信息安全检测依据的标准清单
现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号
国家标准《信息安全技术安全漏洞分类规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。 2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
07中华人民共和国档案法1987年9月5日第六届全国人民代表大会常务委员会第二十二次会议通过。根据1996年7月5日第八届全 国人民代表大会常务委员会第二十次会议《关于修改<中华人民共和国档案法>的决定》修正。 1988.01.01 08中华人民共和国刑法1979年7月1日第五届全国人民代表大会第二次会议通过。《中华人民共和国刑法修正案(八)》(发布日期:2011 年2月25日实施日期:2011年5月1日)修正或修改 1997.10.01 09中华人民共和国消防法1998年4月29日第九届全国人民代表大会常务委员会第二次会议通过,2008年10月28日第十 一届全国人民代表大会常务委员会第五次会议修订 2009.05.01 10中华人民共和国民法通则中华人民共和国主席令第三十七号《中华人民共和国民法通则》已由中华人民共和国第六届全国人民代表 大会第四次会议于一九八六年四月十二日通过,现予公布,自一九八七年一月一日起施行。 1987.01.01 11中华人民共和国劳动法1994年7月5日第八届全国人民代表大会常务委员会第八次会议通过。1995.01.01 12中华人民共和国劳动合同法2007年6月29日第十届全国人民代表大会常务委员会第二十八次会议通过。2008.01.01 13中华人民共和国国家安全法1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过,1993年2月22日中 华人民共和国主席令第68号公布。 1993.02.22 14中华人民共和国标准化法1988年12月29日第七届全国人民代表大会常务委员会第五次会议通过,1988年12月29日中华人民共和 国主席令第11号公布。 1989.04.01 15中华人民共和国治安管理处罚条例《中华人民共和国治安管理处罚条例》现在已变成《中华人民共和国治安管理处罚法》2005年8月28日 公布,2006年3月1日起实施 1987.01.01 16中华人民共和国消费者权益保护法全国人民代表大会常务委员会关于修改<中华人民共和国消费者权益保护法>的决定》已由中华人民共和 国第十二届全国人民代表大会常务委员会第五次会议于2013年10月25日通过,现予公布,自2014年3 月15日起施行。 1994.04.01 17中华人民共和国著作权法1990年9月7日第七届全国人民代表大会常务委员会第十五次会议通过,根据2001年10月27日第九届全国人民代表大 会常务委员会第二十四次会议《关于修改〈中华人民共和国著作权法〉的决定》修正,根据2010年2月26日第十一届 全国人民代表大会常务委员会第十三次会议《关于修改〈中华人民共和国著作权法〉的决定》第二次修正。 1991.06.01
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
员工信息安全规范 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成; 例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。
3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新; 如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报。 5)软件的使用: 员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P 终结者、网络执法官之类的网络管理软件; 工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件; 公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务;如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需
国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005.即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全
信息安全管理规 第一章总则 第一条为规企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规。本管理规目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规的适用围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规适用于公司所承担服务支撑的外部各单位的信息系统的安全工作围。 第六条本规主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。 第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、
运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统围的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: ?根据本规制定信息系统的信息安全管理制度、标准规和执行程序; ?监督和指导信息安全工作的贯彻和实施;
解读国标T信息安全技 术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:安全事件应急处置和报告 对个人信息控制者的要求包括:
一、1单项选择题(1-605) 1、Chinese Wall 模型的设计宗旨是:(A)。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是:(C)。 A、“三分靠技术,七分靠管理” B、“七分靠技术,三分靠管理” C、“谁主管,谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下(B)不属于 信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和 维护项目应该(A)。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看,计算机系统的最主要弱点是(B)。 A、内部计算机处理 B、系统输入输出 C、通讯和网络 D、外部计算机处理 6、从风险管理的角度,以下哪种方法不可取?(D) A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入,安全意识和安全手段之间形成(B)。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?(D)。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在 该系统重新上线前管理员不需查看:(C) A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行(B)。 A、逻辑隔离 B、物理隔离 C、安装防火墙 D、VLAN 划分 11、根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素
全国信息安全标准化技术委员会工作组章程 (2017年2月3日) 第一章总则 第一条为加强全国信息安全标准化技术委员会(以下简称“信安标委”)工作组的管理,规范工作组工作及相关活动,根据《全国信息安全标准化技术委员会章程》的有关规定制定本章程。 第二条本章程适用于信安标委下设的工作组(WG)和特别工作组(SWG)。 第三条工作组的设立、调整或撤消,由信安标委秘书处(以下简称“秘书处”)提出建议,报请信安标委主任办公会审议批准。 第二章工作组组成 第四条工作组设组长一名,全面负责工作组工作。工作组组长由秘书处提名,经信安标委主任办公会审议任命。工作组可设副组长,协助组长开展工作。副组长由组长提名,经主任委员批准任命。秘书处指派联络员,负责与工作组对口联络。
第五章工作组可设秘书,按组长要求组织和落实工作组相关工作,包括标准项目管理和推进、会议组织、文档 管理、工作组成员管理等。 第六条组长、副组长应具备的基本条件: 1. 遵守国家法律法规的中国公民; 2. 愿意为国家网络安全标准化事业做出贡献,具有较强的技术研究能力或丰富的标准化工作经验,并具备较强的组织协调能力; 3. 工作认真负责,公平公正,作风民主; 4. 具有相关工作基础和支撑其开展工作的条件。 第七条工作组成员应具备的基本条件: 1. 在我国境内注册的、具有法人资格的企业、高等院校、科研院所等; 2. 自愿加入工作组,承认并遵守本章程; 3. 从事与工作组技术领域相关的业务。 第八条工作组成员具有的权利: 1. 对工作组有关事宜享有表决权; 2. 了解工作组的工作情况和工作计划,申请或参与工作组标准项目; 3. 获取工作组工作文件、信息服务,以及信安标委刊物、技术资料等;
计算机信息安全管理规范 目的: 确保所有信息安全,防止公司重要数据泄露到允许范围以外。 规范计算机的管理,使之安全、稳定、可靠环境下运行。 一:病毒防护 1、基本要求 (1)严禁增删硬盘上的应用软件和系统软件,不得随意安装非工作需要的应用软件;软件安装必须通过IT部来完成; (2)所有计算机均不得安装游戏软件; (3)从软盘或光盘复制数据之前必须先用杀毒软件进行查杀,确保无毒后使用; (4)任何人不得向他人提供含有计算机病毒的文件、软件、媒体; (5)任何人在从INTERNET或INTRANET上复制文件前均应先行杀毒; (6)任何人不得通过互联网访问反动、色情、邪教等非法站点; (7)任何人未经同意,不得使用他人的电脑,公用电脑除外; (8)业务数据、文件应严格按照要求妥善存储在网络上相应的位置或本地硬盘上; (9)使用人在离开电脑前应先退出系统锁定电脑或关机。 2、监管措施 (1)由公司IT部负责所有计算机的病毒检测和清查工作; (2)按照病毒防范(含检测周期、时间、方式、工具及责任人)规范实施杀毒措施; (3)工作时间内INTERNET只对必需部门和员工开放,如因工作需要可提出申请,经批准后方可开通; (4)使用网络版杀毒软件,确保全网自动安装、全网自动升级,采用集中式管理、分布式杀毒的方式,大大提高全网查杀病毒的效率; (5)由IT部负责对防病毒措施的落实情况进行监督。 二:硬件保护及保养 1、基本要求 (1)除公司IT部外,任何人不得随意拆卸所使用的电脑或相关的电脑设备; (2)各计算机的硬件配置统一由IT部负责,任何部门或个人不得私自更改配置或调换; (3)IT部人员在拆卸电脑时,必须采取必要的防静电措施; (4)IT部人员在作业完成后或准备离开时,必须将所拆卸的设备复原; (5)员工对自己所使用的电脑负有日常清洁维护的责任,应按标准操作规范操作电脑,定期进行维护清洁,保持所用电脑及外设始终处于整洁和良好的状态;
信息安全技术网络安全等级保护测评要求 第1部分:安全通用要求 编制说明 1概述 1.1任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义 《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法。
《可信计算规范 第2部分:可信平台主板功能接口规范》 编制说明 可信计算标准平台组 2011年09月
国家标准《可信计算规范 第2部分:可信平台主板功能接口规范》 编制说明 一、任务来源 可信计算技术解决了以往终端PC体系结构上的不安全,从基础上提高了可信性,正在成为计算机安全技术与产业的发展趋势,各个国家和IT企业巨头都积极投身于可信计算领域的技术研究、标准制定与可信计算产品开发,以企占领未来信息安全以至IT技术的制高点。 为了推进可信计算在中国快速、健康的发展,2008年2月,全国信息安全标准化技术委员会将“可信平台主板功能接口”课题下达给北京工业大学,课题负责人沈昌祥院士。沈昌祥院士组织成立了以企业为主体的“产学研用”结合的“可信平台主板功能接口”,研究制定“可信平台主板功能接口规范”。项目启动会于2008年12月17日在北京工业大学召开。 可信计算规范分为4个部分,第1部分:可信平台控制模块规范、第2部分:可信平台主板功能接口规范、第3部分:可信基础支撑软件规范、第4部分:可信网络连接架构规范。 本部分是该系列标准的第2部分,由北京工业大学、中国长城计算机深圳股份有限公司、武汉大学、南京百敖软件有限公司、航天科工706所等负责起草。参与标准制定的单位有中国电子科技集团公司信息化工程总体研究中心、北京龙芯中科技术服务中心有限公司、中安科技集团有限公司、瑞达信息安全产业股份有限公司、江南计算所、中船重工第707研究所、华为技术有限公司、北京超毅世纪网络技术有限公司、北京华大恒泰科技有限责任公司等。 二、编制原则 1)积极采用国家标准和国外先进标准的技术,并贯彻国家有关政策与法规; 2)标准编制要具有一定的先进性、科学性、可行性、实用性和可操作性; 3)标准内容要符合中国国情,广泛征求用户、企业、专家和管理部门的意见,并做好意见的正确处理; 4)面向市场,参编自愿;标准编制工作与意见处理,应坚持公平、公正,切实支持产业发展; 5)合理利用国内已有标准科技成果,处理好标准与知识产权的关系;