下载文档原格式
标准咨询CHINA QUALITY AND STANDARDS REVIEW网络安全(cybersecurity)国际标准进展与解读谢宗晓 (中国金融认证中心)甄杰(重庆工商大学商务策划学院)董坤祥(山东财经大学管理科学与工程学院)标 准 解 读1 概述与概念ISO/IEC 27100于2018年10月立项,目前正在开发中,状态为工作组草案。
计划在2021年11月发布。
该标准提供了网络安全的概述,以及相关的术语和定义。
网络安全已成为一个重要话题。
虽然它看起来与信息安全相似,并且许多信息安全控制、方法和技术可以用于管理网络安全风险,但网络安全与信息安全还是存在诸多不同。
尤其之前存在的狭义的网络安全(network security),这与网络安全术语的使用方式不一致[1,2]。
需要一个标准来定义网络安全,建立其情境,并描述相关概念,包括网络安全与信息安全的关系和区别。
需要注意的是,在目前可以获取的版本中,对于网络空间(cyberspace)的定义并没有强调其虚拟性,而是强调基础设施,其中认为:网络空间是一个全球互联的空间,包括互联网和其他网络、数字设备、系统、服务和流程,为个人、企业和政府的广泛活动和互动提供了全球性的基础设施。
当然,注:WD——Work Draft,工作组草案;DIS——Draft International Standard,国际标准草案;TR——Technical Report,技术报告;TS——Technical Specification,技术规范。
网络安全(cybersecurity)已经成为ISO/IEC JTC 1/SC27(信息安全、网络安全与隐私保护分技术委员会)的重要方向之一,在最新公布的SD11中1),信息安全管理体系工作组(WG1)会承担相应的工作。
截至2019年5月,开发中的或发布的相关标准共有4项,如表1所示。
编号状态标题ISO/IEC 27100WD TS 信息技术 安全技术 网络安全 概述与概念2)(Information technology—Security techniques—Cybersecurity—Overview and concepts) ISO/IEC 27101WD TS 信息技术 安全技术 网络安全 框架开发指南(Information technology—Security techniques—Cybersecurity—Framework development guidelines)ISO/IEC 27102DIS 信息技术 安全技术 网络保险 信息安全管理指南3)(Information technology—Security techniques—Information security management guidelines for cyber insurance)ISO/IEC 2710TR信息技术 安全技术 ISO与IEC关于网络安全的标准(Information technology—Security techniques—Cybersecurity and ISO and IEC Standards)表1 网络安全相关国际标准1) SC27 SD11 Overview of Work of SC27, (SC 27工作概述)原文在,https://www.din.de/en/meta/jtc1sc27。
标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系(BCMS)相关标准介绍张旭刚(中国金融认证中心)韩少伟(内蒙古自治区公安厅)谢宗晓(中国金融认证中心)标 准 解 读1 概述随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视,尤其是银行业,一旦发生核心业务中断,且在规定时间内1)未完成恢复,不仅会给银行的声誉和利益带来严重影响和损失,而且会影响社会稳定。
鉴于此,2011年12月,银保监会2)发布了《商业银行业务连续性监管指引》(银监发〔2011〕104号),正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
其中第三十三条规定,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。
进一步又明确了重要系统的业务连续性在我国的法律地位。
通常容易将业务连续性管理(BCM)与灾难恢复(Disaster Recovery,DR)混淆。
在ISO 22301:2012《公共安全 业务持续性管理体系 要求》中,业务连续性管理(BCM)定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
”所以,严格地说,灾难恢复是恢复数据的能力,解决信息系统灾难恢复的问题。
而业务连续性强调的是组织业务不间断的能力,范围更大。
《信息产业发展指南》解读之四:准确把握“十三五”我国信息产业发展的主要目标《信息产业发展指南》发展目标是引导和促进规划实施的重要手段,是推动规划努力落实的重要方向。
为明确“十三五”期间我国信息产业发展的主要任务和重点领域,《信息产业发展指南》全面总结“十二五”发展成效和问题,准确认识“十三五”发展面临形势,深刻理解“十三五”发展总体要求,提出了“十三五”期间的若干发展目标,以加快建立具有国际竞争力、安全可控的信息产业生态体系,进一步提升我国信息产业的全球价值链地位。
一、目标设定的总体考虑《信息产业发展指南》目标的设定,综合考虑了以下几方面因素:第一,能够体现网络强国和制造强国战略要求。
信息产业既是网络强国实施主体,又是制造强国支撑主体。
目标的设定,要能够体现网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的网络强国战略要求,同时体现信息技术支撑制造业高端化、智能化、绿色化、服务化发展的制造强国战略要求。
第二,紧扣《国民经济和社会发展第十三个五年规划纲要》的总体安排。
国家“十三”五规划《纲要》是面向信息产业在内的全国经济、社会发展的总体指导性文件。
目标的设定,要根据《纲要》在经济发展、创新驱动、民生福祉和资源环境方面的目标要求,结合信息产业特点进行细化。
第三,指标数据具有可量化和可比较性。
指标的设定,借鉴参考了国外的评价指标,考虑了历史数据的可获得和可量化性,形成了包括信息产业收入规模、世界500强企业情况、R&D投入、专利、能耗等指标在内的指标体系,能够实现与历史数据和国外数据的对比。
第四,体现系统性和全面性相结合。
指标的设立要能够满足系统评价信息产业发展水平的需要,同时还要体现信息产业当前发展情况、国际竞争力、发展潜力等各方面的综合实力,体现系统性和全面性的良好结合。
综合考虑上述因素,《信息产业发展指南》设定了技术创新、产业规模、产业结构、服务水平、绿色发展5大类目标,共13项量化指标。
数据安全风险与治理的实践指南解读摘要:随着数字经济时代来临,中国高度重视数据安全和个人信息保护、数字隐私,在已有《网络安全法》基础上,今年制定了《数据安全法》《个人信息保护法》并加紧出台。
此外,还要求及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度,抓紧补齐短板,以良法善治保障新业态新模式健康发展。
本文就数据安全风险与治理的实践的重点内容进行相关阐述。
关键词:数据安全风险;治理;指南解读《网络安全法》、《数据安全法》、《个人信息保护法》等一系列规范和促进数字经济发展而制定的法律法规以及政策,构成了中国数字规则体系,主要是满足数字经济快速发展的需要,在数字经济时代必须有完善的法律法规才能促进数字经济健康发展。
数据已经成为“21世纪的石油”,作为一种新的生产要素,也是企业、社会和国家安全的重要战略资源。
这些数据在推动人工智能技术发展方面也具有巨大的战略价值,而中国则是全球生产数据最多的国家,必须加以保护并巩固优势。
一、数据安全治理研究现状数据安全问题由来已久,尤其在数据上升为新型生产要素后,面临的挑战越来越大。
一方面,各类数据泄露事件频发,为组织和企业的数据安全状况敲响警钟;另一方面,数据和隐私相关法律规范陆续颁布,监管力度不断加强,监管要求不断提升。
然而,当前的行业数据安全治理处于发展初期,与监管的要求存在较大差距。
(一)数据安全治理保障体系不完善数据安全治理能力建设涉及多个部门,沟通成本高,协同难度大,需要建立统一的数据安全治理组织框架,分层次切实履行数据安全管理职责。
然而,当前大多数企业缺乏相应的治理组织,难以对数据安全治理进行统一的战略规划和资源协调。
(二)数据安全治理技术体系不成熟数据应用技术的复杂性、数据海量汇聚的风险性、数据的深度挖掘及隐私保护等问题都对传统数据安全保障能力提出了新挑战。
如何解决多样化场景下面临的数据安全威胁和潜在风险,需要加强数据安全核心技术的创新研究与深化应用。
