4.3.2 信息安全

1.领域简介

信息安全领域的标准化。

2.国内标准化情况

（1）国内标准化组织

信息安全相关的标准化工作由全国信息安全标准化技术委员会（TC 260）负责，对口ISO/IEC JTC 1/SC 27（信息技术安全技术分技术委员会），秘书处设在中国电子技术标准化研究院。

（2）国家标准制定项目

截至2017年12月底，我国在研信息安全国家标准共154项，见表4-1。

（3）主要标准化活动

①《个人信息安全规范》等43项国家标准已发布，《基于可信执行环境的生物识别身份鉴别协议》等23项国家标准已形成报批稿。

② 启动《网络产品和服务安全通用要求》等31项标准的制定，以及9项现行国家标准的修订。

③ 进一步完善国家网络安全标准体系。新版体系框架将对标准进行多维度、多主题的梳理，进一步明确各技术领域的工作重点和发展规划，指导国家网络安全标准化工作。

④ 发布了《大数据安全标准化白皮书》（2017 版）。组织开展了大数据技术产业现状、安全威胁和风险等研究，提出了大数据安全标准体系框架，明确了标准工作方向和重点，为大数据安全标准研制工作提供指引。编制了《电子认证2.0白皮书》（征求意见稿）。围绕《网络安全法》提出的国家实施网络可信身份战略要求，结合电子认证技术和标准现状及发展需求，研究提出了电子认证2.0的技术特点、体系结构，以及鉴别与授权标准体系框架，为规范网络空间实体身份管理和服务提供支撑。

⑤ 研究ISO/IEC JTC 1/SC 27和美国NIST的标准化动态，先后完成美国技术咨询组（TAG）、供应链安全管理、汽车电子、安全控制措施自动化评估、美国网络安全能力成熟度模型（C2M2）、美国信息系统控制审计机制等信息安全标准化专题的研究，形成专刊报主管部门。

⑥ 组织开展了个人信息保护提升行动之隐私条款评审工作。在中央网信办、工信部、公安部、国标委四部门的指导下，以落实《网络安全法》要求为目标，结合GB/T 35273-2017《信息安全技术 个人信息安全规范》的技术内容编写评审要点，组织专家组对微信、淘宝等10款互联网APP产品的隐私条款进行了评审。信安标委还推动这10家企业联合发起了个人信息保护倡议。

⑦ 全年主办大型标准宣传培训活动5次，累计培训1 500余人。与地方网络安全主管部门联合，结合地方工作需要，深度解读个人信息保护和政府门户网站安全等重点标准，为地方网络安全管理工作提供标准化支撑。另外，通过技术研讨、专题座谈等形式，对数据出境安全、工控安全、云计算安全、大数据安全、安全事件应急等领域的重要标准进行解读和培训，积极推动国家网络安全和标准化相关政策以及重要标准的落地实施。

⑧ 组织开展《个人信息安全规范》《大数据服务安全能力要求》等重要标准实施应用指南的编写工作，给出了标准实施建议。针对网络安全应急响应、风险评估、安全漏洞3个领域的国家标准，面向企业、科研院所和高校等243家单位开展了标准实施应用调研。

⑨ 目前我国参与的ISO/IEC JTC1/SC27标准项目超过其在研标准项目总数的22%。SM2和SM9密码算法的国际标准进入发布阶段。我国提出的大数据安全能力成熟度、生物特征识别身份认证、量子密钥分发安全测评、大数据安全实施指南、ICT可信评估等5项国际标准研究项目获批立项，主导制定的《虚拟信任根安全要求》《大数据参考架构 第4部分：安全和隐私》等国际标准顺利推进。

⑩ 分别组团参加了新西兰、德国举办的ISO/IEC JTC 1/SC 27工作组会议和全体会议，累计参会人数75人次，成为参会代表团人数最多的国家之一。新增5名专家成为国际标准编辑或联合编辑，新增37人成为SC 27工作组注册专家，国际标准专家队伍稳步增长。全年组织专家研究和答复143份国际标准文件，答复率100%。

⑪ 筹备2018年ISO/IEC JTC 1/SC 27工作组会议和全体会议。

⑫ 继续完善工作机制，创新项目管理方式。完善工作组“会议周”活动模式，丰富“会议周”活动内容，

⑬ 加强技术协调和审查工作，严把标准质量关。针对关键信息基础设施保护、大数据、物联网等跨工作

⑭ 升级门户网站和标准项目管理服务平台，提升信息化服务水平。改造委员会门户网站和标准项目管理

⑮ 表彰先进个人和标准优秀应用案例，鼓励更多的技术团队和专家参加网络安全标准化工作。对“会议

3.国际标准化情况

（1）已制定和正在制定的标准

现行ISO/IEC标准179项，见附录G；制定中的标准75项，见附录H。

（2）其他有关的国际标准化活动

① 2017年4月18日至25日，国际标准化组织ISO/IEC JTC1/SC27（信息技术安全技术分技术委员会）工作组会议和全体会议在新西兰哈密尔顿召开。

信息安全管理体系工作组（WG 1）主要讨论并推进了ISO/IEC 27000标准族重要标准项目的修订与复审，具体包括ISO/IEC 27007《信息安全管理体系审核指南》、ISO/IEC 27008《信息安全控制措施评估指南》、ISO/IEC 27019《用能行业信息安全控制措施》和ISO/IEC 27021《信息安全管理体系人员能力要求》的修订。会议确定其中的ISO/IEC 27007、ISO/IEC 27019和ISO/IEC 27021进入FDIS投票阶段，ISO/IEC 27008进入DIS投票阶段。研究阶段的主题或项目主要包括ISO/IEC 27002《信息安全控制措施》、ISO/IEC 27005《信息安全风险管理》、ITU-TΧ.1054|ISO/IEC 27014《信息安全治理》等标准的修订，以及《网络安全》《网络安全与ISO/IEC标准》《风险处理库》《ISO/IEC 27001标准族在政府或管制需求中的使用》《ISO/IEC2 7009应用示例》和《附录AL的修改》的设计规范。会议还讨论了JTC1内或者来自其他联络组织的报告，ISO/IEC 27000《信息安全管理体系概述与词汇》、ISO/IEC 27001《信息安全管理体系要求》、ISO/IEC 27005《信息安全风险管理》和ISO/IEC 27009《ISO/IEC 27001行业专门应用要求》的缺陷报告，以及词汇工作组（TWG）活动等。会议同意修订后的ISO/IEC 27005勘误发布。

密码技术与安全机制工作组（WG 2）在会议期间从标准制修订、新标准研究项目和工作组路线图三个方面，共召开了21个专题会议，主要包括实体鉴别、密码算法、密钥管理、随机数生成与测试、秘密共享以及广播鉴别等。

安全评估准则工作组（WG 3）在会上通报了来自CCDB、SC 37、The Open Group、IEC TC 65 WG 10、ISA99、FIRST、ISO TC 22/SC 32、GP、TC307等联络组织的报告；讨论了WG 3标准路线图、征集更新后路线图的意见以及未来的工作方向；对ISO/IEC 15446《保护轮廓和安全目标生成指南》、ISO/IEC 18367《密码算法和安全机制一致性测试》、ISO/IEC 19249《安全产品、系统和应用程序的架构和设计原则》、ISO/IEC 19608《基于ISO/IEC 15408的安全与隐私保护功能要求开发指南》、ISO/IEC 19989《生物特征识别技术的演示攻击检测评价》等标准进行了讨论；对研究项目“白盒密码学的安全要求、测试和评估方法（WBC）”进行了讨论。

安全控制与服务工作组（WG 4）在会上新设立的研究项目，包括“物联网（IoT）安全与隐私保护指南”（与WG5的联合研究项目）、“大数据安全能力成熟度模型”、“与ISO TC 68/SC 2合作以及PKI服务提供者信息安全指南新工作项目开发调研”和“安全运营中心（SOC）指南需求调研”。决定延长“互联网服务的可信链接”的研究周期。决定终止包括“应用安全确认”“物联网（IoT）安全指南”“PKI服务提供者信息安全指南”“虚拟化环境中信任根要求”“ICT 安全运营中事件响应”和“电子发现的 ICT 就绪”等研究项目。决定《虚拟化信任根的安全要求》、ISO/IEC 27034-4《应用安全 第4部分：应用安全确认》、ISO/IEC 27050-4《电子发现 第4部分：电子发现的ICT就绪》和ISO/IEC 27035-3《信息安全事件管理 第3部分：事件响应操作指南》等进入新工作项目提案（NWIP）投票阶段，ISO/IEC 27034-3《应用安全 第3部分：应用安全管理过程》进入国际标准最终草案（FDIS）投票阶段。

身份管理与隐私技术工作组（WG 5）在会上共讨论了20项国际标准，其中生物识别安全标准3项、身份管理标准6项、隐私保护11项。主要有ISO/IEC 29003《身份证明》（第一次DIS）、ISO/IEC 24761《生物特征的鉴别背景》（第一次CD）、ISO/IEC 29184《在线隐私通知和同意标准》（第二次WD）、ISO/IEC 27550《隐私工程》（第一次WD）、ISO/IEC 20889《隐私增强的去身份相关技术》（第一次CD）、ISO/IEC 29115《实体鉴别保障框架》（修订）、ISO/IEC 29100《隐私框架》（修订）、智慧城市隐私研究项目、物联网隐私指南研究项目、智能手机应用提供商隐私保护考虑研究项目等。

② 2017年10月30日至11月3日，国际标准化组织ISO/IEC JTC1 SC27（信息技术安全技术分技术委员会）工作组会议在德国柏林召开。

信息安全管理体系工作组（WG 1）主要讨论并推进了ISO/IEC 27000标准族重要标准的修订与复审。具体包括ISO/IEC 27002《信息安全控制实践指南》、ISO/IEC 27005《信息安全风险管理》、ISO/IEC 27009《ISO/IEC 27001行业专门应用要求》、ISO/IEC 27014《信息安全治理》和ISO/IEC 27008《信息安全控制措施评估指南》的修订，以及ISO/IEC 27006《信息安全管理体系审核认证机构的要求》的缺陷报告处理。会议确定启动27002标准修订项目及 27005 工作草案制定，27008 进入第二次 PDTS。关于网络安全（Cybersecurity）的研究与标准制定，主要是网络安全研究，此次会议确定启动《网络安全 框架开发指南》的标准项目，并开始对《网络安全 概述和概念》与《网络安全 社会考虑和责任》进行研究。此次会议还讨论了技术报告建议草案第1稿ISO/IEC 1st PDTR 27103《网络安全与ISO和IEC标准》，并讨论了继续推进ISO/IEC 27102《网络保险指南》的制定，以及风险处理库研究、SD7《ISO/IEC 27001标准族引用列表--政府和法规要求下的ISO/IEC 27001标准族使用》、SD8《ISO/IEC 27009应用案例》、JTCG手册、SoA（可应用性声明）使用和术语工作组（TWG）活动等。会议确定，后续把风险处理库移交SWG-T研究。

密码技术与安全机制工作组（WG 2）从标准制修订、新标准研究项目和工作组路线图三个方面，共召开了22个专题会议，主要包括实体鉴别、密码算法、密钥管理、数字签名以及广播鉴别等。其中，实体鉴别为ISO/IEC 9798《实体鉴别》（包括总则、使用对称加密算法的机制、使用数字签名技术的机制、使用密码校验函数的机制、使用零知识技术的机制、使用手工数据传递的机制6部分）和ISO/IEC 20009《匿名实体鉴别》（包括总则、基于使用组公钥签名的机制、基于盲签名的机制、基于弱秘密的机制）；密码算法为ISO/IEC 18033《加密算法》（包括总则、非对称密码、块密码、流密码、基于身份的密码、同态加密6部分），以及ISO/IEC 15946《基于椭圆曲线的密码技术》、ISO/IEC 29192《轻量级密码技术》；密钥管理为ISO/IEC 11770《密钥管理》标准，包括框架、使用对称技术的机制、使用非对称技术的机制、基于弱秘密的机制、组密钥管理、密钥派生6部分；数字签名为ISO/IEC 9796《带消息恢复的数字签名方案》、ISO/IEC 14888《带附录的数字签名》、ISO/IEC 18370《盲数字签名》和ISO/IEC 20008《匿名数字签名》；报文鉴别为ISO/IEC 9797《消息鉴别码（MAC）》（包括使用块密码的机制、使用专用散列函数的机制、使用通用散列函数的机制等部分），以及ISO/IEC 10118《散列函数》（包括总则、使用 n 比特块密码的散列函数、专用散列函数、使用模运算的散列函数4部分）。

安全评估准则工作组（WG 3）主要通报了来自CCDB、SC 37、The Open Group、IEC TC 65/WG 10、ISA99、FIRST 等联络组织的报告；讨论了 WG 3 标准路线图、征集更新后路线图的意见以及未来的工作方向。对ISO/IEC 15408-1/2/3/4/5《信息技术安全评估准则》、ISO/IEC 15446《保护轮廓和安全目标生成指南》、ISO/IEC 18045《信息技术安全评估方法》、ISO/IEC 19249《安全产品、系统和应用程序的架构和设计原则》、ISO/IEC 19608《基于ISO/IEC 15408的安全与隐私保护功能要求开发指南》、ISO/IEC 19896-1/2/3《信息安全测试人员和评估者的能力要求》、ISO/IEC 19989-1/2/3《生物特征识别技术的演示攻击检测评价》、ISO/IEC 20085-1/2《密码模块中无损攻击缓解技术的测试用工具要求和试验工具校准方法》、ISO/IEC 20540《在操作环境中测试加密模块的指南》、ISO/IEC 20543《ISO/IEC 19790和ISO/IEC 15408中随机位生成器的测试分析方法》、ISO/IEC 20897《对物理不可克隆功能产生非安全存储参数的安全要求和测试方法》、ISO/IEC 22216《信息安全评估指南》、ISO/IEC 29147《漏洞披露》、ISO/IEC 30111《脆弱性的处理》等标准进行了讨论。对研究项目“白盒加密”和“远程生物识别技术环境中使用呈现攻击检测机制的增强认证框架”进行了讨论；新立项研究项目包括“ICT可信框架评估指南”和“量子密钥分发的安全要求、测试和评估方法”。

安全控制与服务工作组（WG 4）在会上新设立研究项目包括“大数据安全实现指南”和“网际安全概述和概念”。决定延长“公钥基础设施”“从设备到服务的可信连接安全要求”的研究周期。决定终止“物联网（IoT）安全与隐私保护指南”和“网络安全”（Cybersecurity）等研究项目。决定《物联网（IoT）安全与隐私保护指南》项目进入新工作项目提案（NWIP）投票阶段等。ISO/IEC 19086-4《云计算 服务水平协议（SLA）框架 第4部分：安全和PII保护的组件》、ISO/IEC 21878《虚拟化服务器设计和实现的安全指南》、ISO/IEC 27050-2《电子发现 第2部分：电子发现的治理和管理指南》等项目进入国际标准草案（DIS）投票阶段。ISO/IEC 27034-7《应用安全 第7部分：应用安全保证预测模型》进入国际标准最终草案（FDIS）投票阶段。

身份管理与隐私技术工作组（WG 5）讨论了24项国际标准项目，其中生物识别安全标准3项、身份管理标准6项、隐私保护15项，主要有ISO/IEC 24745 1st periodical pre-review《信息技术 安全技术 生物信息保护》、ISO/IEC 24761 Revision 2nd CD《信息技术 安全技术 生物信息鉴别环境》、ISO/IEC 24760-1 1st DAM（Amendment 1）《信息技术 安全技术 身份管理框架 第1部分：术语及概念 补篇1》、ISO/IEC 29100 1st DAM（Amendment 1）《信息技术 安全技术 隐私架构框架》、ISO/IEC 29101 1st periodical pre-review《信息技术 安全技术 隐私架构框架》、ISO/IEC 29003 1st PDTS《信息技术 安全技术 身份证明》、ISO/IEC 20889 2nd CD《隐私增强数据去标识化技术》等。

4.现行国内外标准

现行国家标准221项，见附录C。现行ISO/IEC标准179项，见附录G。 zMAeGPh2pRXn+gI5OCK6RiwNlSXA5O/v9qa2BBMXqDth2WtXAKezNZQjM4dRof/k