安數(shù)網絡整理了信息安全標委會近期發(fā)布的與信息安全相關的十份國家標準征求意見稿文件,詳情如下:
2021年1月22日,關于國家標準《信息安全技術 公共域名服務系統(tǒng)安全要求》征求意見稿。
本文件規(guī)定了公共域名服務系統(tǒng)的基本要求、技術要求以及管理要求等內容,定義了域名系統(tǒng)(DNS)的基本概念、組成和架構,提出了國家關鍵基礎設施DNS總體技術要求,并給出了域名系統(tǒng)安全部署指南。
本文件適用于公共域名服務系統(tǒng)單位對頂級域名服務系統(tǒng)、其他各級域名服務系統(tǒng)及遞歸域名服務系統(tǒng)的開發(fā)和管理。
本文件代替GB/T 33134—2016《信息安全技術 公共域名服務系統(tǒng)安全要求》,與GB/T 33134-2016相比,除結構調整和編輯性改動外,主要技術變化如下:
a) 更改了引用的標準;
b) 增加了拓撲規(guī)劃要求的具體參數(shù);
c) 增加了性能要求的具體參數(shù);
d) 增加了權威服務器的數(shù)據(jù)安全要求和解析安全要求;
e) 增加“遞歸域名服務器與客戶端連接要求” ;
f) 增加了遞歸服務器的數(shù)據(jù)安全要求和解析安全要求;
g) 增加了“國家關鍵基礎設施DNS部署要求”;
h) 增加了“政府重要網站域名解析服務安全管理要求”。
2021年1月22日,關于國家標準《信息技術 安全技術 信息安全管理體系 指南》征求意見稿。
本文件為GB/T 22080—2016提供了解釋說明和指南。
GB/T 22080—2016 信息技術 安全技術 信息安全管理體系 要求(ISO/IEC 27001:2013,IDT)
本文件提供了關于GB/T 22080中規(guī)定的信息安全管理體系(ISMS)要求的指南,并提供了與之相關的建議(“宜”)、可能性(“能”)和允許(“可”)。本文件的目的不是提供信息安全的所有方面的一般指南。
本文件第4章至10章反映了GB/T 22080-2016的結構。
第4至10章的描述結構如下:
——要求的活動:提出GB/T 22080相應子條款所要求的關鍵活動;
——解釋:解釋GB/T 22080的要求含義;
——指南:提供更詳細或支持性的信息來實現(xiàn)“要求的活動”,包括實施的示例;
——其他信息:提供了可進一步考慮的信息。
本文件對ISMS及其相關術語和定義沒有增加任何新的要求。組織應參照GB/T 22080和GB/T 29246的要求和定義。實施ISMS的組織沒有義務遵守本文件中的指南。
2021年1月22日,關于國家標準《信息安全技術 信息安全事件分類分級指南》征求意見稿。
本文件提供了信息安全事件分類分級的指南,用于信息安全事件的防范與處置,為事前準備、事中應對、事后處理提供基礎性支撐,最大可能防范事件處理不當帶來的影響,減少事件分析、應對不及時帶來的風險和損失。
本文件適用于網絡運營者以及網絡安全主管部門開展信息安全事件的分類分級工作。
信息安全事件的防范和處置是國家網絡安全保障體系中的重要環(huán)節(jié),也是重要的工作內容。信息安全事件的分類分級是快速有效處置信息安全事件的基礎之一。本文件編制的目的是:
a) 促進安全事件信息的交換和共享;
b) 便于自動化安全事件報告和響應;
c) 提高安全事件通報和應急處理的效率和效果;
d) 利于安全事件的數(shù)據(jù)的收集和分析;
e) 利于識別安全事件的嚴重程度。
2021年1月26日,關于國家標準《信息安全技術 信息系統(tǒng)安全審計產品技術要求和測試評價方法》征求意見稿。
本文件規(guī)定了信息系統(tǒng)安全審計產品的安全技術要求和測試評價方法。
本文件適用于信息系統(tǒng)安全審計產品的設計、開發(fā)、測試和評價。
本文件代替GB/T 20945—2013《信息安全技術 信息系統(tǒng)安全審計產品技術要求和測試評價方法》,與GB/T 20945—2013相比,除編輯性修改外主要技術變化如下:
——修改了標準名稱的英文翻譯;
——修改了術語和定義;
——修改了概述;
——修改了“事件審計”;
——刪除了“擴展分析接口”;
——修改了“身份標識與鑒別”;
——修改了“存儲安全”;
——增加了“敏感信息保護”;
——增加了“安全支撐系統(tǒng)”;
——增加了“環(huán)境適應性要求”;
——增加了“性能測試要求”;
——修改了“安全保障要求”;
——增加了“測評環(huán)境”;
——增加了規(guī)范性附錄。
2021年1月26日,關于國家標準《信息安全技術 網絡型入侵防御產品技術要求和測試評價方法》征求意見稿。
本文件規(guī)定了網絡入侵防御產品的安全技術要求和測試評價方法。
本文件適用于網絡入侵防御產品的設計、開發(fā)、測試和評價。
本文件代替GB/T 28451-2012《信息安全技術 網絡型入侵防御產品技術要求和測試評價方法》,與GB/T 28451-2012相比,除結構調整和編輯性改動外,主要技術變化如下:
a) 增加了“攻擊數(shù)據(jù)留存”要求;
b) 增加了“日志外發(fā)”要求;
c) 增加了“配置備份恢復”要求;
d) 增加了“混合應用層吞吐量”、“TCP新建連接速率”、“TCP并發(fā)連接數(shù)”等性能要求內容;
e) 增加了“環(huán)境適應性要求”章節(jié)的內容,其中主要是明確了產品對IPv6的支持能力,包括支持純IPv6網絡環(huán)境、IPv6網絡環(huán)境下自身管理、雙協(xié)議棧;
f) 刪除了原標準中的“負載均衡”要求;
g) 修改了入侵防御產品的等級劃分,由“一級、二級和三級”修改為“基本級和增強級”;
h) 修改并明確了產品誤攔截和漏攔截的比例要求;
i) 以GB/T 18336.3-2015作為規(guī)范性引用文件,修改原標準中各級的“入侵防御產品技術要求”為“安全功能要求”、“產品自身安全要求”為“自身安全防護要求”、“產品保證要求”為“安全保障要求”。
2021年2月3日,關于國家標準《信息安全技術 即時通信服務數(shù)據(jù)安全指南》征求意見稿。
本文件規(guī)定了即時通信服務可以收集、使用、交換、存儲、傳輸、刪除的數(shù)據(jù)種類、范圍、方式、條件等,以及數(shù)據(jù)安全保護要求。
本文件適用于即時通信服務運營者規(guī)范數(shù)據(jù)活動,也適用于主管監(jiān)管部門、第三方評估機構對即時通信服務數(shù)據(jù)活動進行監(jiān)督、管理、評估時參考。
2021年2月3日,關于國家標準《信息安全技術 快遞物流服務數(shù)據(jù)安全指南》征求意見稿。
本文件規(guī)定了快遞物流服務可以收集、傳輸、存儲、使用、共享、委托處理、刪除、處境的數(shù)據(jù)種類、范圍、方式、條件等,以及數(shù)據(jù)安全保護要求。
本文件適用于快遞物流服務運營者規(guī)范數(shù)據(jù)活動,也適用于主管監(jiān)管部門、第三方評估機構對快遞物流服務數(shù)據(jù)活動進行監(jiān)督、管理、評估時參考。
2021年2月24日,關于國家標準《信息安全技術 網上購物服務數(shù)據(jù)安全指南》征求意見稿。
本文件規(guī)定了網上購物服務可以收集、存儲、使用、交換、刪除、處境的數(shù)據(jù)種類、范圍、方式、條件等,以及數(shù)據(jù)安全保護要求。
本文件適用于網上購物服務運營者規(guī)范數(shù)據(jù)活動,也適用于主管監(jiān)管部門、第三方評估機構對網上購物服務數(shù)據(jù)活動進行監(jiān)督、管理、評估時參考。
2021年2月24日,關于國家標準《信息安全技術 網絡支付服務數(shù)據(jù)安全指南》征求意見稿。
本文件規(guī)定了網絡支付服務可以收集、使用、存儲、共享、轉讓、公開披露的數(shù)據(jù)種類、范圍、方式、條件等,以及數(shù)據(jù)安全保護要求。
本文件適用于網絡支付服務運營者規(guī)范數(shù)據(jù)活動,也適用于主管監(jiān)管部門、第三方評估機構對網絡支付服務數(shù)據(jù)活動進行監(jiān)督、管理、評估時參考。
2021年2月24日,關于國家標準《信息安全技術 網絡音視頻服務數(shù)據(jù)安全指南》征求意見稿。
本文件規(guī)定了網絡音視頻服務可以收集、傳輸、存儲、使用、共享、公開披露、刪除、出境的數(shù)據(jù)種類、范圍、方式、條件等,以及數(shù)據(jù)安全保護要求。
本文件適用于網絡音視頻服務運營者規(guī)范數(shù)據(jù)活動,也適用于主管監(jiān)管部門、第三方評估機構對網絡音視頻服務數(shù)據(jù)活動進行監(jiān)督、管理、評估時參考。
征求意見稿下載鏈接:https://www.tc260.org.cn/front/bzzqyjList.html?postType=&start=0&length=10
本文由安數(shù)網絡編譯整理,轉載請注明出處。
及時掌握網絡安全態(tài)勢 盡在傻蛋網絡安全監(jiān)測系統(tǒng)
本文來源:全國信息安全標準化技術委員會
如涉及侵權,請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執(zhí)照