《信息安全技术 网络安全服务能力要求-编制说明.docx》由会员分享,可在线阅读,更多相关《信息安全技术 网络安全服务能力要求-编制说明.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、国家标准信息安全技术网络安全服务能力要求(征求意见稿)编制说明一、工作简况1.1任务来源根据全国信息安全标准化技术委员会的标准制修订计划,信息安全技术网 络安全服务能力要求由中国电子技术标准化研究院负责承办,计划号:XXX0 该标准由全国信息安全标准化技术委员会归口管理。1. 2主要起草单位和工作组成员中国电子技术标准化研究院负责起草,中国网络安全审查技术与认证中心、 中国信息安全测评中心、国家信息技术安全研究中心、中国电子科技集团公司第 十五研究所(信息产业信息安全测评中心)、杭州安恒信息技术股份有限公司、 北京安信天行科技有限公司、北京神州绿盟科技有限公司、广州竞远安全技术股 份有限公司、
2、中国移动通信集团有限公司、北京信息安全测评中心等单位共同参 与了该标准的起草工作。主要起草人:杨建军、何延哲、李有元、程瑜琦、陆丽、史大为、刘健、陈 星、陈青民、金达、何刚、程璐样、韦国文、邱勤、李媛、朱雪峰、李彦峰、白旭 东、李伟旗等。1. 3主要工作过程1、2021年8月,标准开始进行预研,对网络安全服务能力相关问题及措施 进行调研。2、2022年1月,标准编制组正式成立,并进行分工完善标准草案。3、2022年4月,标准编制组在信安标委大数据工作组进行立项汇报,通过 组内成员单位投票。4、2022年6月-7月,根据标准快速程序流程,标准召开多次专家评审会, 标准编制组根据意见进行认真修改后
3、形成征求意见稿。5、2022年10月,标准编制组召开组内会议,对征求意见稿内容、格式继进行把关、确认。二、标准编制原则和确定主要内容的论据及解决的主要问题为推动网络安全服务满足网络安全法数据安全法关键信息基础设施 安全保护条例等法律法规要求,保证网络安全服务的质量、效果,防范服务过 程中的网络安全和数据安全风险,提升服务的可持续性、可替代性,制定该标准。信息安全技术网络安全服务能力要求通过借鉴国外立法和标准的研究, 结合国内应用实践和标准编制组的科研成果,提出与国际标准接轨、适合我国国 情,并具有一定创新性的标准。为网络安全服务机构开展网络安全服务提供了指 导和依据。本标准的编制遵循以下原则:
4、1、先进性:标准反映当今网络安全服务的先进技术水平;2、开放性:标准的编制、评审与使用具有开放性;3、适应性:标准结合我国国情;4、简明性:标准易于理解、实现和应用;5、中立性:公正、中立,不与任何利益攸关方发生关联;6、一致性:术语与国内外标准所用术语最大程度保持一致。标准规定了网络安全服务机构提供网络安全服务应具备的能力。适用于指 导网络安全服务机构开展网络安全服务,也可供政务部门、关键信息基础设施运 营者选用网络安全服务机构时参考,还适用于第三方评价网络安全服务机构的能 力水平。标准主要内容分为6个章节,1个规范性附录,1个资料性附录,分别针对 网络安全服务的通用要求、不同类型服务的专项
5、要求、服务关键信息基础设施的 要求等进行详细的说明,对当前网络安全服务领域存在的交付质量差、交付不规 范、服务过程引入安全风险、可能造成服务需求方的数据被泄露、滥用等问题提 出了针对性的要求。三、主要试验情况分析标准在编制过程中,对从事网络安全服务的机构、网络安全服务需求方进行 了多次调研,以保证标准条款的可实施落地。后续,标准还将由参与标准编制的 各单位积极进行试验应用,针对不同的服务类型,如检测评估、安全运维、安全 咨询等,最后将实施经验转化为标准的具体内容,以增加标准的实用性。四、知识产权情况说明无。五、产业化情况、推广应用论证和预期达到的经济效果网络安全服务是网络安全产业中非常重要的组
6、成部分,国内网络安全服务认 证市场正处于发展阶段,目前包括中国网络安全审查技术与认证中心、中国信息 安全测评中心、中国通信企业协会等先后开展了信息安全服务资质认证,但认证 服务的分类、认证标准等均存在不一致等情况,部分网络安全企业需要从多个渠 道取得服务认证以便于拓展市场,为此也付出了高昂的成本。信息安全技术网 络安全服务能力要求依据当前最新法律法规要求,统一对网络安全服务提出统 一的要求,对后续支撑开展统一的网络安全服务认证,规范网络安全服务,促进 网络安全产业发展有着重要意义,其经济效果也相当可观。六、采用国际标准和国外先进标准情况无。七、与现行相关法律、法规、规章及相关标准的协调性本标准
7、与现行法律、法规以及国家标准不存在冲突与矛盾。本标准支撑网络安全法关键信息基础设施安全保护条例等法律法规 政策文件关于网络安全服务相关的管理要求。八、重大分歧意见的处理经过和依据无。九、标准性质的建议建议本标准作为推荐性国家标准发布实施。十、贯彻标准的要求和措施建议本标准规定了网络安全服务机构提供网络安全服务应具备的能力。本标准适用于指导网络安全服务机构开展网络安全服务,也可供政务部门、 关键信息基础设施运营者选用网络安全服务机构时参考,还适用于第三方评价网 络安全服务机构的能力水平。建议本标准作为开展网络安全服务机构能力认证中作为测评依据配套使用。十一、替代或废止现行相关标准的建议无。十二、其它应予说明的事项无。国家标准信息安全技术网络安全服务能力要求编制工作组2022年11月7日