下载掌阅APP,畅读海量书库
立即打开
政策法规、标准规范是开展信息安全测评工作的依据之一,本节介绍与信息安全风险评估、信息安全等级保护测评、商用密码应用与安全性评估、渗透测试等信息安全测评工作相关的主要政策法规文件和规范性文件。信息安全测评从业人员应具备充分的信息安全法律法规意识,掌握必要的信息安全法律法规知识。
与信息安全测评相关的政策法规主要包括《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全等级保护条例(征求意见稿)》《关键信息基础设施安全保护条例》等。
1.《中华人民共和国网络安全法》
《中华人民共和国网络安全法》(以下简称《网络安全法》)于2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过。
《网络安全法》是我国第一部网络安全领域的法律,是保障网络安全的基本法,是我国网络安全管理的基础法律,与其他法律在相关条款和规定上互相衔接,互为呼应,共同构成了我国网络安全管理的综合法律体系。《网络安全法》共7章79条,具体内容及关键解读见附录A。
2.《中华人民共和国密码法》
《中华人民共和国密码法》(以下简称《密码法》)于2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过。
《密码法》的颁布实施,是我国密码发展史上具有里程碑意义的大事,有助于提升我国密码工作的规范化、科学化、法治化水平,对维护我国网络空间安全、促进信息化发展具有重要意义,也直接关系企业商业秘密的依法保护,关系社会公众在网络空间生活的安全和便利。《密码法》共5章44条,具体内容及关键解读见附录B。
3.《中华人民共和国数据安全法》
《中华人民共和国数据安全法》(以下简称《数据安全法》)于2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过。
《数据安全法》是我国关于数据安全的首部法律,标志着我国在数据安全领域有法可依,为各行业数据安全提供了监管依据。《数据安全法》明确了数据安全主管机构的监管职责,建立健全了数据安全协同治理体系,提高了数据安全保障能力,促进了数据出境安全和自由流动、数据开发利用,保护了个人、组织的合法权益,维护了国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。《数据安全法》共7章55条,具体内容及关键解读见附录C。
4.《中华人民共和国个人信息保护法》
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过。
《个人信息保护法》的出台是我国个人信息保护立法史的重要里程碑,为监管机关的执法活动和企业的合规体系建设提供了重要指引。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。个人面对非法收集和处理个人信息的侵权行为能够获得更具体、更多样的解决方式,权利保障范围涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及敏感个人信息处理、个人信息跨境提供等特定场景。《个人信息保护法》使个人信息权益得到了切实有效的制度保障,也为信息产业明确了经营行为的合法性边界,与《国家安全法》《网络安全法》《民法典》和《数据安全法》等法律法规共同构建起个人信息保护的法治堤坝。《个人信息保护法》共8章74条,具体内容及关键解读见附录D。
5.《网络安全等级保护条例(征求意见稿)》
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称《保护条例》)。
作为《网络安全法》的重要配套法规,《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求,为开展等级保护工作提供了重要的法律支撑。《保护条例》共8章73条,具体内容及关键解读见附录E。
6.《关键信息基础设施安全保护条例》
《关键信息基础设施安全保护条例》(以下简称《条例》)于2021年4月27日国务院第133次常务会议通过,自2021年9月1日起施行。
《条例》的出台和实施,是落实党中央决策部署和总体国家安全观,切实推进关键信息基础设施保护体系建设的重要举措。《条例》是我国针对关键信息基础设施安全保护的专门性行政法规,也是指导国家网络安全保障工作的基础性行政法规。《条例》共6章51条,具体内容及关键解读见附录F。
1.标准组织
为充分发挥企业、科研机构、检测机构、高等院校、政府部门、用户等的作用,引导产学研各方面共同推进网络安全标准化工作,经国家标准化管理委员会批准成立全国信息安全标准化技术委员会(以下简称“信安标委”),信安标委的代号为SAC/TC260,英文名称为National Information Security Standardization Technical Committee。
信安标委是网络安全专业领域从事标准化工作的技术组织,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批,具体范围包括网络安全技术、机制、服务、管理、评估等领域。信安标委由国家标准委领导,业务上受中共中央网络安全和信息化委员会办公室(以下简称“中央网信办”)指导。信安标委印章由国家标准委颁发。
(1)信安标委的工作任务
1)遵循网络安全相关法律法规及国家有关方针政策,提出网络安全标准化工作的方针、政策和技术措施的建议。
2)按照国家标准制修订原则,以及采用国际标准和国外先进标准的方针,组织制定和持续完善网络安全国家标准体系;坚持问题导向,围绕国家网络安全工作急需,研究提出网络安全领域制定和修订国家标准的规划、年度计划和采用国际标准的建议,并提出与标准有关的科研、实施工作建议。
3)统筹考虑国家标准与行业标准、团体标准的衔接,支持具有先进性和引领性、实施效果良好、需要在全国范围推广应用的行业标准、团体标准转化为国家标准。
4)指导支持企业、高等院校、科研机构等单位根据国家网络安全工作急需研究起草标准,按照《全国信息安全标准化技术委员会标准制修订工作程序》申报立项。根据国家标准委批准的计划,组织开展网络安全国家标准的征求意见、技术审查、复审及国家标准外文版的翻译和审查工作。
5)根据国家标准委的有关规定,做好网络安全国家标准的通报和咨询工作。
6)受国家标准委委托,承担归口国家标准的解释工作。
7)组织开展网络安全国家标准的宣贯和培训工作,组织开展重要标准的试点验证和应用推广,与高校、研究机构、企事业单位等联合开展网络安全标准化人才培养。
8)协助相关主管部门推动标准的实施,开展网络安全领域标准的实施效果评估,建立相应的信息反馈机制。
9)组织开展网络安全领域标准成果评价,向相关主管部门提出奖励建议。
10)组织开展网络安全领域国内外标准一致性比对分析,跟踪、研究网络安全领域国际标准化发展趋势和工作动态,承担国际标准的起草工作,积极推动我国标准成为国际标准。受国家标准委的委托,承担ISO/IEC JTC1/SC27等网络安全相关国际标准化组织的对口业务工作,组织参与国际标准化工作,组织开展对外交流活动。
11)组织研究制定并发布委员会技术文件,引导网络安全技术、产业发展。
12)受国家标准委及有关主管部门的委托,承担与网络安全标准化有关的其他工作。
(2)信安标委的机构设置
信安标委的机构设置如图1-1所示。各机构的方向及任务见表1-1。
图1-1 信安标委的机构设置
表1-1 信安标委各机构的方向和任务
(续)
2.常用信息安全测评相关标准规范
下面介绍一些常用的与风险评估、等级保护、密评等安全业务相关的标准规范。
(1)风险评估相关
●《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007)。
●《信息安全技术 信息安全风险评估实施指南》(GB/T 31509—2015)。
●《信息安全技术 信息安全风险处理实施指南》(GB/T 33132—2016)。
●《风险管理 风险评估技术》(GB/T 27921—2011)。
(2)等级保护相关
●《计算机信息系统 安全保护等级划分准则》(GB/T 17859—1999)。
●《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)。
●《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)。
●《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)。
●《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449—2018)。
●《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627—2018)。
●《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959—2018)。
●《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T 36958—2018)。
●《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)。
(3)密评相关
●《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)。
●《信息系统密码应用测评要求》(GM/T 0115—2021)。
●《信息系统密码应用测评过程指南》(GM/T 0116—2021)。
●《信息系统密码应用高风险判定指引》(规范性文件2021)。
●《商用密码应用安全性评估量化评估规则》(规范性文件2021)。
●《信息系统密码应用基本要求》(GM/T 0054—2018)。
(4)其他安全相关
●《信息安全技术 电子邮件系统安全技术要求》(GB/T 37002—2018)。
●《信息安全技术 办公信息系统安全管理要求》(GB/T 37094—2018)。
●《信息安全技术 办公信息系统安全基本技术要求》(GB/T 37095—2018)。
●《信息安全技术 办公信息系统安全测试规范》(GB/T 37096—2018)。
●《信息安全技术 计算机终端核心配置基线结构规范》(GB/T 35283—2017)。
●《信息安全技术 网络攻击定义及描述规范》(GB/T 37027—2018)。
●《信息安全技术 网络安全威胁信息格式规范》(GB/T 36643—2018)。
●《信息安全技术 网络安全预警指南》(GB/T 32924—2016)。
●《信息安全技术 个人信息安全规范》(GB/T 35273—2020)。
●《信息安全技术 个人信息去标识化指南》(GB/T 37964—2019)。