Ⅰ 怎样加强网络与信息安全标准化建设
加强信息安全建设的几点认识
董振国
信息安全建设是电子政务建设不可缺少的重要组成部分。电子政务信息系统承载着大量事关国家政治安全、经济安全、国防安全和社会稳定的数据和信息;网络与信息安全不仅关系到电子政务的健康发展,而且已经成为国家安全保障体系的重要组成部分。缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。
一、强化安全保密意识,高度重视信息安全,是确保政务网络信息系统安全运行的前提条件
目前,电子政务信息系统大都是采用开放式的操作系统和网络协议,存在着先天的安全隐患。网络攻击、黑客入侵、病毒泛滥、系统故障、自然灾害、网络窃密和内部人员违规操作等都对电子政务的安全构成极大威胁。因此,信息安全保障工作是一项关系国民经济和社会信息化全局的长期性任务。
我们必须认真贯彻“一手抓电子政务建设,一手抓网络和信息安全”的精神和中办发[2003]27号文件关于信息安全保障工作的总体要求,充分认识加强信息安全体系建设的重要性和紧迫性,高度重视网络和信息安全。这是做好信息安全保障工作的前提条件。“高度重视”首先要领导重视;只有领导重视才能把信息安全工作列入议事日程,放到重要的位置,才能及时协调解决信息安全工作所面临的诸多难题。其次,要通过加强网络保密知识的普及教育,特别是对县处级以上干部进行网络安全知识培训,大力强化公务员队伍的安全保密意识,使网络信息安全宣传教育工作不留死角,为网络信息系统安全运行创造条件。
二、加强法制建设,建立完善的制度规范,是做好信息安全保障工作的重要基础
确保政务网络信息安全,必须加强信息安全法制建设和标准化建设,严格按照规章制度和工作规范办事。俗话说,没有规矩不成方圆,信息安全工作尤其如此。如果我们能够坚持建立法制和标准,完善制度和规范并很好地执行,就会把不安全因素和失误降到最低限度,使政务信息安全工作不断登上新的台阶。
为此,一要严格按照现行的法律法规规范网络行为,维护网络秩序,同时逐步建立和完善信息安全法律制度。要加强信息安全标准化工作,抓紧制定急需的信息安全和技术标准,形成与国际标准相衔接的具有中国特色的信息安全标准体系。
二要建立健全各项规章制度和日常工作规范。要根据网络和信息安全面临的新情况、新问题,紧密联系本单位信息安全保密工作的实际,本着“堵漏、补缺、管用”的原则,抓紧修订、完善和新建信息安全工作的各项规章制度及操作规程,切实增强制度的科学性、有用性和可操作性,使信息安全工作有据可依、有章可循。
三要重视安全标准和规章制度的贯彻落实。有了制度,不能把它束之高阁。不按制度办事,是造成工作失误和安全隐患的重要原因。很多不安全因素和工作漏洞都是由于没有按程序办事所造成的。因此,要组织信息化工作人员反复学习有关制度和规范,使他们熟悉和掌握各项制度的基本内容,明白信息安全工作的规矩和方法,自觉用制度约束自己,规范工作。
四要建立完善对制度落实情况的监督检查和激励机制。工作程序、规章制度建立后,必须做到行必循之,把规章制度的每一条、每一款落到实处。执行制度主要靠自觉,但必须有严格的监督检查。要通过监督检查建立信息安全工作的激励机制,把信息安全工作与年度考核评比及“争先创优”工作紧密结合起来,激励先进,鞭策后进,确保各项信息安全工作制度落到实处。各地、各部门要不定期地对本地和本系统的制度落实情况进行自查自纠,发现问题及早解决。
三、建立信息安全组织体系,落实安全管理责任制,是做好政务信息安全保障工作的关键
调查显示,在实际的网络安全问题中,约有80%是由于管理问题造成的。因此,建立信息安全管理机构,加强组织协调,发挥其统筹规划、科学管理、宏观调控和决策的作用,强化信息安全管理,形成全方位的信息安全管理组织体系至关重要。
一方面,要逐步建立和完善信息安全组织体系。该体系应包括各地、各部门成立的保密工作领导小组;有本部门主管领导参加的政务网络与信息安全协调小组;聘请国内外安全专家组成的安全咨询专家小组。根据建设和应用情况需要,还可建立相应的信息安全管理执行机构(如“政府安全中心”),负责整个政务信息系统中的安全保密工作,包括提供相关服务。
另一方面,要在健全信息安全组织体系的基础上,切实落实安全管理责任制。明确各级、各部门行政一把手(或主管领导同志)作为信息安全保障工作的第一责任人;技术部门主管或项目负责人作为信息安全保障工作直接责任人,强化对网络管理人员和操作人员的管理。切实把好用人关,对关键岗位实行A、B角色管理;对网络管理人员和涉密操作人员要签订保密协议,明确保密职责,实行持证上岗制度。要培养一批具有信息安全管理经验的复合人才,充实到关键岗位,为政务信息化把好安全关。
四、结合实际注重实效,正确处理信息安全“五大关系”,是确保信息安全投资效益的最佳选择
在电子政务建设中,信息安全方面的投资往往涉及很大金额。各地、各部门应紧密结合自身实际,正确处理和把握与信息安全相关的“五大关系”,使有限的资金发挥出最大的社会效益。
1、要正确处理发展与安全的关系。发展与安全是信息安全关系中最基本、最重要的一对关系,由此可以派生出其他一些关系。发展与安全的关系是辩证统一、相辅相成的,其中发展是目的,安全是保证。二者关系处理得好,安全会有保障并能促进发展;处理不好,安全就会制约并牵制发展。正确处理发展与安全的关系就是要加快发展,确保安全。具体讲,就是在加快发展过程中确保安全;在确保安全的条件下加快发展。这里要注意克服两种倾向:一是过分强调发展而忽视安全;二是追求绝对安全而制约发展。为此,要坚持电子政务发展和网络信息安全“两手抓”。要在电子政务建设和发展过程中不断加强安全管理,完善安全措施,切实保障安全;同时要在适度安全、基本安全的前提下,培育业务需求,加大工作力度,促进电子政务事业加快发展。
2、处理好安全成本与效益的关系。成本与效益的关系是由信息安全基本关系派生出来的,二者的关系是对立统一、相反相成的。成本与效益的关系处理得好,安全成本就会下降同时效益提高;处理不好,安全成本就会上升同时效益下降。正确处理好安全成本与效益的关系,必须坚持综合平衡。要根据中办发[2003]27号文件中关于“信息化发展的不同阶段和不同信息系统不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点”的要求,一方面千方百计降低安全投入成本,另一方面努力提高安全措施的实际效果,确保满足重点项目、重点部位的安全需求,使有限的安全保障资金充分发挥出良好的使用效益。
3、处理好信息安全与共享(信息公开和保密)的关系。这也是从信息安全基本关系中派生出来的。开放和发展需要信息资源共享,而网络互联为信息共享提供了条件。但信息公开和信息保护是一对不可回避的矛盾。推进信息化建设既要强调资源共享,还要保证信息安全。我们应立足于电子政务建设的大系统,整体地、动态地看待信息安全与资源共享问题,用发展的眼光和辩证的观点去处理问题。在这对矛盾中,目前资源共享是矛盾的主要方面。当前我国各地方、各行业的信息资源建设普遍存在“数字鸿沟”、“信息孤岛”现象。针对这种情况,我们在处理两者之间关系时,应当紧紧围绕矛盾的主要方面,在确保国家安全和尊重个人隐私的前提下,把当前工作的重点放在最大限度地促进信息资源共享方面,消除数字鸿沟和信息孤岛,提高信息资源共享程度,使政务信息资源发挥更大的社会效益。
4、处理好安全管理与技术的关系。安全管理与技术的关系也是信息安全体系中的基本关系之一。在信息安全保障体系中,安全管理和安全技术是一个不可分割的统一体,是一个事物的两个方面。管理离不开技术,技术离不开管理;两者紧密相连、相互渗透、互为补充。因此,在信息安全工作中,我们要坚持管理和技术并重,做到管理手段和技术手段相结合,也就是在加强管理的前提下,采用先进的安全技术,在提升技术的基础上强化管理。信息安全问题的解决需要技术手段,但又不能单纯依赖技术。信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。在这方面,我们要同时注意防止和克服“重管理、轻技术”和“单纯技术观点”两种倾向,既要高度重视信息安全技术的重要作用,又要避免陷入唯技术论的怪圈。从理论上看,不存在绝对安全的技术;技术固然重要,但管理更不容忽视。虽然“三分技术,七分管理”的说法不一定准确,但从另一个角度说明了安全管理工作的重要性。因此,我们应以业务为主导,从全局的高度部署安全策略,采用先进技术,加强安全管理,把采取安全技术手段与加强日常管理和健全体制机制紧密结合起来,坚持一手抓安全技术手段开发,一手抓安全规章制度的建立与完善,提高政务网络信息系统的安全性和可靠性。
5、处理好信息安全工作中应急事件处理与建立长效机制的关系。要保证政务网络与信息系统的“长治久安”,必须着手建立一套长期有效的安全机制。但信息安全问题在信息化进程中广泛存在且突发性强,所以又必须强调和重视应急事件的处理。一旦出现影响到国家利益的网络安全与信息安全事件,必须能够立即采取有效措施,控制危机的发展,把损失减少到最低限度。
为此,首先要建立和完善信息安全监控体系,及时发现和处置突发事件,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防治有害信息传播,增强对政务网络和信息系统的监控、管理和保护。其次,要重视信息安全应急处理工作,建立健全应急管理协调机制、指挥调度机制和信息安全通报制度。要制定完善信息安全处置预案,加强信息安全应急支援服务队伍建设,提高信息安全应急响应能力。
Ⅱ 国家支持什么参与网络安全国家标准
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
《中华人民共和国网络安全法》第十五条明确规定:
国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十五条、第十六条、第十七条、第十八条和第二十条分别倡导企业、高校和科研单位、网络相关行业组织等参与网络安全国家标准、行业标准制定,研究开发网络安全技术,为社会提供网络安全认证、检测和风险评估等安全服务,开发网络数据安全保护和利用技术,以及培养网络安全人才等。
这些法条集中表达了一个主旨:鼓励网络安全领域的技术发展和进步,以更好地促进网络安全、健康运行。
(2)网络安全和信息化建设标准化扩展阅读:
“没有网络安全就没有国家安全。”当网络进入千家万户,当网络和信息业务蓬勃发展,当我国的互联网用户数量和电子商务总量位居世界第一时,网络安全显然已经成为一件非常重要的事情。
2016年4月,习近平总书记在网络安全和信息化研讨会上指出,“网络空间是亿万人民共同的精神家园。”网络空间是清晰的、生态的,是符合人民利益的。”
精神的指导下,始终高度重视网络安全建设在我国,十八大会以来,先后制定分销网络安全国家标准289项,继续实施“净净”“剑网”“基础”“护理苗”系列等特殊项目的成果显着,连续第六年组织实施的“网络安全宣传周”深入人心,这些务实有力的举措,不断净化网络空间,维护网民的合法权益。
Ⅲ 国家建立和完善网络安全标准体系什么和国务院其他有关部门根据各自的职责
国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
2017年6月1日,《网络安全法》将正式施行,标志着网络空间治理、网络信息传播秩序规范、网络犯罪惩治等方面即将翻开崭新的一页,国家网络安全将拥有更为完善的法律基础和保障。网络安全标准化是网络安全保障体系建设的重要组成部分,在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》对于网络安全标准化工作也提出了更明确的要求。
(3)网络安全和信息化建设标准化扩展阅读:
进一步加强网络安全标准体系建设。《网络安全法》第十五条规定,国家建立和完善网络安全标准体系。根据国家标准委授予的职责范围,全国信息安全标准化技术委员会(TC260)承担着组织制定标准和持续完善国家信息安全标准体系的职责,多年来推动国家网络安全保障体系建设所需标准的制修订工作,初步形成了国家网络安全标准体系。
中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》指出,建立统一权威的国家标准工作机制,全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。
因此,需要加强网络安全标准战略性、方向性、基础性的研究,既要突出重点,也要拓展覆盖面;既要统筹推进国家标准和行业标准制修订工作,也要适时引进国外有关标准,进而逐步建立起与《网络安全法》相配套的国家网络安全标准体系,以适应新形势对网络安全标准化工作的更高要求。
Ⅳ 如何做好新形势下网络安全和信息化工作
实际扎实推进网络安全和信息化各项工作,要着手研究制定我省网络安全规划和信息化战略,组织重大问题研究,将信息化工作和“数字河北”建设密切结合起来,谋划好我省网络安全和信息化法制建设。要切实加强网上舆论引导,坚持团结稳定鼓劲、正面宣传为主,加强对关系国计民生、社会热点问题的政策解读、舆论引导。要全力维护网络安全,综合运用多种手段,研究采取更有针对性的措施办法,形成网络安全的坚强保障。要抓紧信息基础设施建设,重视信息内容建设,加强信息资源转化运用的研究,提升全省经济社会信息化水平。
Ⅳ 中华人民共和国网络安全法
第一章总 则第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。第五条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第十一条网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。第十二条国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。第二章网络安全支持与促进第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。第十六条国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
Ⅵ 网络与信息安全 信息安全管理标准化成果主要覆盖了哪些领域或方面
随着我国信息安全保障体系建设进入了全面规划、统筹发展的新时期,与国家各项信息安全保障重要工作相适应,我国的信息安全管理标准化工作也有了较大的发展,取得了较为显着的成果。截至2013年底,我国正式发布信息安全管理相关国家标准29项,正在制定过程中的管理标准23项,其中已发布标准中采用或参考国际信息安全管理标准13项。这些标准化成果主要覆盖了以下领域或方面:
1) 等同或修改转化了国际信息安全管理体系标准族(即ISO/IEC 27000系列标准)中基础、核心标准;
2) 支撑信息安全管理体系实施的信息安全控制有关的技术标准或指南;
3) 支撑国家电子政务建设、信息安全等级保护、政府信息系统检查等重点信息安全保障工作的配套安全管理标准;
4) 有关信息安全风险评估与管理、应急与事件管理、灾备服务管理、外包管理、供应链风险管理、个人信息保护等的标准或规范;
5) 新技术新应用相关的信息安全管理标准,包括工业控制系统安全管理、云计算安全管理等。
Ⅶ 湖南省网络安全和信息化条例
第一章总则第一条为了保障网络安全,促进信息化发展,提高数字化水平,推进经济社会高质量发展,根据有关法律、行政法规,结合本省实际,制定本条例。第二条本省行政区域内的网络安全保障和信息化促进等活动适用本条例。第三条网络安全和信息化工作应当贯彻总体国家安全观,遵循统筹规划、创新引领、开放共享、保障安全的原则。第四条省网络安全和信息化议事协调机构负责研究制定本省网络安全和信息化发展战略、宏观规划和重大政策,统筹协调本省网络安全和信息化重大事项和重要工作,推进本省网络安全和信息化法治建设。第五条县级以上负责网络安全和信息化工作的部门(以下简称网信部门)负责本行政区域网络安全和信息化统筹协调、督促落实和相关监督管理工作。
县级以上人民政府工业和信息化、发展改革、科技、公安、财政、政务等部门和国家安全机关、省通信管理机构按照各自职责做好网络安全和信息化相关工作。第六条县级以上人民政府应当将网络安全和信息化发展纳入国民经济和社会发展规划,安排网络安全和信息化专项资金,引导和支持社会资金投资网络安全和信息化建设。
鼓励企业、科研机构、高等院校、行业组织和个人参与网络安全共同治理与信息化发展工作。第七条县级以上网信部门应当根据上一级网络安全和信息化发展规划以及本行政区域国民经济和社会发展规划,编制本行政区域网络安全和信息化发展规划,经本级人民政府批准后发布实施,并报上一级网信部门备案。
县级以上人民政府有关部门应当根据实际需要,编制本系统、本部门的网络安全和信息化专项规划,并与本行政区域网络安全和信息化发展规划相衔接。第八条编制网络安全和信息化发展规划、专项规划,应当组织专家论证,广泛征求意见,坚持安全可控、合理前瞻、科学布局、绿色集约、开放共享的原则,防止重复建设和资源浪费。第九条省人民政府标准化部门应当会同有关部门制定完善本省网络安全和信息化地方标准并监督实施。
鼓励有关单位参与制定修订网络安全和信息化国际标准、国家标准、行业标准、地方标准,自主制定高于国家强制性标准的团体标准、企业标准。第十条县级以上人民政府应当加强网信人才的培养和引进。
省人民政府及其有关部门应当支持高等院校建设计算机科学与技术、网络空间安全、集成电路科学与工程等学科,建设重点网络安全和信息化研究基地,支持建设国家一流网络安全学院和网信人才培养基地,加强高等院校与实务部门的人才交流。
省人民政府人力资源和社会保障部门应当会同有关部门,建立健全网信人才职称评价制度和职称评聘制度。第十一条县级以上人民政府应当组织有关部门、教育机构、公众传媒、村(居)民委员会开展网络安全和信息化宣传活动,提高全社会网络安全意识和信息技术应用能力。
县级以上人民政府及其有关部门应当将网络安全教育和信息化内容纳入国家工作人员培训和普法考核,普及中小学信息技术教育,发展信息技术职业教育。第十二条县级以上人民政府应当将网络安全和信息化工作纳入经济社会发展考核体系,建立绩效评估指标,对本行政区域各部门和下级人民政府进行网络安全和信息化工作考核。第二章网络安全保障第十三条县级以上人民政府及其有关部门应当按照谁主管谁负责、属地管理原则,落实网络安全责任制,建立健全网络安全保障体系,提升网络安全保护能力,实现网络、关键信息基础设施、重要信息系统和数据的安全可控。第十四条县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机关、省通信管理机构依照有关法律、行政法规的规定,在各自职责范围内负责网络安全、数据安全、个人信息保护和相关监督管理工作。第十五条省人民政府对本省行政区域内未列入关键信息基础设施的重要信息系统,在网络安全等级保护制度的基础上,实行重点保护。
重要信息系统的具体范围和识别指南由省网信部门会同公安等部门制定。第十六条重要信息系统的行业主管或者监督管理部门指导和监督本行业、本领域的重要信息系统运行安全保护工作,负责编制和组织实施本行业、本领域重要信息系统安全规划,建立健全网络安全监测预警和网络安全事件应急预案,定期组织开展网络安全检查监测、应急演练,对重要信息系统进行识别并向省网信部门、公安机关报送识别结果。
Ⅷ 信息化能力建设与网络安全读本信息化的体系框架包括哪些方面
2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。中央网信办干部局10月27日发布《中央网络安全和信息化领导小组办公室2014年公开选拔处级领导干部工作公告》,并公布了此次面向社会公开选拔的9名处级领导干部职位说明书。
Ⅸ 国家支持什么参与网络安全国家标准
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
《中华人民共和国网络安全法》第十五条明确规定:
国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十五条、第十六条、第十七条、第十八条和第二十条分别倡导企业、高校和科研单位、网络相关行业组织等参与网络安全国家标准、行业标准制定,研究开发网络安全技术,为社会提供网络安全认证、检测和风险评估等安全服务,开发网络数据安全保护和利用技术,以及培养网络安全人才等。
这些法条集中表达了一个主旨:鼓励网络安全领域的技术发展和进步,以更好地促进网络安全、健康运行。
(9)网络安全和信息化建设标准化扩展阅读
“没有网络安全就没有国家安全。”当网络走进了千家万户,当网信事业蓬勃发展,当我国的网民数量和电子商务总量位居全球第一,网络安全显然已经成为天大的事。
2016年4月,习近平总书记在网络安全和信息化工作座谈会上指出,“网络空间是亿万民众共同的精神家园,网络空间天朗气清、生态良好,符合人民利益。”
在此精神的指导下,我国始终高度重视网络安全建设,党的十八大以来,先后制定发布网络安全国家标准289项,持续开展的“净网”“剑网”“清源”“护苗”等系列专项治理行动成果显着,连续六年组织实施的“网络安全宣传周”更是深入人心,以上这些务实有力的举措,不断净化着网络空间,切实维护了网民的合法权益。
Ⅹ 工信部:车联网网络安全和数据安全标准体系建设指南发布
易车讯 近日,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》,目标到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向,提出以下内容:
1、总体与基础共性标准
总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等3类标准。
术语和定义标准主要规范车联网网络安全和数据安全主要概念,为相关标准中的术语和定义提供依据支撑。
总体架构标准主要规范车联网网络安全总体架构要求,明确和界定防护对象、防护方法、防护机制,指导企业体系化开展网络安全防护工作。
密码应用标准主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等要求。
2、终端与设施网络安全标准终端与设施网络安全标准
主要规范车联网终端和基础设施等相关网络安全要求,包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。
车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求,包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。
车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。
路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。
3、网联通信安全标准
网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网(C-V2X),以及应用于车联网的蜂窝移动通信(4G/5G)、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗(BLE)紫蜂(Zigbee)、超宽带(UWB)等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。
4、数据安全标准
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求,制定数据分类分级的维度、方法、示例等标准,明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求,句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
5、应用服务安全标准
应用服务安全标准主要规范车联网服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求,包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。
6、安全保障与支撑标准
安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求,明确安全风险评估流程和方法,提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求,以及安全管理接口、车联网卡实名登记、车联网业务递交网关(HI)接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施,提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。