现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号
国家标准《信息安全技术安全漏洞分类规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。 2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则
国家标准GB/T 13017修订编制说明 一、工作简况 1.任务来源 中国标准化研究院承担的国家标准GB/T 13017《企业标准体系表编制指南》(以下简称《指南》)的修订任务由中国标准化研究院提出,报国家标准化管理委员会批准,纳入国家标准化管理委员会制修订项目计划,编号为:53032Z-1101,项目代号20030435-T-424。 2.背景 《指南》于1991年发布后,曾于1995年第1次修订为V.2版,现为第2 次修订的V.3版。从V.2到目前即将发布的V.3的逾十年间,科学技术和标准都已呈现出巨大的发展与进步,使《指南》V.2版内容对照当前高新技术已显出很大的差距。首先,企业在面对瞬息万变的环境而又不能制定可预测的长期规划时,自身必须具有一种自然和动态的演进和适应能力,而不是偶然强加于企业的被动举动,这需要企业制订相应措施来应对。其次,我国目前在国民经济产值上虽然蒸蒸日上,但生产中的能耗、资源消耗、安全事故、劳动生产率、管理水平及在创新能力和国际竞争力上都居世界相当落后的地位,这对科学的管理体系提出了要求。再次,我国日益认识到标准的重要作用,起动了国家标准战略的研究,而企业的标准化是标准化战略的基础和落脚点。 3.主要工作过程 承接本标准的修订任务后,我院早在2003年就成立了的标准修订课题组,并去上海汽车工业(集团)公司和宝钢集团做了调研工作,在鲍仲平同志的直接指
导和亲自带领下,收集了大量标准和文献,做了充分的前期调研工作。经过课题组的努力,2006年初基本完成了本标准的草案稿,3月向本院的院领导及各研究所做了汇报,相继走访了多家企事业单位,深入听取了各方意见;并对草案做了多次修改,于2006年6月完成了本标准的征求意见稿。 二、内容简介 1.本标准的定位 a)为编制先进、科学的企业标准体系提供指导 《指南》第三版采纳并融合了国际上最新管理理念和高技术水平的标准。 b)面向所有企业的中性标准 定位在实施系统集成的现代化企业集团,同时也适用于不实施这些集成 的传统企业。既适合于制造业企业,也适用于服务业等其他企业,也可 以为政府电子政务项目建立标准体系提供指导。 2.技术创新 a)以企业建模标准体系(企业工程和集成标准体系)为指导ISO发布了企业建模的系列标准,包括“通用企业参考体系结构与方法 论”GERAM,其范围包括企业工程/企业集成所需的所有知识。要求把 改变过程中利用的多种学科的方法统一起来,例如工业工程、管理科学、 通信和信息技术等方法。GERAM框架的目的是要把基于产品模型和基 于业务过程设计的两种不同的企业工程方法统一起来。 b)以企业管理体系为指导 ISO已发展和制定出“质量管理体系”“环境管理体系”“职业健康安全 管理体系”“信息安全管理”等成套的标准体系,此外还有“风险管理”、
第十期《我国信息安全技术标准体系与认证认可制度介绍》 一. 什么是信息安全技术标准体系?为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段。 信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力。事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。 二. 国内外信息安全标准化组织有哪些?国际上与信息安全标准化有关的组织主要有以下四个。1.ISO/IEC JTC1 (信息技术标准化委员会)所属SC27 (安全技术分委员会)的前身是SC20 (数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。ISO/TC68 负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27 有着密切的联系。ISO/IEC JTC1 负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。 2. lEC 在信息安全标准化方面除了与ISO 联合成立了JTC1 下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如TC56 可靠性、TC74 IT 设备安全和功效、TC77 电磁兼容、TC108 音频/ 视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。 3.ITU SG17 组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。 4.IETF(Internet 工程任务组)制定标准的具体工作由各个工作组承担。IETF 分成八个工作组,分别负责Internet 路由、传输、应用等八个领域,其著名的IKE 和IPSec 都在RFC 系列之中,还有电子邮件、网络认证和密码及其他安全协
公共服务机器人标准工作组筹建方案 沈阳新松机器人自动化股份有限公司 2016-10-8
目录 一、公共服务机器人产业背景和标准现状 (3) 1.1 公共服务机器人的产业背景 (3) 1.2 国内外公共服务机器人标准和组织现状 (6) 二、建立公共服务机器人标准工作组的必要性和重要性 (7) 2.1 建立公共服务机器人标准工作组的必要性 (7) 2.2建立公共服务机器人标准工作组的重要性 (8) 三、建立公共服务机器人标准工作组的初步设想 (8) 3.1 公共服务机器人标准工作组的组织机构 (8) 3.2 公共服务机器人标准工作组的职责 (9) 四、公共服务机器人标准工作组的工作内容 (10)
一、 公共服务机器人产业背景和标准现状 1.1 公共服务机器人的产业背景 机器人的广泛应用是20世纪科技领域最伟大的成就之一。目前工业机器人已经大量应用于制造业。但是在机器人领域中,新的、有蓬勃生命力的服务机器人已经出现并且迅速发展起来。服务机器人技术是集机械、信息、材料、生物医学等多学科交叉的战略性高技术,对于相关技术与产业的发展起着重要的支撑和引领作用。 根据IFR(国际机器人联盟)统计,2014年,全球服务机器人市场销售额约59.7亿美元,2011-2014年全球服务机器人销售额复合年均增长率约为11%,其中,专业服务机器人的市场份额为63.1%;个人/家庭服务机器人的市场份额为36.9%。根据IFR的报告,全球服务机器人市场规模预计2012-2017年年复合增长率将达到17.4%,到2017年达到461.8亿美元。中国服务机器人市场规模预计从2015~2017年将由不到100亿增长到超过250亿人民币。在中国由于医疗、军用机器人市场占有率低,目前,市场上除了扫地机器人外,公共服务机器人占据了大部分市场。 图1 服务机器人统计数据图 公共服务机器人应用范围十分广泛,例如,在展览会会场、办公大楼、旅游景点为客人提供信息咨询服务的迎宾机器人,在政府机关、博物馆、旅馆等各种公共场所进行接待的接待机器人,在旅游景点、展览馆进行导游导览的导游机器人,商城、商场、房地产销售大厅的导购机器人,对人们需求各种信息咨询的咨询机器人,固定和移动售货机器人,体育竞技所需摄像机器人,新闻气象播报机器人,管道修理清洗机器人,在建筑物内或居民区内进行自动巡视的保安巡逻机
竭诚为您提供优质文档/双击可除国家信息技术服务标准工作组 篇一:it信息技术服务标准浅析 it服务之信息技术服务标准浅析 20XX年4月23日,工业和信息化部软件服务业司在京成立信息技术服务标准工作组(itss,以下简称:工作组),该标准工作组的主要任务是根据我国信息技术服务业发展 现状和趋势,研究提出信息系统建设、信息技术运维、信息技术服务管理、信息技术治理、软件即it服务(saas)、软件应用服务等方面的标准需求,研究并建立信息技术服务标准体系,制定信息技术服务领域的相关标准。 itss是国内it服务业首个自主创立的服务标准,权威性很强。标准的制定和应用示范将有效地引导和规范我国it 外包服务市场的成长,推动服务国家化、产业国际化进程,对产业未来发展产生深远影响。 itss基本特点: 1、全面覆盖:itss全面覆盖了it服务外包的组成要素、it服务的全生命周期,同时也覆盖了咨询、设计与开发、信
息系统集成、数据处理和运营等it服务的不同业务类型; 2、统筹规划:itss是一套体系化的标准库,其研发过程是从体系的规划设计着手,并按照“急用先行、成熟先上”原则而制定的; 3、科学权威:itss是严格按照《中华人民共和国标准化法》、《中华人民共和国标准化法实施条例》的要求,遵循公开、公平、公正的原则而研究制定的系列国家标准,用于指导信息; 4、技术服务行业的健康发展; 5、全面兼容:itss是在充分吸收质量管理原理和过程改进方法精髓的基础上,结合我国国情、由行业主管部门主导、以企业为主体、产学研用联合研发的,同时与itIL、cmmI、cobit、escm、Iso/Iec20000、Iso/Iec27001等国际最佳实践和国际标准兼容。 总的来说,itss可确保:标准化的it服务、可信赖的it服务。 篇二:信息技术服务-分类与代码(编制说明) 信息技术服务分类与代码 编制说明 信息技术服务标准工作组基础标准组 二○○九年七月 一、编制背景
信息安全产品评估标准综述 全国信息安全标准化技术委员会安全评估标准组崔书昆 信息安全产品,广义地是指具备安全功能(保密性、完整性、可用性、可鉴别性与不可否认性)的信息通信技术(ICT)产品,狭义地是指具备上述功能的专用信息通信技术产品。这些产品可能是硬件、固件和软件,也可能是软、固、硬件的结合。 一、国外信息安全产品评估标准的发展 以美国为首的西方发达国家和前苏联及其盟国,早在20世纪50年代即着手开发用于政府和军队的信息安全产品。到20世纪末,美国信息安全产品产值已达500亿美元。 随着产品研发,有关信息安全产品评估标准的制定也相应地开展起来。 (一)国外信息安全产品评估标准的演变 国际上信息安全产品检测评估标准的发展大体上经历了三个阶段: 1.本土化阶段 1983年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。在1990年前后,英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(CTCPEC)等。在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(FC),但由于其不完备性,未能推开。 2.多国化阶段 由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全产品评估标准被提了出来。 1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(ITSEC),并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
《全国主要产品分类与代码》国家标准发布实施 ———粮食行业相关代码介绍 中华人民共和国国家标准《全国主要产品分类与代码第1部分:可运输产品》(GB/T 7635.1-2002)(以下简称“可运输产品代码”标准)经中华人民共和国国家质量监督检验检疫总局发布,于2003年4月1日开始实施。 “可运输产品代码”标准是一项大型的基础性标准,是与国际通行产品目录协调一致的国家产品分类编码标准体系。规定了全国可运输产品的分类原则与方法、代码结构、编码方法、分类与代码。主要用于信息处理和信息交换。 一、《全国主要产品分类与代码》的组成 《全国主要产品分类与代码》由相对独立的两个部分组成,第一部分为可运输产品,第二部分为不可运输产品。第一部分由五大部类组成,与联合国统计委员会制定的《主要产品分类》(CPC)1998年10版的第1部分相对应,一致性程度为非等效。 “可运输产品代码”标准是对《全国工农业产品(商品、物资)分类与代码》(GB/T7635—1987)的修订。主要变化有: 1、对GB/T7635—1987标准名称进行了修改; 2、对代码结构和编码方法进行了修改。GB/T7635—1987代码结构是四层8位数字码,每层2位码,采用了平均分配代码的方法。“可运输产品代码”标准代码结构是六层8位数字码,前五 —1 —
层是一层1位码,第六层是3位码,采用了非平均分配代码方法; 3、产品分类和类目的设置进行了较大幅度的调整。 4、采用了GB/T10113-1988《分类编码通用术语》中确立的术语;产品类目采用了规范的产品名称。 二、我国主要粮食与机械产品分类代码介绍 在“可运输产品代码”标准中,与粮食行业相关的产品分类代码涉及我国原粮、米面油产品和粮油加工机械产品等三个方面。摘录如下: —2 —
信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005.即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
附件2: 社会保险核心业务数据质量规范 国家标准编制说明 一、任务来源 国家标准《社会保险核心业务数据质量规范》已列入国家标准化管理委员会2010年国家标准制修订计划,计划编号为20100667-T-316。本标准由人力资源和社会保障部提出,全国社会保险标准化技术委员会归口,人力资源和社会保障部社会保险事业管理中心、辽宁省社会保险事业管理局等九家单位联合起草。本标准为推荐性国家标准,是我国社会保险服务建设中急需制定的基础标准之一。制定社会保险核心业务数据质量管理标准,对于提高社会保险核心业务数据质量、提高社会保险经办服务水平、提升经办机构执行力,以及实现政策制定科学化具有十分重要的现实意义。各级社会保险经办机构在进行数据管理过程中须严格遵照执行。 二、编制原则 本标准起草过程坚持了以下基本原则: (一)成熟为主。本标准是将部颁标准中的部分数据指
标抽取出来,上升到国标进行发布执行,因此,指标项目要选择险种或业务种类当中确定的、明晰的、稳定的指标项目。 (二)侧重应用。本标准是指导社会保险经办机构在进行数据管理时提高数据质量所参照的依据,因而应具备较强的应用性,因此,在选择指标项目时,重点考虑数据指标在业务经办过程中是否重要、必须、常用。 (三)兼顾发展。本标准在制定初期,社会保险事业也处在不断发展时期,因此,标准的内容、含义、概念、技术等方面主要立足当前,适当考虑未来及发展,使标准具有不断发展、不断完善空间。 (四)留有扩充。随着社会保险事业的不断发展,管理工作会越来越向着精细化方向发展,因此,现在制定的标准不可能一劳永逸,一成不变,因此,并没有将所有的数据指标全部纳入。 三、编制过程 2011年5月,部社保中心下发文件(人社险中心函[2011]49号)组建了以辽宁省社会保险事业管理局为牵头单位,以北京市社会保险基金管理中心、江西省社会保险管理中心、吉林省长春市社会保险局、大连市医疗保险管理中心、江苏省常州市职工医疗保险基金管理中心、河南省洛阳市社会保险事业管理局、四川省成都市社会保险事业管理局等7家单位为成员单位的《社会保险核心业务数据质量规范》国
附件 网上银行系统信息安全通用规范 (试行) 中国人民银行
目录 1使用范围和要求 (4) 2规范性引用文件 (4) 3术语和定义 (5) 4符号和缩略语 (6) 5网上银行系统概述 (6) 5.1系统标识 (6) 5.2系统定义 (7) 5.3系统描述 (7) 5.4安全域 (8) 6安全规范 (9) 6.1安全技术规范 (9) 6.2安全管理规范 (22) 6.3业务运作安全规范 (26) 附1 基本的网络防护架构参考图 (30) 附2 增强的网络防护架构参考图 (31)
前言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范 GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求 GB/T 22080-2008 信息技术安全技术信息安全管理体系要求 GB/T 22081-2008 信息技术安全技术信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号) 《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)
信息安全专业简介 随着计算机技术与网络通信技术的广泛应用,社会对计算机的依赖越来越大,而计算机系统的安全一旦受到破坏,不仅会导致严重的社会混乱,也会带来巨大的经济损失。因此,信息安全已成为信息科学的热点课题,信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为:计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括:计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少,尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多,并且大多分布在高校和研究院所,按照目前信息化发展的状况,社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾,必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础,较好的外语和计算机技术运用能力,掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,具有较高的综合业务素质、较强的实践、创新与知识更新能力,可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。