还剩3页未读,继续阅读
文本内容:
一、工作简况
1、任务来源根据全国信息安全标准化技术委员会2019年标准制订计划的安排,《信息安全技术信息安全服务分类》由上海三零卫士信息安全有限公司负责承办该标准由全国信息安全标准化技术委员会归口管理
2、主要起草单位和工作组成员该标准由上海三零卫士信息安全有限公司主要负责起草,协作起草单位为中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部第三研究所、神州网信技术有限公司、中国电子科技网络信息安全有限公司、中电长城网际系统应用有限公司、毕马威企业咨询(中国)有限公司、工业互联网创新中心(上海)有限公司、北京微智信业科技有限公司、北京安天网络安全技术有限公司、陕西省信息化工程研究院、国网区块链科技(北京)有限公司、北京知道创宇信息技术股份有限公司、国家计算机网络应急技术处理协调中心、网神信息技术(北京)股份有限公司、西安西电捷通无线网络通信份股有限公司、山谷网安科技股份有限公司主要起草人刘慧晶、郭敏华、张建军、陈晓桦、闵京华、杨建军、王惠莅、李斌、陈长松、翟亚红、孙明亮、姚辉明、干露、张能、王伟、张晓菲、王朝栋、康英来、崔婷婷、赵焕菊、潘正泰、张静、杜志强、郭颖、陈亮、马洪军、焦军勋、杨柯、王栋、周磊、左洪强、胡啸、曹雅斌、王琰、沈传宁
3、主要工作过程标准制定的主要工作过程如下a)标准修订前期筹备2018年12月,在标准修订工作启动之前,陆续拜访了中国电子技术标准化研究院、神州网信技术有限公司等合作单位,听取合作单位对标准修订工作的初步意见b)相关标准及政策法规研究2019年1月-2月,收集、翻阅、分析研究了国外NIST的一系列信息安全标准、IS027001系列标准以及国内近年来陆续颁布的相关标准,形成了标准研究参考资料库同时,梳理我国近年来出台的相关网络安全法规政策,摘取对信息安全服务的若干要求,形成了政策法规研究参考资料库C)调研信息安全服务应用实践情况2019年1月-2月,通过走访、咨询、查询等各种方式了解国外主流信息安全服务提供商、国内信息安全服务厂商以及国内大型企业在信息安全服务方面的应用实践情况,掌握了大量第一手的应用实践基础资料d)召开标准修订启动会议,成立标准编制工作组2019年2月22月,召开标准修订启动会议,会议确认有8家单位(后续陆续有毕马威企业咨询(中国)有限公司、上海华东电信研究院、北京微智信业科技有限公司加入,目前共10家单位)共同参与本标准的修订工作,有来自安全服务厂商的,有来自标准研究与编制单位的,也有来自第一线从事信息安全服务工作的具有丰富从业经验的专家人士,基本涵盖了信息安全服务产业各个环节e)提交标准修订立项申请报告2019年2月25日,标准编制工作组根据标准修订启动会议上确定的修订思路,编写标准修订立项申请书,提交安标委秘书处f)标准修订立项通过2019年4月23日,在2019年第一次工作组“会议周”全体会议上标准修订经WG7全体成员投票通过g)标准修订任务书获得通过2019年9月12日,《信息安全技术信息安全服务分类》标准修订项目任务书获得专家评审通过h)发布征集标准修订参编单位的通知2019年9月29日,由安标委秘书处公开发布征集《信息安全技术信息安全服务分类》标准参编单位的通知,毕马威企业咨询(中国)有限公司、上海华东电信研究院、北京微智信业科技有限公司、北京安天网络安全技术有限公司、陕西省信息化工程研究院、国网区块链科技(北京)有限公司6家单位成为标准修订新成员单位i)形成标准草案,提交专家审查2019年5月-10月,标准编制工作组形成标准草案第1稿,并于2019年10月9日举行工作组第二次会议,就标准草案第1稿进行讨论,并于2019年10月10日提交外部专家审查会议,并获得审查通过j)标准草案稿转为征求意见稿2019年10月第二次WG7第二次工作组“会议周”上,标准编制组介绍了标准编制思路、主要内容及意见处理情况,形成转为征求意见稿的会决议编制组根据会议周上参会单位意见,修改完善后形成征求意见稿
二、标准编制原则和确定主要内容的论据及解决的主要问题
1、标准编制原则在标准制定过程中,主要遵循了以下原则符合国家有关政策法规要求,并贯彻国家有关政策法规;标准编制与已颁布实施的相关标准不冲突、不重复;标准内容符合中国国情,广泛征求用户、企业、专家和管理部门的意见;采用理论与技术相结合的工作方法,处理好标准的先进性和实用性之间的关系,使标准技术可实现;标准结构和编写规则,按照GB/T
1.1—2009执行
2、标准解决的问题及主要内容《信息安全技术信息安全服务分类》(GB/T30283-2013)发布并实施5年来,对促进我国信息安全服务行业的规范化发展提供了有力支撑近年来,国内陆续颁布了一系列网络安全相关的政策、法律法规等,如《网络安全法》、《关键信息基础设施安全保护条例》(征求意见稿)、《网络安全产品和服务审查办法》(试行)、《网络安全等级保护条例》(征求意见稿)等,对信息安全服务提出了新的合规要求同时,随着云安全、态势感知、威胁情报、调查取证等新技术的兴起,也逐渐成为信息安全服务的主要交付内容目前,信息安全服务的内涵和外延均发生了变化本次修订工作拟解决三个方面的主要问题,分别为达到国内信息安全服务的合规性要求,符合新技术发展而带来的国内信息安全服务的应用实践变化以及与国内相关信息安全服务标准的接轨
1、与国内相关网络安全法规的协调配套问题近年来,国内陆续颁布《网络安全法》、《网络安全产品和服务审查办法》、《关键信息基础设施安全保护条例》、《网络安全等级保护条例》等拟从适法的角度对信息安全服务定义、组件等进行若干修改
2、随着云安全、态势感知、威胁溯源、大数据安全等技术的兴起,逐渐成为信息安全服务的主要交付内容以及国内关键信息基础设施行业对网络安全保障要求的提升,信息安全服务内容及形式出现了新的变化,拟从满足国内信息安全服务应用实践的角度对服务分类及内容进行若干修订
3、与国际、国内相关信息安全服务标准的接轨问题主要参考美国NISTSP800-
35、SP800-33系列标准,行业标准YD/T1621-2007《网络与信息安全服务资质评估准则》等,拟根据这些标准、白皮书等,对本标准的服务分类做适当补充和完善本标准规定了信息安全服务分类,包括信息安全咨询类、信息安全实施类、信息安全培训类及其他类四个方面本标准适用于信息安全行业对信息安全服务概念的理解和分类管理,适用于信息安全服务的开发、提供、选用和采购
三、主要试验[或验证]情况分析标准编制工作组在修订过程中,广泛听取电信、交通等行业领域和信息安全厂商的意见
四、知识产权情况说明本标准不涉及专利
五、产业化情况、推广应用论证和预期达到的经济效果无
六、采用国际标准和国外先进标准情况无
七、与现行相关法律、法规、规章及相关标准的协调性本标准符合现有法律法规的要求本标准与现有国家标准不矛盾、不冲突、也不重复本标准在编制过程中,参考《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》(征求意见稿)、《网络产品和服务审查办法》(试行)等相关法律条文
八、重大分歧意见的处理经过和依据无
九、标准性质的建议根据本标准的性质,建议本标准为推荐性标准
十、贯彻标准的要求和措施建议无卜
一、替代或废止现行相关标准的建议无
十二、其它应予说明的事项无国家标准《信息安全技术信息安全服务分类》(标准征求意见稿)编制说明国家标准《信息安全技术信息安全服务分类》(标准征求意见稿)编制说明国家标准《信息安全技术信息安全服务分类》(标准征求意见稿)编制说明国家标准《信息安全技术信息安全服务分类》(标准征求意见稿)编制说明国家标准《信息安全技术信息安全服务分类》(标准征求意见稿)编制说明。