國家標準
1.2022年3月9日,GB/T 25069-2022《信息安全技術術語》發布。
本標準定義了信息安全技術領域基本或通用概念的術語和定義,並對項目進行了分類。它是信息安全領域的重要基礎標準,也是所有信息安全人員在信息安全領域進行交流、開展研究工作和實施項目的基本工具。
2.2022年3月9日,GB/T 20278-2022《信息安全技術網絡漏洞掃描產品安全技術要求和測試評估方法》發布。
本標準規定了網絡漏洞掃描產品的安全技術要求和測試評估方法。安全技術要求分為基礎級和增強級,包括安全功能要求、自身安全防護要求、環境適應性要求和安全保障要求。
3.2022年3月9日,GB/Z 41290-2022《信息安全技術移動互聯網安全審計指南》發布。
該標準定義了移動互聯網安全審計活動的概念,描述了移動互聯網安全審計活動中的角色、職責、審計範圍和審計內容,給出了安全審計活動的框架、功能任務和各功能任務的具體指導。
4.2022年3月9日,GB/Z 41288-2022《信息安全技術重要工業控制系統網絡安全防護指南》發布。
本標準規定了重要工業控制系統網絡安全防護的基本原則、安全防護技術、應急備份措施和安全管理要求,以建立重要工業控制系統的網絡安全防護體系。
5.2022年3月9日,GB/T 41241-2022《核電廠工業控制系統網絡安全管理要求》發布。
本標準規定了核電廠工業控制系統的網絡安全管理、技術保護和應急管理的要求,並給出了核電廠工業控制系統網絡安全等級的描述。
6.2022年3月9日,GB/T 41260-2022《數字化車間信息安全要求》發布。
該標準規定了數字化車間信息安全的壹般規則、管理要求和技術要求,給出了數字化車間信息安全的常見威脅,並給出了典型機械制造行業的數字化車間信息安全實例,提出了增強數字化車間信息安全的要求。
7.2022年3月9日,GB/T 41267-2022《網絡關鍵設備安全技術要求交換機設備》和GB/T 41266-2022《網絡關鍵設備安全檢測方法交換機設備》發布。
這兩個標準是相輔相成的。壹是規定了列入網絡關鍵設備目錄的交換機設備的安全功能要求和安全保障要求。另壹類給出了與安全功能需求和安全保障需求相對應的安全檢測和評估方法。其中,安全功能需求包括設備識別安全、冗余、備份恢復和異常檢測、漏洞和缺陷管理、預裝軟件啟動和更新安全、默認狀態安全、抵禦常見攻擊的能力、用戶識別和認證安全、訪問控制安全、日誌審計安全、通信安全、數據安全和密碼需求。
8.2022年3月9日,GB/T 41269-2022《網絡關鍵設備安全路由器設備技術要求》和GB/T 41268-2022《網絡關鍵設備安全檢測方法路由器設備》發布。
兩個標準互為補充,其中壹個標準規定了列入網絡關鍵設備目錄的路由器設備的安全功能要求和安全保障要求。另壹類給出了與安全功能需求和安全保障需求相對應的安全檢測和評估方法。其中,安全功能需求包括設備識別安全、冗余、備份恢復和異常檢測、漏洞和缺陷管理、預裝軟件啟動和更新安全、默認狀態安全、抵禦常見攻擊的能力、用戶識別和認證安全、訪問控制安全、日誌審計安全、通信安全、數據安全和密碼需求。
9.2022年3月9日,GB/T 41274-2022《可編程控制系統本質安全架構》發布。
本標準規定了可編程控制系統內生安全的體系結構,描述了可編程控制系統內生安全的目標和各單元模塊的相關安全要求,規定了可編程控制系統的內生安全要求。其中,可編程控制系統內生安全的目標是保證可編程控制系統的完整性,各單元模塊的相關安全要求包括全生命周期安全保護、綜合診斷和高可用性實現。
10.2022年4月5日15,GB/T 41387-2022《采用信息安全技術的智能家居通用安全規範》發布。
本標準規定了智能家居安全的通用技術要求,包括對智能家居終端、智能家居網關、智能家居控制終端和智能家居應用服務平臺的安全要求,以及相應的安全測試和評估方法。
11.2022年4月15日,GB/T 41388-2022《信息安全技術可信執行環境基礎安全規範》發布。
該標準建立了可信執行環境系統的總體技術框架,描述了可信執行環境、可信虛擬化系統、可信操作系統、可信應用和服務管理、跨平臺應用中間件等主要內容的基本要求及其測試和評估方法。
12.2022年4月5日15,GB/T 41389-2022《信息安全技術SM9密碼算法使用規範》發布。
本標準規定了SM9密碼算法的使用要求,描述了密鑰、加密和簽名的數據格式,主要內容包括SM9的密鑰對、技術要求和驗證方法,並在附錄中提供了數據格式編碼測試案例。
13.2022年4月5日,1391-2022《信息安全技術移動互聯網應用程序(App)收集個人信息的基本要求》發布。
本標準規定了App收集個人信息的基本要求,包括最低必要收集、必要個人信息、個人信息的具體類型、知情同意、系統權限、第三方收集管理等要求,並給出了常用服務類型App的必要個人信息範圍和使用要求。
14.2022年4月5日15,GB/T 41400-2022《信息安全技術工業控制系統信息安全防護能力成熟度模型》發布。
該標準給出了工業控制系統信息安全保護能力成熟度模型,規定了核心保護對象安全和壹般安全的成熟度等級要求,提出了能力成熟度等級的驗證方法。
15.2022年4月15日,GB/T 41479-2022《信息安全技術網絡數據處理安全要求》發布。
本標準規定了網絡運營者進行網絡數據采集、存儲、使用、加工、傳輸、提供和披露等數據處理的安全技術和管理要求。同時,該標準作為數據安全管理認證的依據。
16.2022年4月5日15,GB/T 20984-2022信息安全技術信息安全風險評估方法發布。
本標準描述了信息安全風險評估的基本概念、風險要素之間的關系、風險分析的原則、風險評估的實施流程和評估方法,以及信息系統生命周期不同階段風險評估的實施要點和工作形式。
17.2022年4月5日15,GB/T 29829-2022《信息安全技術可信計算密碼支撐平臺功能及接口規範》發布。
該標準給出了可信計算密碼支撐平臺的系統框架和功能原理,規定了可信密碼模塊的接口規範,並描述了相應的驗證方法。
18.2022年4月5日15,GB/T 30283-2022《信息安全技術信息安全服務分類與代碼》發布。
本標準描述了信息安全服務的分類與代碼,包括信息安全咨詢、信息安全設計與開發、信息安全集成、信息安全運營、信息安全處理與存儲、信息安全評估與認證和其他七個方面。
法律依據
中華人民共和國網絡安全法
第十五條國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門應當按照各自職責,組織制定並適時修訂與網絡安全管理和網絡產品、服務、運行安全相關的國家標準和行業標準。
國家支持企業、科研機構、高等院校和網絡相關行業組織參與網絡安全國家標準和行業標準的制定。