年10月，全国信息安全技术标准化委员会发布《关于2023年网络安全国家标准项目立项的通知》，同意本标准由中国人民大学作为项目牵头单位负责标准编制工作。

4、2023年11月-12月，中国人民大学对外公开征集标准参编单位，正式成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组内部征求意见，对标准内容进行更新完善。