新闻中心

权威发布丨10项安全类国家标准获批发布(附链接)

发布时间:[ 2022-04-28 ]

近日,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告,全国信息安全标准化技术委员会归口的10项国家标准正式发布。


包含《信息安全技术 智能家居通用安全规范》、《信息安全技术 可信执行环境 基本安全规范》、《信息安全技术 SM9密码算法使用规范》等十项,均在2022年11月1日开始实施。具体清单如下:

微信截图_20220429100628


GB/T 41387-2022 信息安全技术 智能家居通用安全规范

GB/T 41387-2022《信息安全技术智能家居通用安全规范》是国内首个智能家居安全领域国家层面标准规范。该标准主要明确了智能家居系统安全保护范围,提出了智能家居系统通用安全要求,分别对智能家居设备、控制软件、网关、应用服务平台等四个核心组成部分提出了通用安全要求。标准涉及硬件、固件、操作系统、应用、通信、数据、平台等十大方面,旨在为智能家居系统提供全面的安全防护。

 

GB/T 41388-2022 信息安全技术 可信执行环境 基本安全规范

该标准提出了可信执行环境系统整体架构,确立了可信执行环境系统整体技术架构、硬件要求,安全启动过程基本要求,可信虚拟化、可信操作系统、可信应用与服务管理基本要求,可信服务基本功能及要求,跨平台应用中间件、可信应用架构及安全要求,测试评价方法的相关技术要求。

  

GB/T 41389-2022 信息安全技术 SM9密码算法使用规范

该标准面向SM9算法服务于IBC应用和工程化时所需的统一解析说明和格式定义。适用于SM9密码算法的使用,以及支持SM9密码算法的设备和系统的研发和检测。标准定义了SM9密码算法的使用方法,基本数据结构、预处理内容、计算过程参数,规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式,为新技术、新应用、新产业的发展奠定了规范的算法基础。

 

GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求

该标准针对APP违法违规收集使用个人信息的突出问题,以移动智能终端预置App、下载安装的APP、小程序为实施对象,规定了App手机个人信息的基本要求,给出了39类App必要个人信息范围和使用要求。基本要求包含App功能划分、最小必要手机、告知同意、系统权限申请使用、第三方管理、特定类型个人信息等七大方面。

 

GB/T 41400-2022 信息安全技术 工业控制系统信息安全防护能力成熟度模型 

该标准以工业企业为实施对象,工控安全防护范围主要包括工业企业的现场设备层、现场控制层、过程监控层、生产管理层和企业资源层。工业企业针对上述五层结构开展的工控安全技术防护体系和安全管理制度建设,构成了标准工控安全防护的对象和范围。该标准将《工业控制系统信息安全防护指南》的11项防护要求具体细化为包含40个过程域的10个过程类,共计365个基本实践,规定了针对核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。标准的实施推广有助于指导企业落实政策有关要求,防范化解重大安全风险,为工控安全管理工作提供标准化支撑。

 

GB/T 41479-2022 信息安全技术 网络数据处理安全要求

该标准从数据识别、分级分类、风险防控、审计追溯等方面提出数据处理总体要求;对数据收集、传输和存储、加工、公开、数据出境、第三方应用等方面提出数据处理具体要求。标准用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,主管监管部门对网络运营者数据处理活动进行监督管理,以及第三方评价机构开展相关评价工作。

 

GB/T 20984-2022 信息安全技术 信息安全风险评估方法

该标准明确了风险评估实施要点和工作形式,构建了风险评估框架,制定了风险评估实施流程和方法,资料性附录给出了评估对象的全生命周期解读与示例。标准形成的信息安全风险评估方法,为各部门工作提供了开展网络安全检测评估工作的技术标准和依据,为国家各行业、各领域的信息化与网络安全建设工作提供重要的决策依据与成效评价,助力国家关键信息基础设施安全保护工作的顺利开展。

 

GB/T 29829-2022 信息安全技术 可信计算密码支撑平台功能与接口规范

该标准以国家密码管理局制定的《可信计算平台密码技术方案》为基础,着重描述可信计算密码支撑平台功能原理与要求,并详细定义了可信计算密码支撑平台的密码算法、密钥管理、证书管理、密码协议、密码服务等应用接口规范。适用于可信计算密码支撑平台相关产品的研制、生产、测评与应用开发。

 

GB/T 30283-2022 信息安全技术 信息安全服务 分类与代码

该标准是对GB/T 30283—2013《信息安全技术 信息安全服务 分类》的修订。标准描述了信息安全服务的分类与代码,主要包括主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面。标准适用于信息安全服务的提供与采用。

 

GB/T 31506-2022 信息安全技术 政务网站系统安全指南

GB/T 31506-2022 信息安全技术 政务网站系统安全指南是对GB/T 31506-2015版本的修订版本。该标准的修订,明确了政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施,提高了抵抗拒绝服务攻击的能力及系统可用性,强化了数据安全管控措施,有效提升政务网站的安全防护水平。