《政務網站系統安全指南》等10項網絡安全國家標準獲批發布

根據2022年4月15日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2022年第6號），全國信息安全標準化技術委員會歸口的10項國家標準正式發布。具體清單如下：

本次發布的標準覆蓋信息安全風險評估、網絡數據處理安全、工業控制系統信息安全、信息安全服務分類與代碼、政務網站系統安全、智能家居通用安全、可信執行環境、可信計算密碼支撐平臺、SM9密碼算法使用、移動互聯網應用程序（App）等信息安全技術領域，對進一步規范網絡安全產業環境、推動政務部門開展安全防護監督工作、促進我國信息安全技術發展具有指導作用。

綠盟科技作為全國信息安全標準化技術委員會（TC260）的委員單位，多年來積極參與網絡安全國家標準和行業標準制修訂工作，涉及數據安全、網絡入侵防御、網絡安全漏洞、網絡威脅攻擊、網絡產品服務、工業控制安全等多個技術方向。在此次發布的GB/T 31506-2022《信息安全技術 政務網站系統安全指南》中，綠盟科技作為參編單位，深度參與相關工作。

標準簡析

GB/T 41387-2022《信息安全技術 智能家居通用安全規范》

GB/T 41387-2022《信息安全技術 智能家居通用安全規范》提出了智能家居系統的組成及智能家居安全框架，從硬件、固件、操作系統、應用、接口、通信及數據七個維度規定了智能家居終端安全要求、網關安全要求、控制端安全要求、服務平臺安全要求，并提出為滿足技術要求所采用的測試方法等內容。該標準的制定為智能家居多元的智能化場景，如家庭娛樂、家庭安防、家庭監控、遠程控制等的發展提供了指導依據，也為進一步規范企業及用戶、監管核查處置物聯網設備，有效控制風險，提供了安全保障。

GB/T 41388-2022《信息安全技術 可信執行環境 基本安全規范》

GB/T 41388-2022《信息安全技術 可信執行環境 基本安全規范》提出了可信執行環境系統整體架構，確立了可信執行環境系統整體技術架構、硬件要求、安全啟動過程基本要求、可信虛擬化、可信操作系統、可信應用與服務管理基本要求、可信服務基本功能及要求、跨平臺應用中間件、可信應用架構及安全要求、測試評價方法的相關技術要求。

GB/T 41389-2022《信息安全技術 SM9密碼算法使用規范》

GB/T 41389-2022《信息安全技術 SM9密碼算法使用規范》規定了SM9密碼算法的使用要求，描述了密鑰、加密與簽名的數據格式。SM9是一種基于標識的密碼技術（Identity-Based Cryptography，IBC），由國家密碼管理局于2016年3月28日發布。它是利用橢圓曲線雙線性對理論，使用用戶唯一身份標識，實現用戶身份與密鑰對直接綁定的密碼技術。該密碼技術能夠利用對方的唯一標識直接生成公鑰，簡化了傳統PKI（SM2）應用中需要事先交換公鑰和在線驗證的過程，效率更高、使用更方便安全可靠。本標準的制定有助于指導SM9密碼算法的設備和系統的研發和檢測，將進一步加快SM9密碼算法在我國的應用服務，做到安全可靠、自主可控。

GB/T 41391-2022《信息安全技術 移動互聯網應用程序（App）收集個人信息基本要求》

GB/T 41391-2022《信息安全技術 移動互聯網應用程序（App）收集個人信息基本要求》規定了App收集個人信息應遵循的基本要求，給出了常見類型App必要個人信息的收集使用要求。長期以來App非法獲取、超范圍收集、過度索權等侵害個人信息的現象一直存在，我國《中華人民共和國網絡安全法》《App違法違規收集使用個人信息行為認定方法》等法律和有關規定中，明確規范了針對App收集個人信息的活動。本標準是從收集個人信息的最小必要要求、授權要求、特定類型收集必要性等方面，規范App運營者對個人信息的收集活動，也為監管部門和第三方評估機構等組織提供了監督、管理和評估依據。

GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》

GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》的制定，主要是為貫徹落實《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》有關要求，進一步推動工業企業落實《工業控制系統信息安全防護指南》防護要點，從工控安全防護設計、建設、運維全生命周期提出工控安全防護要求。該標準以工業企業為實施對象，工控安全防護范圍主要包括工業企業的現場設備層、現場控制層、過程監控層、生產管理層和企業資源層。工業企業針對上述五層結構開展的工控安全技術防護體系和安全管理制度建設，構成了本標準工控安全防護的對象和范圍。該標準將《工業控制系統信息安全防護指南》的11項防護要求具體細化為包含40個過程域的10個過程類，共計365個基本實踐，規定了針對核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法。本標準的實施與應用有助于指導企業落實政策標準的有關要求，進一步引導工業企業統籌發展和安全，指導企業逐級提升工控安全防護能力，以較低成本建立有效的工控安全管理和技術防護體系，量化評價企業安全防護水平，著力防范化解重大安全風險。同時，該標準的實施推廣，可支撐工控安全行業主管部門，全面了解當前我國工業企業工控安全防護能力水平，摸清本行業、本轄區工控安全底數，為工控安全管理工作提供標準化支撐。

GB/T 41479-2022《信息安全技術 網絡數據處理安全要求》

GB/T 41479-2022《信息安全技術 網絡數據處理安全要求》規定了網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理的安全技術與管理要求。數據處理安全要素包括數據識別、數據分類分級、風險防控、審計追溯。網絡運營者在開展數據處理時應對數據處理進行影響分析和風險評估，采取必要的措施對識別的風險進行控制，以保障數據安全，在發生依據突發公共衛生事件專項預案響應的事件時，數據處理還應滿足《突發公共衛生事件個人信息保護要求》的相關規定。該標準的制定，對進一步規范網絡運營者在網絡數據處理安全要求，對主管監管部門、第三方評估機構監督管理和評估具有指導意義。

GB/T 20984-2022《信息安全技術 信息安全風險評估方法》

當前我國高度重視網絡安全工作。《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》和《關鍵信息基礎設施安全保護條例》等網絡安全方面的重要法律法規的頒布實施，對網絡安全保障工作提出了具體的要求。為了更好貫徹落實上述法律法規的有關要求，GB/T 20984-2022《信息安全技術 信息安全風險評估方法》明確了風險評估實施要點和工作形式，提出了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法，以及風險評估在信息系統生命周期不同階段的實施要點和工作形式；構建了風險評估框架，從風險要素關系、風險分析原理、風險評估流程三方面構建了風險評估框架；制定了風險評估實施流程和方法，從評估準備、風險識別、風險分析、風險評價、溝通與協商、文檔記錄等六個方面制定了風險評估實施流程和方法；資料性附錄給出了評估對象的全生命周期解讀與示例，標準編制的資料性附錄中給出了評估對象生命周期各階段的風險評估方法，風險評估的工作形式，風險評估的工具，資產識別、威脅識別的方法，并提供了風險計算示例。本標準的修訂實施，可以為國家網絡安全主管部門、各重要行業網絡安全保障單位、第三方網絡安全檢測評估機構提供開展網絡安全檢測評估的技術標準和依據；為國家各行業、各領域的信息化與網絡安全建設工作提供重要的決策依據與成效評價，為各行業網絡安全主管部門提升網絡安全管理水平提供重要抓手；助力國家關鍵信息基礎設施安全保護工作的順利開展，對我國網絡強國戰略實施、數字經濟的健康良性發展起到有力的推動作用，進一步提升網絡和數據安全保障能力與水平。

GB/T 29829-2022《信息安全技術 可信計算密碼支撐平臺功能與接口規范》

GB/T 29829-2022《信息安全技術 可信計算密碼支撐平臺功能與接口規范》是對2013版的修訂，主要以商用密碼算法應用為核心，以可信計算技術應用需求為基礎，參考了我國商用密碼算法、可信計算技術在ISO國際標準中采納和應用的成果，給出可信計算密碼支撐平臺的體系框架和功能原理，規定了可信密碼模塊的接口規范，定義了可信計算密碼支撐平臺接口形式及可信密碼模塊的接口規范。該標準的修訂對滿足目前不同應用場景下可信計算密碼支撐平臺設計需求、兼容各種硬件平臺、宿主機軟件系統、應用系統，確保產業界產品的統一性和兼容性等提供標準依據。

GB/T 30283-2022《信息安全技術 信息安全服務 分類與代碼》

GB/T 30283-2022《信息安全技術 信息安全服務 分類與代碼》是對2013版的修訂，描述了信息安全服務的分類與代碼，涵蓋信息安全咨詢類、信息安全設計與開發類、信息安全集成類、信息安全運營類、信息的安全處理和存儲類、信息安全測評與認證類等方面，該標準是網絡安全行業的基礎性標準，修訂過程遵循科學性、系統性、符合性、適用性等原則，修訂過程中主要參考了GB/T 4754-2017《國民經濟行業分類》2019修改版、GB/T 37961-2019《信息技術服務 服務基本要求》以及GB/T 29264-2012《信息技術服務 分類與代碼》中信息技術服務的分類方法，該標準的修訂對信息安全服務的提供和采用具有指導意義。

GB/T 31506-2022《信息安全技術 政務網站系統安全指南》

政務網站系統由于其特殊的屬性，與普通網站相比更容易遭到來自互聯網的攻擊。近年來，隨著“互聯網+”的迅速發展，我國政府各部門在大力落實“以人為本，為民辦事”總基調的前提下，大力推廣“互聯網+政務服務”模式，實現多渠道政務信息公開和辦公服務，為適應上述變化，落實國家網絡安全政策，支撐主管部門的工作需求，同時適應云計算、移動互聯等新技術新應用在政務網站系統中的應用實施。提出對GB/T 31506-2015的立項修訂，GB/T 31506-2022《信息安全技術 政務網站系統安全指南》主要是結合對政務網站系統的安全風險分析，給出了在對政務網站系統實施安全防護時可采取的安全技術措施和安全管理措施。該標準的修訂，完善了政務網站系統安全體系指導措施，提升了政務網站網頁防篡改及監測、提高了抵抗拒絕服務攻擊的能力及系統可用性，強化了數據安全管控措施，將對政務網站系統的建設、運維、退出等生命全周期主要環節的安全防護產生重大的指導意義，為有效推動政務部門開展網站系統安全防護及實施安全監督管理和評估檢查提供依據，也為我國加快政務數字發展奠定堅實的安全根基。