《信息安全技术安全处理器技术规范》(征求意见稿)

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

国家标准《信息安全技术车载网络设备信息安全技术要求》（征求意见稿）编制说明一、工作简况1.任务来源国家标准《信息安全技术车载网络安全设备信息安全技术要求》制定工作由全国信息安全标准化技术委员会秘书处下达立项通知（信安秘字[2019]050号），主要承担单位为东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司等。

2.协作单位任务下达后，东软集团股份有限公司立即与测评机构、业内厂商和科研院校进行沟通并得到了积极参与的反馈，并于10月30日结束的参编单位征集活动后，国家工业信息安全发展研究中心、公安部第一研究所、国汽（北京）智能网联汽车研究院有限公司、北京航空航天大学、中国软件评测中心、阿里云计算有限公司、北京奇虎科技有限公司、北京天融信网络安全技术有限公司、公安部交通管理科学研究所、工业和信息化部电子第五研究所、中国科学院信息工程研究所、中国汽车工程研究院有限公司、北京百度网讯科技有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、启明星辰信息技术集团股份有限公司、北京安天网络安全技术有限公司、中国信息通信研究院、网神信息技术（北京）股份有限公司、国家计算机网络应急技术处理协调中心、北京中电华大电子设计有限责任公司、北京理工华创电动车技术有限公司、联合汽车电子有限公司、北京梆梆安全科技有限公司、天津国芯科技有限公司、长城汽车股份有限公司、北京神州绿盟科技有限公司、重庆邮电大学、上海市信息安全测评认证中心、一汽轿车股份有限公司、任子行网络技术股份有限公司、恒安嘉新（北京）科技股份公司、电子科技大学、重庆长安汽车股份有限公司等60家单位报名加入编制组。

3.主要工作过程3.1 成立编制组本标准的制定任务由东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司和其他参编单位共同承担。

/Veivs •市场观察信安标委：发布《信息安全技术工业控制系统信息安全防护建设实施规 范》征求意见稿2020年5月，由全国信息安全标准化技术委员会归口的《信系统信息安全防护建设实施，描述了工业企业新建/存量工业控 息安全技术工业控制系统信息安全防护建设实施规范》已形成制系统信息安全防护建设实施流程及实施过程中需考虑的13个 标准征求意见稿，面向社会公开征求意见。

标准规定了工业控制方面，制定了信息安全防护效果核验及对标方法。

工业网络安全风险评估标准获批2020年8月12日，ISA 和IEC 批准了工业网络安全风险评估 标准。

该ISA / IEC 62443系列标准共同提供了一套全面的规范 性要求，这些要求适用于工业网络安全解决方案生命周期的各个 阶段，从规范和幵发到实施到操作和支持。

目标受众包括资产所有者、系统集成商、产品供应商、服务提供商和法规遵从性机 构。

此次正式批准的IEC 62443-3-2标准定义了一组工程措施， 指导组织评估特定的工业控制系统风险，识别和应用安全对策， 降低安全风险到可接受的水平。

国家密码管理局发布26项密码行业标准，自2021年7月1日起实施据国家密码管理局公告，发布GM /T 0012-2020《可信计算 可信密码模块接口规范》等26项密码行业标准，自2021年7月1 曰起实施，具体标准编号及名称如下：1. GM /T 0012-2020可信计算可信密码模块接口规范2. GM /T 0078-2020密码随机数生成模块设计指南3. GM /T 0079-2020可信计算平台直接匿名证明规范4. GM /T 0080-2020SM 9密码算法使用规范5. GM /T 0081-2020SM 9密码算法加密签名消息语法规范6. GM /T 0082-2020可信密码模块保护轮廓7. GM /T 0083-2020密码模块非入侵式攻击缓解技术指南8. GM /T 0084-2020密码模块物理攻击缓解技术指南9. GM /T 0085-2020基于SM 9标识密码算法的技术体系框架10. GM /T 0086-2020基于SM 9标识密码算法的密钥管理系统技术规范11. GM /T 0087-2020浏览器密码应用接口规范12. GM /T 0088-2020云服务器密码机管理接口规范13. GM /T 0089-2020简单证书注册协议规范14. GM /T 0090-2020标识密码应用标识格式规范15. GM /T 0091-2020基于口令的密钥派生规范16. GM /T 0092-2020基于SM 2算法的证书申请语法规范17. GM /T 0093-2020证书与密钥交换格式规范18. GM /T 0094-2020公钥密码应用技术体系框架规范19. GM /T 0095-2020电子招投标密码应用技术要求20. GM /T 0096-2020射频识别防伪系统密码应用指南21. GM /T 0097-2020射频识别电子标签统一名称解析服务安全技术规范22. GM /T 0098-2020基于IP 网络的加密语音通信密码技术规范23. GM /T 0099-2020开放式版式文档密码应用技术规范24. GM /T 0100-2020人工确权型数字签名密码应用技术要求25. GM /T 0101-2020近场通信密码安全协议检测规范26. GM /T 0102-2020密码设备应用接口符合性检测规范GM /T 0012-2012《可信计算可信密码模块接口规范》自2021年7月1日起予以废止。

信息安全技术重要数据处理安全要求
（征求意见稿）
2023年8月，国家标准《信息安全技术重要数据处理安全要求》（征求意见稿）经全国信息安全标准化技术委员会组织审定后，向社会公开征求意见。

该标准规定了数据处理者处理重要数据的安全要求，主要涉及设施安全、数据处理活动的安全、运行与管理安全三大方面。

从征求意见稿来看，该标准明确了重要数据的定义，并对重要数据的设施安全、数据处理活动的安全、运行与管理安全的具体标准进行了规定，为数据处理者对重要数据开展处理活动提供了指引。

国家标准《信息安全技术信息安全风险评估规范》（征求意见稿）编制说明一、工作简况1.1 任务来源2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016年第二次全会讨论通过，研究修订《信息安全技术信息安全风险评估规范》国家标准。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口。

1.2 主要起草单位和工作组成员国家信息中心和北京安信天行科技有限公司主要负责起草，协作起草单位包括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上讯信息技术股份有限公司等。

1.3 主要工作过程标准于2017年3月开始进行相关调研工作，于2017年7月立项，于2017年4月至9月编制完成《信息安全技术信息安全风险评估规范（修订版）》草案，并邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等对草案进行多次研讨。

在2017年9月，标准召开了专家评审会。

并将修改完成后的《信息安全技术信息安全风险评估规范（修订版）》草案提交安标委，在2017年10月根据安标委的工作安排，供专家讨论评审。

标准于2018年1月根据专家意见，形成《信息安全技术信息安全风险评估规范（修订版）》（征求意见稿），提交进行意见征集。

（1）基础研究和调研组建《信息安全风险评估规范》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和新挑战；同时，组织技术力量对云计算、物联网、大数据、智慧城市等新技术应用对原有信息安全风险评估方法带来的挑战进行研究，并提出解决方案；组织人员对ISO/IEC 27005:2011、ISO/IEC 13335,NIST SP 800系列等国际标准进行研究，充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态，为《信息安全风险评估规范》修订工作提供借鉴。

国家标准《信息安全技术零信任参考体系架构》（征求意见稿）编制说明国家标准《信息安全技术零信任参考体系架构》（征求意见稿）编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2022年下达的国家标准制修订计划，国家标准《信息安全技术零信任参考体系架构》由网神信息技术（北京）股份有限公司负责承办，计划号：20220157-T-469。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员主要起草单位：奇安信网神信息技术（北京）股份有限公司、中国信息通信研究院、中国科学院软件研究所、中国科学院大学、国家计算机网络应急技术处理协调中心、中国科学技术大学、飞天诚信科技股份有限公司、国家信息技术安全研究中心、中国科学院信息工程研究所、北京天融信网络安全技术有限公司、公安部第三研究所、北京数字认证股份有限公司、江苏易安联网络技术有限公司、国民认证科技（北京）有限公司、启明星辰信息技术集团股份有限公司、深圳竹云科技股份有限公司、格尔软件股份有限公司、海信集团控股股份有限公司、大唐高鸿信安（浙江）信息科技有限公司、北京奇虎科技有限公司、上海派拉软件股份有限公司、杭州安恒信息技术股份有限公司、上海观安信息技术股份有限公司、国网区块链科技（北京）有限公司、兴唐通信科技有限公司、厦门市美亚柏科信息股份有限公司、北京百度网讯科技有限公司、北京远鉴信息技术有限公司、国家工业信息安全发展研究中心、中国信息安全测评中心、国家信息中心、公安部第一研究所、成都卫士通信息产业股份有限公司、中能融合智慧科技有限公司、北京信安世纪科技股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院数据与通信保护研究教育中心、中国移动通信集团公司、深圳市腾讯计算机系统有限公司、北京协和医院、新华三技术有限公司、北京芯盾时代科技有限公司、北京神州绿盟科技有限公司、杭州海康威视数字技术股份有限公司、华为技术有限公司、云从科技集团股份有限公司、深信服科技股份有限公司、北京安博通科技股份有限公司。

《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》（以下简称《网络安全法》）于2019年6月1日正式实施。

《网络安全法》作为我国网络空间安全管理的基本法律，框架性地构建了许多法律制度和要求，重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。

为保障上述制度的有效实施，一方面，以国家互联网信息办公室（以下简称“网信办”）为主的监管部门制定了多项配套法规，进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式；另一方面，全国信息安全标准化技术委员会（以下简称“信安标委”）同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿，为网络运营者提供了非常具有操作性的合规指引。

具体讲：1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》，并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件，以期全方位多层次地保障互联网信息内容的安全和可控性；2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上，发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。

考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求，新的《网络安全等级保护管理办法》也正在制定中；3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布，关键信息基础设施运营者的安全保护义务得以进一步明确。

但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确；4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。

《信息安全技术安全漏洞等级划分指南》编制说明中国信息安全测评中心中国科学院研究生院国家计算机网络入侵防范中心2013.01.06目录页一、工作简况 (3)1.1任务来源 (3)1.2.1预研立项 (3)1.2.2预研结题 (3)1.2.3标准立项 (3)1.2主要工作过程 (4)1.3主要起草人及其所做工作 (4)二、编制原则及标准主要内容 (5)2.1编制原则 (5)2.2主要内容 (5)三、分析论证过程及有关实验 (6)3.1草案第一版 (6)3.2专家评审 (6)3.3草案第二版 (6)3.4专家评审 (8)3.5草案第三版 (8)3.6专家评审 (10)3.7草案第四版 (10)3.8专家评审 (18)3.9草案第五版 (18)3.10 草案第六版 (19)3.11草案第七版 (19)3.12 专家评审 (19)3.13 专家评审及征求意见稿 (20)3.14 专家评审及形成送审稿 (20)3.15 专家函审及形成报批稿 (21)四、国内外安全漏洞等级划分情况 (21)4.1 国际现状 (21)4.2 国内现状 (22)4.3 项目组成果 (22)五、与有关的现行法律、法规和强制性国家标准的关系 (24)六、重大分歧意见的处理经过和依据 (24)七、国家标准作为强制性国家标准或推荐性国家标准的建议 (24)八、贯彻国家标准的要求和措施建议 (24)九、废止现行有关标准的建议 (24)十、其他应予说明的事项 (24)《信息安全技术安全漏洞等级划分指南》（征求意见稿）编制说明一、工作简况1.1 任务来源2008年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定《信息安全技术安全漏洞等级划分指南》国家标准,国标计划号：20111600－T-469。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由中国信息安全测评中心和中国科学院研究生院国家计算机网络入侵防范中心联合编制。

国家标准《信息安全技术大型互联网企业内设个人信息保护监督机构要求》（征求意见稿）编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术大型互联网企业内设个人信息保护监督机构要求》由中国人民大学负责承办，计划号：20230793-T-469,标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景2023年8月，我国《个人信息保护法》正式颁布，并于2023年11月正式实施。

其中，第58条被业界视为我国“互联网守门人”条款备受关注。

该条第一项要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

2023年3月，全国信息安全标准化技术委员会发布《关于发布2023年度网络安全国家标准需求的通知》，将本标准纳入2023年网络安全国家安全标准需求项目。

2023年10月，全国信息安全技术标准化委员会发布《关于2023年网络安全国家标准项目立项的通知》，明确本标准由中国人民大学作为项目牵头单位负责标准编制工作。

1.3起草过程1.3.1草案阶段1、2023年3月，中国人民大学牵头组建标准前期研究工作小组，小组对大型互联网企业个人信息保护监督机构相关立法、实践等进行详细调研，形成相应标准草案，并准备申报材料。

2、2023年4月、2023年7月，中国人民大学标准编制组在全国信息安全标准化技术委员会进行标准申报汇报。

3、2023年10月，全国信息安全技术标准化委员会发布《关于2023年网络安全国家标准项目立项的通知》，同意本标准由中国人民大学作为项目牵头单位负责标准编制工作。

4、2023年11月-12月，中国人民大学对外公开征集标准参编单位，正式成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组内部征求意见，对标准内容进行更新完善。

《汽车整车信息安全技术要求》（征求意见稿）编制说明一、工作简况（一）任务来源根据国家标准化管理委员会《关于下达<包装机械安全要求>等31项强制性国家标准制修订计划及相关标准外文版计划的通知》（国标委发〔2021〕27号）中项目编号20214422-Q-339的强制性国家标准制定项目，制定强制性国家标准《汽车整车信息安全技术要求》。

（二）主要工作过程受工业和信息化部委托，全国汽标委智能网联汽车分标委根据单位申请情况成立标准起草项目组，确定中国汽车技术研究中心有限公司、国汽（北京）智能网联汽车研究院有限公司和电子科技大学为标准起草项目组牵头单位，并在此基础上明确了任务和分工，积极开展标准的预研、起草及征求意见等工作。

自标准制定工作启动以来，牵头单位多次组织项目组成员单位召开项目组会议，分析了联合国等国际标准法规组织的汽车标准法规现状，讨论确定了适应中国汽车产业发展现状的汽车整车信息安全的技术要求并编写了标准草案，最终完成了标准的征求意见稿。

2019年11月启动标准编制工作，成立项目组，召开第1次会议。

2019年12月就标准边界及制定思路等内容征集各单位意见。

2020年3月项目组第2次会议（线上），围绕制定思路及框架展开讨论。

2020年4月～5月确定框架、征求参编意向并分工编写。

2020年6月～9月形成标准草案并提交立项申请。

2020年10月项目组第3次会议，持续完善标准草案。

2021年3月～4月根据行业管理需求和主管部门要求，将原推荐性国家标准项目调整为强制性国家标准项目。

2021年4月项目组第4次会议，完成本标准与UN WP29 R155法规的对比分析。

2021年5月～7月组织多次封闭写稿和专题研讨会议，持续完善标准草案。

2021年7月项目组第5次会议，充分参照R155法规及解释文件形成标准草案。

2021年8月～9月组织多次封闭写稿和专题研讨会议，持续完善标准草案。

2021年10月项目组第6次会议，对草案进行详细讨论，确定技术要求框架，形成试验方法。

国家标准《信息安全技术信息安全风险处理实施指南》（征求意见稿）编制说明一、任务来源根据全国信息安全标准化技术委员会2011年下达的国家信息安全战略研究与标准制定工作专项项目任务（计划号：20120535-T-469），国家标准《信息安全技术信息安全风险处理实施指南》由中国信息协会信息安全专业委员会（秘书处设在国家信息中心）负责主办。

二、任务背景为落实与发展原国务院信息办《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）的文件精神，在国家基本完成对我国基础信息网络和重要信息系统普遍进行信息安全风险评估工作后，规范性指导各被评估单位开展信息安全风险管理，科学控制信息安全风险，提升其信息安全技术与信息安全管理的安全保障能力，全面提高被评估单位信息安全的信息安全风险管理水平。

本标准将在国家标准GB/T20984-2007《信息技术信息安全风险评估规范》、GB/T24364-2009《信息技术信息安全风险管理指南》及国标《信息安全风险评估实施指南》（GB/T XXXXX-XXXX）的基础上，针对风险评估工作中反映出来的各类信息安全风险，形成客观、规范的风险处理方案，用于指导信息安全风险处理工作，促进风险管理工作的完善。

三、编制原则本标准属于信息安全标准，以自主编写的方式完成。

国家标准《信息安全技术信息安全风险处理实施指南》根据我国信息安全风险管理工作的发展，针对风险评估工作中反映出来的各类信息安全风险，形成客观、规范的风险处理方案，用于指导信息安全风险处理工作，促进风险管理工作的完善。

四、主要工作过程1、2012年3月至5月，由国家信息中心牵头，成立了由北京信息安全测评中心、北京数字认证股份有限公司、中国民航大学、东软集团股份有限公司、西安交大捷普网络科技有限公司等单位共同组成的标准编制组，进行课题调研，并形成了《信息安全风险处理指南》标准的基本框架和编制思路。

2、2012年5月17日，标准编制组正式召开国家标准《信息安全技术信息全测评认证中心崔书昆研究员、中国科学院研究生院赵战生教授、中国信息安全认证中心曹雅斌处长、电监会信息中心胡红升副主任、国家税务总局李建彬研究员等专家出席启动会。