17项信息安全国家标准将于4月1日起正式实施

3月 29,2019by admin

2018年9月,全国信息安全标准化技术委员会归口的17项国家标准正式发布。这些国家标准将在2019年4月1日起正式实施。清单如下:
 
1.GB/T 36618-2018 《信息安全技术 金融信息服务安全规范》
内容概述:该标准规定了金融信息服务提供商提供金融信息服务时的基本原则、服务过程要求、技术要求和管理要求。其中,技术要求部分主要涵盖基础设施安全、软件安全、网络安全、数据安全、运行安全、容灾和恢复六个方面。
 
2.GB/T 36619-2018 《信息安全技术 政务和公益机构域名命名规范》
内容概述:该标准主要针对由于命名不规范,使得政务和公益机构网站公众识别度不高,再加上一些虚假网站恶意利用造成负面影响等问题,对政务和公益机构域名的命名规范做出可依据的规范说明,包含基本规则、中文规则、英文规则等。
 
3.GB/T 36626-2018 《信息安全技术 信息系统安全运维管理指南》
内容引言:本标准提供了信息系统安全运维管理体系的指导和建议,给出了安全运维策略、安全运维组织的管理、安全运维规则和安全运维支撑系统等方面相关活动的目的、要求和实施指南。本标准可用于指导各组织信息系统安全运维管理体系的建立和运行。
 

 
4.GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》
内容引言:网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。本标准为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。
 
网络安全等级保护相关的测评标准主要有GB/T 22239、GB/T 28448和GB/T 28449等。其中GB/T 22239是网络安全等级保护测评的基础性标准,GB/T 28448针对GB/T 22239中的要求,提出了不同网络安全等级的测评要求;GB/T 28449主要规定了网络安全等级保护测评工作的测评过程,本标准与GB/T 28448和GB/T 28449的区别在于:GB/T 28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T 28449则主要对网络安全等级保护测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对GB/T 28448和GB/T 28449的补充。
 
GB/T 36630《信息安全技术 信息技术产品安全可控评价指标》包含以下五部分:
5.GB/T 36630.1-2018 《信息安全技术 信息技术产品安全可控评价指标 第1部分:总则》
内容引言:随着信息技术应用的日益深入,信息技术产品设计实现的复杂度不断提升,设计的生命周期环节越来越多,人为设置的后门、不可控的产品供应链、不能持续的产品服务、未经授权的数据收集和使用等潜在的不可控因素不断增多,严重损害应用方的权益,甚至可能危害国家安全和公共利益。
 
依据《中华人名共和国网络安全法》网络产品和服务安全审查办法(试行)》等要求,为提高信息技术产品安全可控水平,防范网络安全风险,维护国家和公共安全,进而满足信息技术产品应用方安全可控需求,增强应用方信心,推动信息技术产业健康、快速发展,特制定GB/T 36630。
 
6.GB/T 36630.2-2018 《信息安全技术 信息技术产品安全可控评价指标 第2部分:中央处理器》
 
7.GB/T 36630.3-2018 《信息安全技术 信息技术产品安全可控评价指标 第3部分:操作系统》
 
8.GB/T 36630.4-2018 《信息安全技术 信息技术产品安全可控评价指标 第4部分:办公套件》
 
9.GB/T 36630.5-2018 《信息安全技术 信息技术产品安全可控评价指标 第5部分:通用计算机》
 
10.GB/T 36631-2018 《信息安全技术 时间戳策略和时间戳业务操作规则》
内容引言:随着信息技术的发展,越来越多的传统应用被网络应用所代替,如电子商务、数字出版等网络应用,传统的记录时间方式再互联网环境下已不适用于证明时间是否发生在某一时刻,引发对可信第三方时间戳服务的需求。为此,国内多家证书认证机构及专业公司陆续开展了时间戳相关的业务服务,为电子取证、版权服务、电子商务等业务提供权威的、可信赖的、公正的第三方的时间戳服务。2003年,《电子签名法》颁布,为时间戳业务服务的进一步发展提供了法律保障。
 
为规范时间戳业务发展,本标准针对第三方时间戳服务机构,在时间戳策略、时间戳业务操作规则等应包含的时间戳标识、时间戳管理、时间戳关联方的责任与义务等内容进行规范。本标准在制定过程中参考了国内外的相关规范,结合我国时间戳服务、应用的特点进行了调整和扩充。

适用范围:时间戳机构编制时间戳策略和时间戳业务操作规则等活动。
 
11.GB/T 36633-2018 《信息安全技术 网络用户身份鉴别技术指南》
内容摘要:该标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁,并规定了抵御威胁的方法。适用于网络环境下用户身份鉴别系统的设计、开发与测试。
网络用户身份鉴别的一般过程包括:注册和发放过程、提交和验证以及断言过程。该标准对鉴别过程的威胁和抵御威胁的策略进行相关规定。
 
12.GB/T 36635-2018 《信息安全技术 网络安全监测基本要求与实施指南》
适用范围:本标准规定了网络安全监测的基本要求,给出了网络安全监测框架和实施指南。本标准适用于系统或网络安全监测的实施,网络安全监测产品的设计开发,网络安全监测服务的提供等。

 
13.GB/T 36639-2018 《信息安全技术 可信计算规范 服务器可信支撑平台》
适用范围:本标准规定了服务器可信支撑平台的功能和安全性要求,并描述了服务器可信支撑平台的组成结构。
本标准适用于可信计算体系下服务器可信支撑平台的设计、生产、集成、管理和测试。

 
14.GB/T 36644-2018 《信息安全技术 数字签名应用安全证明获取方法》
内容引言:参与数字签名生成或验证的实体取决于过程的真实性,该真实性可以通过获取私钥拥有属性的安全证明、公钥有效性的安全证明、数字签名的生成时间来保证。本标准旨在规定一套数字签名应用安全证明获取方法,用以规范数字签名应用安全证明过程,主要应用于需要提供数字签名生成过程安全性和对签名生成时间有明确要求的签名应用场景。

适用范围:需要提供数字签名生成过程安全性和对签名生成时间有明确要求的签名应用场景。

以下推荐性标准采用了ISO、IEC等国际国外组织的标准,由于涉及版权保护问题,国家标准全文公开系统暂不提供在线阅读服务。如需正式标准出版物,请联系中国标准出版社。
 
15.GB/T 15843.6-2018 《信息技术 安全技术 实体鉴别 第6部分:采用人工数据传递的机制》
 
16.GB/T 34953.2-2018 《信息技术 安全技术 匿名实体鉴别 第2部分:基于群组公钥签名的机制》
 
17.GB/T 36624-2018 《信息技术 安全技术 可鉴别的加密机制》
 
以上标准的具体内容可登陆国家标准全文公开系统进行查看。
网址:http://www.gb688.cn/bzgk/gb/index