关于成立信息系统自主可控标准工作组的建议方案

关于成立信息系统自主可控标准工作组的建议方案

一、背景

当前国内的信息系统，从操作系统到芯片，再到大型数据库和硬件设备，在关系国计民生的重点行业，如能源、金融、电信等，其主要业务系统软硬件大部分来自国外厂商。数据泄露、木马后门、响应滞后、系统崩溃等是影响业务系统正常运行的几类典型问题。

随着国内软件和信息服务产业的发展，自主产品同国外的差距在缩小，较以前更关注系统运行的整体性能和效能，更关注服务体系和质量保障。自主厂商已经开始依靠自身研发设计，逐渐掌握产品核心技术，逐渐实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控。采用自主可控的信息系统逐渐成为重点行业降低业务系统运行风险的重要选择。

二、目的

自主可控是一个前提、一个基础，它的作用是保证没有后门，并且一旦发现漏洞可以及时修补，使自己处于主动地位，总的效果是容易保障信息安全。保障信息安全是一项长期的任务，是贯穿信息系统全生命周期的任务，需要持之以恒。自主可控能力的形成需要依靠自主的全产业链配套和全生命周期产品和服务。信息系统自主可控工作组旨在构建信息系统自主可控的标准化解决方案，降低重点行业和关键领域的系统运行风险。

三、组织机构

1．主管部门

2．协调机构

3．单位构成

基础软件厂商

集成商

应用厂商

服务机构

….

4．用户单位

四、信息系统自主可控标准体系

信息系统自主可控标准体系由五类标准和规范构成。第一，信息系统服务总体规范。第二，信息系统安全评价指标体系；第三，信息系统集成实施规范；第四，信息系统部署和交付规范；第五，信息系统运维指南。

1．自主可控信息系统服务总体规范

本标准规范了自主可控信息系统的技术服务体系和保障要求。包括对自主可控系统的咨询、解决方案、培训、交付、技术支持等。

本标准适用于：供方建设自主可控信息系统技术服务体系。

本标准计划编制周期：1年。

2．信息系统安全评价指标体系

本标准规范了构建自主可控信息系统安全服务的体系化方法，提供了系统安全评价指标体系。

现有的《GBT 20272-2006 信息安全技术操作系统安全技术要求》和《GB 20008-2005-T 信息安全技术操作系统安全评估准则》描述了操作系统安全的必备要素和评估，缺少构建安全系统和提供安全服务的体系化方法。本标准基于安全内容自动化协议（SCAP）相关内容编制。

本标准适用于：需方评价自主可控信息系统安全服务的依据。

本标准计划编制周期：2年。

3．自主可控信息系统集成实施规范

本标准规范了自主可控信息系统集成的设计、实施和评价。

本标准结合《信息技术服务系统集成》对人员、过程、方法、资源的要求，提供自主可控信息系统集成的操作指南。

本标准适用于：供方建设自主可控信息系统。

本标准计划编制周期：1年。

4．自主可控信息系统运维指南

本标准规范了自主可控信息系统的运维服务。

本标准结合《信息技术运维服务通用要求》对信息系统运维服务能力的要求，提供自主可控信息运维服务规范和的操作指南。

本标准适用于：供方提供自主可控信息系统的运维服务。

本标准计划编制周期：1年。

5．自主可控信息系统部署和交付规范

本标准规范了自主可控信息系统的部署实施和交付。

本标准结合《信息技术运维服务交付规范》对人员、过程、方法、资源的要求，提供自主可控信息系统部署和交付的操作指南。

本标准适用于：供方部署和交付自主可控信息系统。

本标准计划编制周期：1年。