2023信息安全技术方向实施标准
2023-1-9 14:15:21 Author: 网络安全与取证研究(查看原文) 阅读量:15 收藏

2023年1月1日起,一批2022年发布的新标准即将实施,涉及众多细分领域,现将这些标准进行汇编整理,供参考。

GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

发布日期:2022/10/12

实施日期:2023/5/1

为落实《网络安全法》《关键信息基础设施安全保护条例》关于保护关键信息基础设施运行安全的要求,在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全保护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。

《信息安全技术 关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础。这项标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作提供了强有力的标准保障。

GB/T 41817-2022《信息安全技术 个人信息安全工程指南》

发布日期:2022/10/14

实施日期:2023/5/1

为规范网络产品和服务个人信息处理活动,最大程度保障用户个人信息权益,业界陆续提出个人信息安全措施与产品和服务同步规划、同步建设、同步使用的理念。例如,欧盟《通用数据保护条例》规定在产品设计阶段要考虑个人信息保护要求,同时产品默认设置也要最大程度保护用户个人信息。这不仅有助于主动防御个人信息安全风险,也便于预防侵害用户个人信息权益事件发生。

本文件根据个人信息保护法律法规和政策标准要求,结合国内外在隐私工程方面的实践经验,给出了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南,为帮助网络产品和服务提升个人信息保护能力提供工程化指引。

《工程指南》作为一项「实施类指南」,以标准的形式从制度层面出发将组织内各团队/部门间的工作配合方式作出协调和指导。同时,该标准在三年前信安标委发布的《工程指南(征求意见稿)》基础上,进一步贯彻落实了“个人信息安全措施与产品和服务同步规划、同步建设、同步使用”的理念。概言之,《工程指南》对于企业如何将现有法规和标准落实到具体的系统和软件的设计开发程序中给出了强实践意义的指引,企业在提升网络产品和服务的个人信息保护能力时应将该标准作为重要参考。

GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

随着汽车智能化、网联化的快速发展,汽车数据的价值日益显现、收集汽车数据规模持续增长,数据安全问题突出。国家对于数据安全高度重视,2021年,《数据安全法》《个人信息保护法》等数据安全和个人信息保护方面的重要法律的颁布实施,对数据安全和个人信息保护工作提出明确要求。网信办等五部门联发《汽车数据安全管理若干规定(试行)》,提出汽车数据安全保护要求,为有序开展汽车领域重要数据和个人信息保护工作指明了方向。

本文件规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。

本文件适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。

GB/T 42015-2022《信息安全技术 网络支付服务数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,针对网络支付服务处理用户数据和业务数据的突出问题,结合行业应用现状研制本标准。

本文件规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。本文件适用于网络支付服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络支付服务数据处理活动进行监督、管理、评估提供参考。

GB/T 41806-2022《信息安全技术 基因识别数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

基因识别是生物信息学的一个重要分支,指使用生物学实验或计算机等手段识别DNA序列上的具有生物学特征的片段。随着高通量测序技术、生物信息学和生物大数据的快速发展,基因识别技术日趋成熟,且有着广泛的应用前景。但是,由于涉及医疗服务、法庭科学生物样本基因信息的鉴定服务、消费级服务及研究开发等众多场景,基因识别数据存在较高的安全风险。

本标准的发布与实施,有助于解决基因识别数据的非法收集、滥用、泄露等问题,保障基因识别数据安全,一定程度上弥补我国在生物特征识别数据的安全性规范上的劣势,为我国生物产业的发展提供有力的技术支持和保障。

本文件规定了基因识别数据及关联信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。

本文件适用于基因识别数据及关联信息的处理者规范数据处理活动,也可为监管部门、第三方评估机构对基因识别数据处理活动进行监督、管理、评估提供参考。

GB/T 41807-2022《信息安全技术 声纹识别数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等有关要求,深入支撑声纹识别技术应用过程中的数据安全保护,重点围绕个人信息处理的最小必要原则,针对声纹识别数据存在滥采滥用、泄露、过度存储和未授权使用等突出问题,结合当前声纹识别技术及应用现状研制本标准。

本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求。

本文件适用于规范数据处理者的声纹识别数据处理行为。

GB/T 41773-2022《信息安全技术 步态识别数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

围绕《网络安全法》对于生物特征识别数据的强制要求、贯彻落实《个人信息保护法》、《数据安全法》、《个人信息保护法》等有关要求,深入支撑步态识别技术应用过程中对于数据安全的治理工作,针对步态识别技术的特点,在坚持数据安全和信息化发展并重的前提下,重点围绕个人信息处理的最小必要原则研制了此项标准。本标准填补了国家步态识别数据标准的空白,对于提高步态识别产品和服务的整体安全水平,防范数据安全风险,维护国家安全、公共利益和用户个人隐私信息安全具有重大意义。

本文件规定了步态识别数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安全要求。

本文件适用于步态识别数据处理者规范数据处理活动,监管部门、第三方评估机构对步态识别数据处理活动进行监督、管理、评估参照使用。

GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

人脸识别技术在政府、教育、医疗、金融、交通等行业均得到广泛应用,创造了很大的社会价值。但随着未告知行为人的情况下获取人脸识别数据、强制人脸识别等乱象频发,人脸识别数据安全也面临巨大威胁。为此,国家也积极推进各项数据安全体系建设,此次制定的《信息安全技术人脸识别数据安全要求》主要为解决人脸数据滥采、泄露或丢失,以及过度存储、使用等问题。

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等有关要求,深入支撑人脸识别技术应用过程中的数据安全保护,重点围绕个人信息处理的最小必要原则,针对人脸数据滥采、泄露或丢失、过度存储和使用等突出问题,结合当前人脸识别技术应用现状制定了本标准。

本文件规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。

本文件适用于数据处理者安全开展人脸识别数据处理活动。

GB/T 42014-2022《信息安全技术 网上购物服务数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,针对网上购物服务的常见数据安全风险,结合行业应用现状研制了本标准。标准实施对象为网上购物服务,常见形式包括:网上商城购物、直播购物、社交购物、线上线下融合购物,根据网上购物服务所提供商品或服务的特性,网上购物服务还包括:餐饮外卖、交通票务、酒店服务、演出票务等。

本文件规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。

本文件适用于网上购物服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网上购物服务数据处理活动进行监督、管理、评估提供参考。

GB/T 42013-2022《信息安全技术 快递物流服务数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,针对快递物流服务的常见数据安全风险,结合行业应用现状研制了本标准。

本文件规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。

本文件适用于快递物流服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对快递物流服务数据处理活动进行监督、管理、评估提供参考。

GB/T 42012-2022《信息安全技术 即时通信服务数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,针对即时通信服务的常见数据安全风险,结合行业应用现状研制了本标准。标准实施对象为即时通信服务,包括个人即时通信服务(面向个人用户的即时通信服务)、组织即时通信服务(面向组织办公场景的即时通信服务)非商业服务不包含在内,如:组织内部自建或自用

服务不包含在内。

本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。

本文件适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通信服务数据处理活动进行监督、管理、评估提供参考。

GB/T 42017-2022《信息安全技术 网络预约汽车服务数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,针对网络预约汽车服务的常见数据安全风险,结合行业应用现状研制了本标准。标准实施对象为网络预约汽车服务。该服务是指以互联网技术为依托构建服务平台,整合供需信息,为用户提供网络预约汽车出行服务的经营活动。本标准主要规范网络预约出租汽车(简称“网约车”)服务,不包括私人小客车合乘(俗称“顺风车”)、网约货运和网约巴士。

本文件规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全要求。

本文件适用于网络预约汽车服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络预约汽车服务数据处理活动进行监督、管理、评估提供参考。

GB/T 42016-2022《信息安全技术 网络音视频服务数据安全要求》

发布日期:2022/10/14

实施日期:2023/5/1

为贯彻落实《数据安全法》《个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,针对网络音视频服务的常见数据安全风险,结合行业应用现状,研制了本标准。标准实施对象为网络音视频服务,主要包括网络音频、网络视频和网络直播服务。

本文件规定了网络音视频服务收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。

本文件适用于网络音视频服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络音视频服务数据处理活动进行监督、管理、评估提供参考。

GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》

发布日期:2022/7/11

实施日期:2023/2/1

近年,越来越多的云服务客户使用云服务提供者的服务,委托其进行个人信息处理。

本文件按照GB/T35273一2020对处理者的要求,提供了一种在公有云中保护个人信息的通用合规框架,指导处理者开展公有云中个人信息处理操作。

本文件旨在创建一组通用的控制类别和控制措施,与GB/T 22081中的信息安全控制目标和控制措施结合使用,由个人信息处理者来实现。本文件的目的如下:

(1)帮助公有云个人信息处理者履行相应义务,这些义务包括法律法规规定的直接义务及合同约定的其他义务;

(2)使公有云个人信息处理者在相关事务上保持透明,便于云服务客户选择管理良好的基于云的个人信息处理服务;

(3)协助云服务客户和公有云个人信息处理者签订合同协议;

(4)在单个云服务客户无法对托管在多方或虚拟化服务器(云)中的数据进行审计,或者此类审计可能增加现有物理和逻辑网络安全控制风险的情况下,为云服务客户行使审计权力和承担符合性责任提供一种机制。

本文件可为公有云服务提供者,特别是跨国运营的公有云服务提供者,提供一种通用的合规框架。

本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T22081基础上给出了公有云个人信息保护指南。

本文件适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司,政府机构和非营利组织。

本文件也可能适用于作为个人信息控制者的组织。但是,个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束,面这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。

GB/T 25068.4-2022《信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护》

发布日期:2022/10/14

实施日期:2023/5/1

为了能同国际标准相接轨,参考国际标准的修订情况,相应的对国家标准《信息技术 安全技术 IT网络安全》系列标准进行修订,以适应近十年产业发展的形势。

该标准等同采用国际标准《ISO/IEC 27033-4:2015 信息技术 安全技术 网络安全 使用安全网关的网间通信安全保护》,适用于参与安全网关的详细规划、设计和实现的所有人员(例如网络架构师和设计人员、网络管理员和网络安全管理者),使用安全网关(防火墙,应用防火墙,入侵防护系统等)的网络间的通信安全。

本标准给出了使用安全网关(防火墙,应用防火墙,入侵防护系统等)的网络间通信安全指南,这些安全网关按照文档化的信息安全策略进行通信。修订的主要内容:1.修改了标题,删除了“IT网络安全”中的“IT”两字母,改为“网络安全”;2.目次进行大幅度的增加和修改,其中“术语和定义”增加了二级标题目录、“缩略语”改为“缩写”;3.对标准正文的结构进行了大幅度的调整,由原来的9章调整为现在的10章。对第5-8章标题及内容进行了重新书写,增加了第5章“概述”、第6章“安全威胁”、第7章“安全需求”、第8章“安全控制”、第9章“设计技术”、第10章“产品选择指南”等章节,删除了“安全要求”、“安全网关技术”、“安全网关组件”、“安全网关体系结构”、“选择和配置指南”等章节。

GB/T 25068.3-2022《信息技术 安全技术 网络安全 第3部分:面向网络接入场景的威胁、设计技术和控制》

发布日期:2022/10/14

实施日期:2023/5/1

本文件描述了与网络接入场景相关的威胁、设计技术和控制问题,为每一个网络接入场景提供了能够降低相关风险的安全威胁、安全设计技术以及控制三个要素的详细指南。

本文件适用于按照GB/T25068.2来评审技术性安全体系的结构和设计,以及选择和记录首选技术安全架构、设计和相关控制的选项。被评审的网络环境的特征决定了特定信息的选择(包括从GB/T25068.4、GB/T25068.5及IS0/IEC 27033-6中选择的信息),即特定信息的选择与特定网络接入场景和“技术”主题有关。

GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》

发布日期:2022/12/29

实施日期:2023/7/1

本标准规定了网络安全专用产品在标识与鉴别、通信安全、用户信息安全等通用安全功能,针对边界防护类、安全审计本类等网络安全专用产品的特殊安全功能,以及开发、生命周期支持等安全保障等方面应满足的安全要求。本标准适用于在我国境内销售或提供的防火墙、网络入侵防御、病毒防治、安全审计等网络安全专用产品,也可为网络运营者采购网络安全专用产品时提供依据,还适用于指导网络安全专用产品的研发、测试和生产、以及指导第三方测评机构对网络安全专用产品进行安全测评等工作。

为贯彻落实《网络安全法》有关规定,更好地指导网络安全专用产品开展检测工作,制定本标准。

本标准可以给开发厂商进行指导,研发出安全性高的网络安全专用产品,防范或降低网络安全专用产品安全风险,提升我国网络和关键信息基础设施的安全保障水平。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247485470&idx=1&sn=34815a4ceabf5cd35518fc311518139f&chksm=cf3e282ef849a1384da260d4762d0ce2b1f37f6b3ecf3c9331927c13d3d5ead4988855cdf718#rd
如有侵权请联系:admin#unsafe.sh