第一节 网络安全标准体系

适用要点

1．我国网络安全标准体系建设

2．我国网络安全标准体系现状

3．我国网络安全标准体系的完善

4．我国网络安全标准化监管机构

作为信息化建设中的一项基础性系统工程，网络安全标准是信息领域发展的重要基石，对我国网络安全至关重要。《网络安全法》第十五条规定，国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

一、我国的网络安全标准体系建设

根据1988年颁布的《标准化法》的规定，我国的标准包括：国家标准、行业标准、地方标准和企业标准四种。需要在全国范围内统一的技术要求，应当制定国家标准；没有国家标准而又需要在全国某个行业范围内统一的技术要求，可以制定行业标准；没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求，可以制定地方标准；没有国家标准和行业标准的，应当制定企业标准。其中，国家标准和行业标准分为强制性标准和推荐性标准，地方标准在本行政区域内是强制性标准。保障人体健康，人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制标准。强制性标准必须执行，不符合强制性标准的产品，禁止生产、销售和进口。对于推荐性标准，国家鼓励企业自愿采用的标准，不具有强制执行力。

2015年，我国开始对《标准化法》进行修订。2017年11月4日，全国人民代表大会常务委员会正式通过了新修订的《标准化法》，该法将于2018年1月1日起施行。新修订的《标准化法》对1988年颁布的《标准化法》作了多处修改。一是将制定标准的范围从工业产品、工程建设和环保要求扩大到农业、服务业和社会管理领域。二是为充分发挥市场主体活力，实现标准有效及时供给，在标准种类上新增了团体标准，规定依法成立的社会团体可以制定团体标准。三是为了解决现行法所确定的强制性标准制定主体多、标准交叉重复矛盾的问题，对强制性标准进行整合。将现行强制性国家标准、行业标准和地方标准整合为强制性国家标准，并将强制性国家标准范围严格限定在“为保障人身健康和生命财产安全、国家安全、生态环境安全以及满足社会经济管理基本需要的技术要求”的范畴，取消强制性行业标准、地方标准。四是构建协调统一的标准体系，确保各类标准之间衔接配套。新修订的《标准化法》厘清了政府主导制定的三类推荐性标准的关系，规定推荐性国家标准是为满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要制定的国家标准。对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求，可以制定行业标准；为满足地方自然条件、风俗习惯等特殊技术要求，可以制定地方标准。

随着经济全球化进一步加剧，国际标准对国内标准的影响也在不断加深。1988年的《标准化法》规定，国家鼓励积极采用国际标准。新修订的《标准化法》进一步强化了国际标准的作用，国家积极推动参与国际标准化活动，开展标准化对外合作与交流，参与制定国际标准，结合国情采用国际标准，推进中国标准与国外标准之间的转化运用。

二、我国网络安全标准体系现状

网络安全标准化是网络安全保障体系建设的重要组成部分，在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。目前，我国已经制定了诸多涉及信息安全基础、安全技术与机制、安全管理、安全评估等多个领域的国家标准、行业标准，网络安全标准体系已粗具规模。

国家标准方面，推荐性标准较多，强制性国家标准较少。我国已颁布了《信息技术设备 安全 第1部分：通用要求》（GB 4943.1—2011）、《信息技术设备 安全 第23部分：大型数据存储设备》（GB 4943.23—2012）、《计算机信息系统安全保护等级划分准则》（GB 17859—1999）等强制性标准，以及《信息技术 安全技术 信息安全管理体系要求》（GB/T 22080—2016）、《信息技术 安全技术 信息安全控制实践指南》（GB/T 22081—2016）、《信息技术 安全技术 信息安全风险管理》（GB/T 31722—2015）、《信息安全技术 网络入侵检测系统技术要求和测试评价方法》（GB/T 20275—2013）、《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008）、《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448—2012）等诸多推荐性标准。

行业标准方面，许多行业根据本行业的情况制定了网络安全行业标准。例如，中国人民银行出台了《中国移动支付 检测规范 第8部分：个人信息保护》（JR/T 0098.8—2012）、《网银系统USBKey规范 安全技术与测评要求》（JR/T 0114—2015）等金融行业的网络安全标准。原信息产业部出台了《移动终端信息安全测试办法》（YD/T 1700—2007）、《移动终端信息安全技术要求》（YD/T 1699—2007）、《电信网和互联网安全等级保护实施指南》（YD/T 1729—2008）等通信行业的网络安全标准。国家邮政局出台了《寄递服务用户个人信息保护指南》（YZ/T 0147—2015）等邮政行业的网络安全标准。

三、我国网络安全标准化体系的完善

近年来，随着云计算、大数据、物联网等信息技术的快速发展应用，网络安全形势日益复杂严峻。为应对上述问题，我国亟须进一步完善现行的网络安全标准体系。2016年，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发布《关于加强国家网络安全标准化工作的若干意见》（以下简称《意见》）。《意见》指出，要在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准，在基础通用领域制定推荐性国家标准，视情况在行业特殊需求的领域制定推荐性行业标准。原则上不制定网络安全地方标准。对关键信息基础设施保护、网络安全审查、网络空间可信身份、关键信息技术产品、网络空间保密防护监管、工业控制系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、互联网电视终端产品安全、网络安全信息共享等领域的急需重点标准要加紧推进研究和制定工作。

《网络安全法》颁布之后，在强制性配套标准方面，全国信息安全标准化技术委员会将落实《网络安全法》要求，加快推动重点标准研制，包括网络安全产品与服务、关键信息基础设施保护等强制性国家标准的研究作为2017年工作的重点之一。目前，全国信息安全标准化技术委员会已发布了一系列网络安全国家标准征求意见稿，一方面，对我国现行的国家标准进行了修订和完善，另一方面，针对云计算、大数据等新技术提出了新标准。例如，《信息安全技术网络安全等级保护测评过程指南（征求意见稿）》《信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求（征求意见稿）》《信息安全技术网络安全等级保护测评要求 第2部分：云计算安全扩展要求（征求意见稿）》等。2017年8月，《信息安全技术 网络产品和服务安全通用要求（征求意见稿）》发布，该征求意见稿对在我国境内销售或提供的网络产品和服务提出了诸多强制性要求。除上述已经发布的国家标准征求意见稿外，一些与网络安全相关的国家标准进入立项阶段，例如，《信息安全技术 网络安全漏洞发现与报告管理指南》《信息安全技术 关键信息基础设施网络安全保护要求》。具体内容见表2-1。

四、网络安全标准化监管机构

根据新修订的《标准化法》的规定，国务院标准化行政主管部门统一管理全国标准化工作。国务院有关行政主管部门分工管理本部门、本行业的标准化工作。县级以上地方人民政府标准化行政主管部门统一管理本行政区域内的标准化工作。县级以上地方人民政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。据此，网络安全标准化的监督管理机构主要包括如下。

（一）国家标准化机构

国家标准化机构包括中央网信办、国家标准化管理委员会和全国信息安全标准化技术委员会。其中，中央网信办负责全国网络安全标准化的统筹协调工作。国家标准化管理委员会是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。网络安全国家标准的制定、修订、审查批准、编号和发布等工作由国家标准管理委员会统一管理。全国信息安全标准化技术委员会是在国家标准委员会的领导下，专门从事信息安全标准化工作的技术工作组织，主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。2016年，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发布的《关于加强国家网络安全标准化工作的若干意见》中指出，全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批。

（二）行业标准化机构

根据新修订的《标准化法》的规定，行业标准由国务院有关行政主管部门制定，报国务院标准化行政主管部门备案。据此，行业标准化机构主要为国务院有关行政主管部门。例如，公安部负责制定《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671—2006）等公共安全行业的行业标准。工业和信息化部负责制定通信行业的行业标准。

（三）地方标准化机构

根据新修订的《标准化法》的规定，地方标准由省、自治区、直辖市人民政府标准化行政主管部门制定；设区的市级人民政府标准化行政主管部门根据本行政区域的特殊需要，经所在地省、自治区、直辖市人民政府标准化行政主管部门批准，可以制定本行政区域的地方标准。其中，省、自治区、直辖市标准化行政主管部门是各省市的质量技术监督局，如北京市质量技术监督局、上海市质量技术监督局等。除了质量技术监督局外，有关行政主管部门对于本部门、本行业的标准化工作也有相应的管理权责。

法条链接目录

1．中华人民共和国网络安全法

2．中华人民共和国标准化法（1988年）

3．中华人民共和国标准化法（2017年修订）

4．关于加强国家网络安全标准化工作的若干意见