信息安全标委会 | 近期关于信息安全相关的国家标准征求意见稿汇总

作者:安数网络 发布时间:2021-03-05 15:30:38 浏览次数:100

安数网络整理了信息安全标委会近期发布的与信息安全相关的十份国家标准征求意见稿文件,详情如下:

2021年1月22日,关于国家标准《信息安全技术 公共域名服务系统安全要求》征求意见稿。

本文件规定了公共域名服务系统的基本要求、技术要求以及管理要求等内容,定义了域名系统(DNS)的基本概念、组成和架构,提出了国家关键基础设施DNS总体技术要求,并给出了域名系统安全部署指南。

本文件适用于公共域名服务系统单位对顶级域名服务系统、其他各级域名服务系统及递归域名服务系统的开发和管理。

本文件代替GB/T 33134—2016《信息安全技术 公共域名服务系统安全要求》,与GB/T 33134-2016相比,除结构调整和编辑性改动外,主要技术变化如下:

a)   更改了引用的标准;

b)   增加了拓扑规划要求的具体参数;

c)   增加了性能要求的具体参数;

d)   增加了权威服务器的数据安全要求和解析安全要求;

e)   增加“递归域名服务器与客户端连接要求” ;

f)   增加了递归服务器的数据安全要求和解析安全要求;

g)   增加了“国家关键基础设施DNS部署要求”;

h)   增加了“政府重要网站域名解析服务安全管理要求”。

2021年1月22日,关于国家标准《信息技术 安全技术 信息安全管理体系 指南》征求意见稿。

本文件为GB/T 22080—2016提供了解释说明和指南。

GB/T 22080—2016 信息技术  安全技术  信息安全管理体系 要求(ISO/IEC 27001:2013,IDT)

本文件提供了关于GB/T 22080中规定的信息安全管理体系(ISMS)要求的指南,并提供了与之相关的建议(“宜”)、可能性(“能”)和允许(“可”)。本文件的目的不是提供信息安全的所有方面的一般指南。

本文件第4章至10章反映了GB/T 22080-2016的结构。

第4至10章的描述结构如下:

——要求的活动:提出GB/T 22080相应子条款所要求的关键活动;

——解释:解释GB/T 22080的要求含义;

——指南:提供更详细或支持性的信息来实现“要求的活动”,包括实施的示例;

——其他信息:提供了可进一步考虑的信息。

本文件对ISMS及其相关术语和定义没有增加任何新的要求。组织应参照GB/T 22080和GB/T 29246的要求和定义。实施ISMS的组织没有义务遵守本文件中的指南。

2021年1月22日,关于国家标准《信息安全技术 信息安全事件分类分级指南》征求意见稿。

本文件提供了信息安全事件分类分级的指南,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供基础性支撑,最大可能防范事件处理不当带来的影响,减少事件分析、应对不及时带来的风险和损失。

本文件适用于网络运营者以及网络安全主管部门开展信息安全事件的分类分级工作。

信息安全事件的防范和处置是国家网络安全保障体系中的重要环节,也是重要的工作内容。信息安全事件的分类分级是快速有效处置信息安全事件的基础之一。本文件编制的目的是:

a)   促进安全事件信息的交换和共享;

b)   便于自动化安全事件报告和响应;

c)   提高安全事件通报和应急处理的效率和效果;

d)   利于安全事件的数据的收集和分析;

e)   利于识别安全事件的严重程度。

2021年1月26日,关于国家标准《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》征求意见稿。

本文件规定了信息系统安全审计产品的安全技术要求和测试评价方法。

本文件适用于信息系统安全审计产品的设计、开发、测试和评价。

本文件代替GB/T 20945—2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》,与GB/T 20945—2013相比,除编辑性修改外主要技术变化如下:

——修改了标准名称的英文翻译;

——修改了术语和定义;

——修改了概述;

——修改了“事件审计”;

——删除了“扩展分析接口”;

——修改了“身份标识与鉴别”;

——修改了“存储安全”;

——增加了“敏感信息保护”;

——增加了“安全支撑系统”;

——增加了“环境适应性要求”;

——增加了“性能测试要求”;

——修改了“安全保障要求”;

——增加了“测评环境”;

——增加了规范性附录。

2021年1月26日,关于国家标准《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》征求意见稿。

本文件规定了网络入侵防御产品的安全技术要求和测试评价方法。

本文件适用于网络入侵防御产品的设计、开发、测试和评价。

本文件代替GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》,与GB/T 28451-2012相比,除结构调整和编辑性改动外,主要技术变化如下:

a)   增加了“攻击数据留存”要求;

b)   增加了“日志外发”要求;

c)   增加了“配置备份恢复”要求;

d)   增加了“混合应用层吞吐量”、“TCP新建连接速率”、“TCP并发连接数”等性能要求内容;

e)   增加了“环境适应性要求”章节的内容,其中主要是明确了产品对IPv6的支持能力,包括支持纯IPv6网络环境、IPv6网络环境下自身管理、双协议栈;

f)   删除了原标准中的“负载均衡”要求;

g)   修改了入侵防御产品的等级划分,由“一级、二级和三级”修改为“基本级和增强级”;

h)   修改并明确了产品误拦截和漏拦截的比例要求;

i)   以GB/T 18336.3-2015作为规范性引用文件,修改原标准中各级的“入侵防御产品技术要求”为“安全功能要求”、“产品自身安全要求”为“自身安全防护要求”、“产品保证要求”为“安全保障要求”。

2021年2月3日,关于国家标准《信息安全技术 即时通信服务数据安全指南》征求意见稿。

本文件规定了即时通信服务可以收集、使用、交换、存储、传输、删除的数据种类、范围、方式、条件等,以及数据安全保护要求。

本文件适用于即时通信服务运营者规范数据活动,也适用于主管监管部门、第三方评估机构对即时通信服务数据活动进行监督、管理、评估时参考。

2021年2月3日,关于国家标准《信息安全技术 快递物流服务数据安全指南》征求意见稿。

本文件规定了快递物流服务可以收集、传输、存储、使用、共享、委托处理、删除、处境的数据种类、范围、方式、条件等,以及数据安全保护要求。

本文件适用于快递物流服务运营者规范数据活动,也适用于主管监管部门、第三方评估机构对快递物流服务数据活动进行监督、管理、评估时参考。

2021年2月24日,关于国家标准《信息安全技术 网上购物服务数据安全指南》征求意见稿。

本文件规定了网上购物服务可以收集、存储、使用、交换、删除、处境的数据种类、范围、方式、条件等,以及数据安全保护要求。

本文件适用于网上购物服务运营者规范数据活动,也适用于主管监管部门、第三方评估机构对网上购物服务数据活动进行监督、管理、评估时参考。

2021年2月24日,关于国家标准《信息安全技术 网络支付服务数据安全指南》征求意见稿。

本文件规定了网络支付服务可以收集、使用、存储、共享、转让、公开披露的数据种类、范围、方式、条件等,以及数据安全保护要求。

本文件适用于网络支付服务运营者规范数据活动,也适用于主管监管部门、第三方评估机构对网络支付服务数据活动进行监督、管理、评估时参考。

2021年2月24日,关于国家标准《信息安全技术 网络音视频服务数据安全指南》征求意见稿。

本文件规定了网络音视频服务可以收集、传输、存储、使用、共享、公开披露、删除、出境的数据种类、范围、方式、条件等,以及数据安全保护要求。

本文件适用于网络音视频服务运营者规范数据活动,也适用于主管监管部门、第三方评估机构对网络音视频服务数据活动进行监督、管理、评估时参考。


征求意见稿下载链接:https://www.tc260.org.cn/front/bzzqyjList.html?postType=&start=0&length=10

本文由安数网络编译整理,转载请注明出处。

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:全国信息安全标准化技术委员会

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明