GBT信息安全技术网络产品和服务安全通用要求编制说明.doc
上传者:小健
2022-06-16 14:41:57上传
DOC文件
88 KB
国家标准《信息安全技术网络产品和服务安全通用要求》编制
说明
—\任务来源
《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会 2017年下达的信息安全国家标准制定项目,国标计划号为:XXXXXX,由北京赛 西科技发展有限责任公司负责起草,中国电子技术标准化研究院、公安部第三研 究所、中国信息安全测评中心、中国信息安全认证中心、国家信息技术安全研究 中心、中科院信息工程研究所、中国电子信息产业发展研究院、工业和信息化部 电信研究院、国家信息中心、国家计算机网络应急技术处理协调中心、中国信息 安全研究院有限公司、中国软件测评中心、工业和信息化部电子工业第五研究所、 中科院软件所、北京赛西科技发展有限责任公司、联想(北京)有限公司、北京 天融信网络安全技术有限公司、***有限公司、启明星辰信息技术集团股份 有限公司、北京天融信科技有限公司、中联绿盟科技有限公司、深圳市腾讯计算 机系统有限公司等单位共同参与了该标准的起草工作。
二' 编制原则
当前,网络产品和服务中经常出现多种网络安全问题,如个人信息泄露、 默认口令、***、木马,严重影响用户安全或国家安全。我国高度重视网络安全, 密集出台了一系列国家网络安全政策法规,包括《中华人民共和国网络安全法》 (以下称《网络安全法》),以及为落实《网络安全法》而制定的《网络产品和服 务安全审查办法(试行)》、《网络关键设备和网络安全专用产品目录(第一批)》、 《国家网络安全事件应急预案》等法律法规,这些法律法规开启了我国“依法治 网”的新局面。
网络产品和服务的安全可控是保障我国网络安全的基础。为贯彻落实《网 络安全法》等法律法规对网络产品和服务的安全要求,坚持网络安全与信息化发 展并重的方针,提高网络产品和服务的安全可控能力,提升用户的网络产品和服 务的信息,需要重点解决网络应用中存在的恶意程序植入、安全缺陷漏洞响应、
供应中断等安全、个人信息滥用问题。本标准旨在规定网络产品和服务应满足的 最小安全要求,维护用户的合法权益,保障国家网络安全。要求在我国境内销售 或提供的网络产品和服务必须满足本标准的安全要求。
本标准在制定时遵循以下原则:
1) 落实网络安全法中关于网络产品和服务的安全要求。按照网络安全
法中对恶意程序植入、安全缺陷漏洞响应、供应中断等安全问题、 个人信息保护提出的安全要求,主要包括:a)第二十二条:网络产 品、服务应当符合相关国家标准的强制性要求(恶意程序防范、缺 陷漏洞响应、持续安全维护、用户信息保护);b)第二十三条:网 络关键设备和网络安全专用产品应当按照相关国家标准的强制性 要求;3)用户信息和个人信息安全保护相关条款。本标准将对网 络安全法中的上述安全要求进行细化,形成一个最小安全要求基 线。
2) 满足用户迫切安全关切问题。针对用户对网络关键设备和网络安全
专用产品中存在的常见的弱口令、个人信息泄露、***、安全漏洞 等问题的严重关切,本标准提出一个网络关键设备和网络安全专用 产品提供者必须满足的最小安全基线,以提升用户对网络关键设备 和网络安全专用产品的安全信心。该最小安全基线主要包括网络关 键设备和网络安全专用产品的安全功能要求和安全保障要求。
3) 保持与现有网络产品和服务标准的兼容。本标准在为网络产品和服
务制定最小安全基线时,
说明
—\任务来源
《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会 2017年下达的信息安全国家标准制定项目,国标计划号为:XXXXXX,由北京赛 西科技发展有限责任公司负责起草,中国电子技术标准化研究院、公安部第三研 究所、中国信息安全测评中心、中国信息安全认证中心、国家信息技术安全研究 中心、中科院信息工程研究所、中国电子信息产业发展研究院、工业和信息化部 电信研究院、国家信息中心、国家计算机网络应急技术处理协调中心、中国信息 安全研究院有限公司、中国软件测评中心、工业和信息化部电子工业第五研究所、 中科院软件所、北京赛西科技发展有限责任公司、联想(北京)有限公司、北京 天融信网络安全技术有限公司、***有限公司、启明星辰信息技术集团股份 有限公司、北京天融信科技有限公司、中联绿盟科技有限公司、深圳市腾讯计算 机系统有限公司等单位共同参与了该标准的起草工作。
二' 编制原则
当前,网络产品和服务中经常出现多种网络安全问题,如个人信息泄露、 默认口令、***、木马,严重影响用户安全或国家安全。我国高度重视网络安全, 密集出台了一系列国家网络安全政策法规,包括《中华人民共和国网络安全法》 (以下称《网络安全法》),以及为落实《网络安全法》而制定的《网络产品和服 务安全审查办法(试行)》、《网络关键设备和网络安全专用产品目录(第一批)》、 《国家网络安全事件应急预案》等法律法规,这些法律法规开启了我国“依法治 网”的新局面。
网络产品和服务的安全可控是保障我国网络安全的基础。为贯彻落实《网 络安全法》等法律法规对网络产品和服务的安全要求,坚持网络安全与信息化发 展并重的方针,提高网络产品和服务的安全可控能力,提升用户的网络产品和服 务的信息,需要重点解决网络应用中存在的恶意程序植入、安全缺陷漏洞响应、
供应中断等安全、个人信息滥用问题。本标准旨在规定网络产品和服务应满足的 最小安全要求,维护用户的合法权益,保障国家网络安全。要求在我国境内销售 或提供的网络产品和服务必须满足本标准的安全要求。
本标准在制定时遵循以下原则:
1) 落实网络安全法中关于网络产品和服务的安全要求。按照网络安全
法中对恶意程序植入、安全缺陷漏洞响应、供应中断等安全问题、 个人信息保护提出的安全要求,主要包括:a)第二十二条:网络产 品、服务应当符合相关国家标准的强制性要求(恶意程序防范、缺 陷漏洞响应、持续安全维护、用户信息保护);b)第二十三条:网 络关键设备和网络安全专用产品应当按照相关国家标准的强制性 要求;3)用户信息和个人信息安全保护相关条款。本标准将对网 络安全法中的上述安全要求进行细化,形成一个最小安全要求基 线。
2) 满足用户迫切安全关切问题。针对用户对网络关键设备和网络安全
专用产品中存在的常见的弱口令、个人信息泄露、***、安全漏洞 等问题的严重关切,本标准提出一个网络关键设备和网络安全专用 产品提供者必须满足的最小安全基线,以提升用户对网络关键设备 和网络安全专用产品的安全信心。该最小安全基线主要包括网络关 键设备和网络安全专用产品的安全功能要求和安全保障要求。
3) 保持与现有网络产品和服务标准的兼容。本标准在为网络产品和服
务制定最小安全基线时,
GBT信息安全技术网络产品和服务安全通用要求编制说明
