国家信息遜标准化“十一五"规划国家标准化管理委员会国务院信息化工作办公室二OO七年~月—A.刖 6在世界多极化、全球信息化、经济全球化、文化多元化的大背 景下,信息和信息技术战略性、全局性的作用日益突出,信息安全 的重要性和迫切性成为世界各国的共识,信息安全标准化在信息安 全保障体系建设中的基础性和规范性作用越来越明显为贯彻落实《国家信息化领导小组关于加强信息安全保障工作 的意见》(中办发[2003327号)和《国家标准化发展战略》对信息安 全标准化工作的要求,统筹规划和指导“十一五”期间信息安全标 准化工作,促进产业发展,为信息安全保障体系建设提供基础性技 术支撑,制定本规划一、 我国信息安全标准化工作情况与而粘的形势 7L我国信息安全标准化工作怙况 72. 我国信息安全标准化工作面临的形势 7(1) 经济全球化对信息安全标准化工作提出了新規战 8(2) 信息化发展对信息安全标准化工作提出了斯任务 8(3) 标准化戏珞对信息安全标准化工作提出了祈要求 8二、 指导思想、工作原则和总休目标 91. 指异思想 92. 工作原则 9(1) 国宋主导,多方参与 9(2) 需求导向.突出重点 9(3) 借鉴吸收.自主创新 9(4) 强化基砒.宪善体系 103. 总体目标 10三、 主要任务 111. 开展标准战略与基昭理论研究 112. 加快急畫标准的範定 113. 做好标准的推广实施 114. 积极参与国际标准化活动 11四、 重点项目 131.信息安全等级保护有关标准 132. 莎密信息系统安全保密标准 133. 密田技术豹网给信任井系咏准 134. 电子政务信息安全标准 145. 电子南务信息安全标准 146. 信总安全政府监管育关标准 M7. 信息安全管理体系毎准 14&信息安全西急与灾备有关标准 159. 信总安全服务僚埋标底 1510. 常息安全测评标准 16H•信息安全保障掘标与评价体糸 1512. 可依计算技术标冷 1613. 无纹通信和移动通信安全标准 1614. 湎讯社及广播电視等新闻发布系统安全标准 1615. 信息安全相关的生物特征识别标准 1616. 信息安全标准体系 16P •…181. 加强蚩织领导.强化协调指导 182. 呆取衣效措趣・推动标准实施 183. 实施人才战略.扩大专业队伍 184. 开发多种资源.保障持续投入 19一、我国信息安全标准化工作情况与面临的形势1 •我国信息安全标准化工作情况我国的信息安全标准化工作,经历了以衆踪和采用国际标准为 主,到采用国际标准与自主研制并頂的发展过程,取得了一定成绩, 总体上体现了我国现阶段信息安全保障工作对信息安全标准化的发 展要求。
信息安全标准化工作围绕国家信息安全保障体系建设.以信息 安全等级保护制度实施,网络信任体系建设.以及信息安全管理、 信息安全产品和信息安全评估等标准为重点,研究制定88项国家标 准.其中54项巳颁布.34项正在研制,在国家信息安全保障体系 建设中发挥了重要基础性规范性作用O我国信息安全标准化工作已经取得了较好的成绩,同时也应看 到,我国信息安全标准化的发展目前仍处于初级阶段,信息安全自 主创新能力不足,核心关键技术仍受制于人.标准化专业人才队伍 相对弱小,信息安全标准化的发展还不能适应信息化快速发展和国 家信息安全保障工作的要求,主要表现为:信息安全标准体系有待 进一步完善,标准化工作机制有待进一步健全,标准自主开发和标 准应用水平亟待提高2. 我国信息安全标准化工作面临的形势随着信息技术和信息网络的发展和应用的普及,经济全球化以 及我国信息化的发展和国家标准战略对信患安全标准化工作提出了 新的挑战、新的任务和新的要求1) 经济全球化对信息安全标准化工作提出了新挑战 在经济全球化的背景下.发达国家都非常垂视信息安全标准化工作.将信息安全标准化作为国家标准化战略的组成部分,把加强信息安全标准化政策的实施和增强信息安全标准的市场适应性,作为国家标准化战略的重点。
信息技术领域的国际竞争非常激烈.在信息技术和安全技术处于相对劣势的情况下,如何合理运用技术性贸易壁垒协定,充分发挥信息安全标准化的作用,保护我国信息安全和国家利益.成为对信息安全标准化工作新的抿战2) 信息化发展对信息安全标准化工作提出了新任务随着我国信息化的发展,信息安全问题更加凸显《国家信息化 领导小组关于加强信息安全保障工作的意见》把信息安全标准化工 作作为信息安全保障体系建设的重要任务•明确要求加强信息安全 标准化工作,抓紧制定急需的信息安全管理和技术标准.形成与国 际标准衔接的具有中国特色的信息安全标准体系;要重观标准的贯彻实施■充分发挥其基础性、规范性作用3) 标准化战略对信息安全标准化工作提出了新要求国家标准化发展纲要提出「十一五"期间我国标准化工作要达到中等发达国家水平为落实国家标准化战略的这一要求,信息安 全标准化工作要以标准体系建设为基础,贯彻落实科学发展观,以 确保国家信息安全为基本出发点,做好标准制定工作,在与国际标准相衔接的前提下,强化自主创新.促进产业发展二、指导思工作康J和总体目标1 •描导思想以科学发晨观为描导•依擁《国家休息化领导小组关于加僵信息 安全保廉工作的克见〉文件猜神.紧緊田绕信息安全保廉体系建设需求.坚松自主创締与学习借鉴粕皓合.坚却中国特色与国际衔接相绍合.堅持科学性与卖用性相结合.充分发挥信息安全标准的基 咄性規范性作用•晝点保障国来基砒信息网络和宣嬰信息系變安全. 促进信息安全产业的发晨.维护国家安全.2. 工作原阳(1) S1家主导•多方参与生国索主导下.各有关部门通力合作.充分调动产.学、研. 用各方的积极性.注重军民结合・加强国家倍息安全标浪化工作与 相关料技.产业規划的衔接和配合.連步形成以企业为主体的标准 化工作机崭。
2) 窗求导向,克出1[点歴持以信息安全保障体系建设的实际离求为导向.晝点抓好基 础类、管理夷和系疑矣等念需标准的制定工作加僵标冷推广应用 与服务.抢进标准实施.提高应用效果U(3) 借整吸收.自主创新坚持在学习催鉴吸收国际先进标冷化成果的基础上•张化原始 创輪和集成创新.缙违我国信息安全标准创締能力.提高白主开发 标准的比例.促进信息安全保挣技术和产品的自主可控.奨升我国 信息安全标*化的总体水早4) 强化基础,完善体系加强信息安全标准化人才培养与信息安全标准化信息网络服务 平台体系建设,强化信息安全技术与基础理论的研究,紧跟我国信 息安全形势的发展,做好信息安全标准体系等顶层设计3. 总体目标到“十一五"末期.基本建立适应信息安全保障体系建设需求 的信息安全标准体系;完成150项国家标准的制定;自主制定高质 按国家标准比例达到40%;提高实质参与国际标准化活动的水平. 在制定国际标准上取得突破三、主要任务1 •开展标准战略与基础理论研究进一步加强信息安全标准战略与基础理论研究,密切眾踪信息 安全保障技术发展动态,做好顶层设计和整体规划.构建一个结构 合理.科学实用、能与国际衔接、体现自主可控的信息安全标准体 系.指导信息安全标准制定工作。
2. 加快急需标准的制定结合国家信息安全监管、电子政务与电子商务等重大工程建设 和产业发展的信息安全标准需求.重点做好基础类.管理类和系统 •类标准的研究制定,为信息安全保障体系建设提供支撑每年研究制定30项左右国家标准.到“十一五"末完成150项 国家标准的制定.其中自主制定标准60项3. 做好标准的推广实施进一步加强标准的推广应用和检查力度.提髙标准应用效果, 重点做好新颁布国家标准的推广应用工作建立健全标准服务机制. 整合优化信息安全标准化资源,统一规划和建设国家信息安全标准 化信息网络服务平台体系,提供高效、便捷、准确的信息安全标准 信息服务.全面推进信息安全标准的实施应用4. 积极参与国际标准化活动建立参与国际标准化活动的长效机制,积极参加国际标准化会议,加强国际、双边.多边和区域标准化交流与合作,加强国际和外先进标准研究.推进国际标准采用,建立稳定的国际标准化人才队伍.争取国际标准化活动中的话语权.提高实质参与国际信息 安全标准化活动的能力十一五"期间,力争提交2-3项国际标准 提案,成为1-2项国际标准的编辑争取在中国举办1到2次国际 标准工作会议和区域信息安全标准工作会议。
四、重点项目“十一五"期间重点做好以下方面标准的研究和制定:1・信息安全等级保护有关标准为满足目前我国正在进行的信息系统等级保护试点和推广工作 的需求,重点开展包括信息安全等级保护模型、基本要求、定级指 南、实施指南、基本配置、技术要求、管理要求、工程管理、产品 分级使用等相关标准的研究制定2・ 涉密信息系统安全保密标准为满足涉密信息系统分级保护工作的需要,重点开展包括涉密 信息系统分级保护的管理规范、保护方案设计、审计监控、移动存 储介质防护、数据备份、应急响应、涉密载体销毁、电磁泄稼发射 防护、集成资质认证、产品检测与管理、系统测评、技术检查规范 等标准的研究制定3.密码技术和网络信任体系标准密码技术在保护信息系统安全方面具有重要作用规范和加强 以密码技术、身份认证、授权管理、责任认定等为基础的信息安全 保障体系建设,满足网络信任、电子政务、电子商务和实施《电子 签名法》等的迫切要求重点开展包括密码算法与密钥体系,密码 产品与密码系统,密码管理基础设施,密码应用,密码检测、认证 及评估、电子签名格式、CA系统证书分级规范、电子签名服务规范、 电子签名实用指南、电子签名智能卡应用接口、电子签名产生和验 证机制等标准。
4・电子政务信息安全标准我国电子政务建设和应用正进入高潮•急需制定相关的信息安 全标准予以密切配合更点开展包括电子政务认证运营服务要求、 电子政务认证技术指南、电子玫务密码体系、资源共享与流程对接 信息安全、基于互联网的电子政务信息安全等标准的研究制定5 •电子商务信息安全标准我国电子商务发展迅速,支付信息安全等问题日益突出 为规范电子商务信息安全措施.促进电子商务健康发展,重点开展 包括支付安全、无垠射頻识别、虔拟货币、电子合同、网上银 行系统信息安全保障评估准则、网上证券系统信息安全保障评估准 则等标准的研究制定6 •信息安全政府监管有关标准信息安全监管是及时发现和处置网络攻击防止有害信息传播. 对网络信息系统实施保护的重要手段重点开展包括监管系统接口、 数据格式.协议.身份管理框架、行为监管、信息技术内控规范. 监管系统的部署操作与管理、信息系统脆弱性管理.有害信息分类、 公共上网场所管理、未成年人上网管理等标准的研究制定7. 信息安全管理体系标准信息安全管理体系是信息安全保障体系建设的重要组成部分. 根据《国家信息化领导小组关于加强信息安全保障工作的意见》“立 足国悄,以我为主.坚持技术管理并重”的要求•结合我国管理实 际,重点制定信息安全管理体系的原则与概念、体系要求、实用规 则、实施指南、管理测度.风险管理、认证机构的规范要求、信息安全管理体系审核要求等标准。
8. 信息安全应急与灾备有关标准为落实《国家信息化领导小组关于加强信息安全保障工作的意 见》“加强信鳥安全应急处置工作”的要求,主要开展信息安全事件 分级分类管理、信息安全事件处理、应急响应计划指南、灾难恢复 与备份等标准的研究制定9 •信息安全服务管理标准信息安全服务是保障信息系统安全的有。