标准作为贯穿各领域间的技术规则,在维护国家安全、保障数字经济健康发展等方面发挥着基础性、规范性、引领性作用。2022年,在国家标准化管理委员会及行业主管部门的指导下,我国的网络安全标准化工作取得了丰硕成果,有效促进了网络安全产业的高质量发展。今天,小编整理了我国2022年发布的重要网络安全标准,共36项国家标准、17项行业标准,供大家参考。
国家标准
1.2022年3月9日,GB/T20278-2022《信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法》发布
本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法,其中安全技术要求分为基础级和增强级,内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。
2.2022年3月9日,GB/T25069-2022《信息安全技术术语》发布
本标准界定了信息安全技术领域中基本或通用概念的术语和定义,并对这些条目进行了分类,是信息安全领域的重要基础性标准,也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。
3.2022年3月9日,GB/T41241-2022《核电厂工业控制系统网络安全管理要求》发布
本标准规定了核电厂工业控制系统网络安全方面的管理、技术防护和应急管理的要求,并给出了核电厂工业控制系统网络安全定级说明。
4.2022年3月9日,GB/T41260-2022《数字化车间信息安全要求》发布
本标准规定了数字化车间信息安全总则、管理要求和技术要求等,给出了数字化车间信息安全常见威胁源、典型机械制造行业数字化车间信息安全示例,提出了数字化车间信息安全增强要求。
5.2022年3月9日,GB/T41267-2022《网络关键设备安全技术要求交换机设备》、GB/T41266-2022《网络关键设备安全检测方法交换机设备》发布
两项标准互为配套,一个规定了列入网络关键设备目录的交换机设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法,其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
6.2022年3月9日,GB/T41269-2022《网络关键设备安全技术要求路由器设备》、GB/T41268-2022《网络关键设备安全检测方法路由器设备》发布
两项标准互为配套,一个规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法,其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
7.2022年3月9日,GB/Z41288-2022《信息安全技术重要工业控制系统网络安全防护导则》发布
本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。
8.2022年3月9日,GB/Z41290-2022《信息安全技术移动互联网安全审计指南》发布
本标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容,给出了安全审计活动的框架、功能任务以及各功能任务的具体指南。
9.2022年4月15日,GB/T20984-2022《信息安全技术信息安全风险评估方法》发布
本标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
10.2022年4月15日,GB/T29829-2022《信息安全技术可信计算密码支撑平台功能与接口规范》发布
本标准给出了可信计算密码支撑平台的体系框架和功能原理,规定了可信密码模块的接口规范,描述了对应的证实方法。
11.2022年4月15日,GB/T30283-2022《信息安全技术信息安全服务分类与代码》发布
本标准描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理与存储类、信息安全测评与认证类及其他类七个方面。
12.2022年4月15日,GB/T31506-2022《信息安全技术政务网站系统安全指南》发布
本标准给出了在对政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施,并提供了政务网站系统基本结构、政务网站系统安全措施级别选择、安全措施分级表等内容。
13.2022年4月15日,GB/T41387-2022《信息安全技术智能家居通用安全规范》发布
本标准规定了智能家居安全通用技术要求,包括智能家居终端、智能家居网关、智能家居控制端、智能家居应用服务平台的安全要求,以及对应的安全测试评价方法。
14.2022年4月15日,GB/T41388-2022《信息安全技术可信执行环境基本安全规范》发布
本标准确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。
15.2022年4月15日,GB/T41389-2022《信息安全技术SM9密码算法使用规范》发布
本标准规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式,主体内容包括SM9的密钥对、技术要求、证实方法,并在附录中提供了数据格式编码测试用例。
16.2022年4月15日,GB/T41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》发布
本标准规定了App收集个人信息的基本要求,包括最小必要收集、必要个人信息、特定类型个人信息、告知同意、系统权限、第三方收集管理及其他要求,并给出了常见服务类型App必要个人信息范围和使用要求。
17.2022年4月15日,GB/T41400-2022《信息安全技术工业控制系统信息安全防护能力成熟度模型》发布
本标准给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。
18.2022年4月15日,GB/T41479-2022《信息安全技术网络数据处理安全要求》发布
本标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。同时,本标准被作为数据安全管理认证的依据。
19.2022年7月11日,GB/T41574-2022《信息技术安全技术公有云中个人信息保护实践指南》发布
本标准给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T22081基础上给出了公有云个人信息保护指南,并且本标准应与GB/T22080结合使用,其中给出的额外控制措施作为实施基于GB/T22080的信息安全管理体系的组成部分。
20.2022年7月11日,GB/T41578-2022《电动汽车充电系统信息安全技术要求及试验方法》发布
本标准规定了电动汽车充电系统信息安全技术要求及试验方法,从硬件安全、软件安全、数据安全、通信安全四个部分提出技术要求,其中,通信安全包括充电系统对外通信安全和充电系统对内通信安全。
21.2022年10月19日,GB/T25068.3-2022《信息技术安全技术网络安全第3部分:面向网络接入场景的威胁、设计技术和控制》发布
22.2022年10月19日,GB/T25068.4-2022《信息技术安全技术网络安全第4部分:使用安全网关的网闸通信安全保护》发布
23.2022年10月19日,GB/T41773-2022《信息安全技术步态识别数据安全要求》发布
本标准规定了步态识别数据的基本安全要求,以及数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安全要求。并给出了步态识别数据常见安全风险和科学实验场景知情同意书示例。
24.2022年10月19日,GB/T41806-2022《信息安全技术基因识别数据安全要求》发布
本标准规定了基因识别数据及关联信息的基本安全要求,以及数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动和各场景的安全要求,场景包括个体服务场景和研究开放场景等。
25.2022年10月19日,GB/T41807-2022《信息安全技术声纹识别数据安全要求》发布
本标准规定了声纹识别数据的基本安全要求,以及数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安全要求。并给出了声纹识别数据安全风险分析方法和知情同意书示例。
26.2022年10月19日,GB/T41817-2022《信息安全技术个人信息安全工程指南》发布
本标准提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。
27.2022年10月19日,GB/T41819-2022《信息安全技术人脸识别数据安全要求》发布
本标准规定了人脸识别数据的安全通用要求,以及人脸识别数据收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。
28.2022年10月19日,GB/T41871-2022《信息安全技术汽车数据处理安全要求》发布
本标准规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。
29.2022年10月19日,GB/T42012-2022《信息安全技术即时通信服务数据安全要求》发布
本标准规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求,并给出了个人信息主体权利、即时通信服务特殊场景方面的要求。
30.2022年10月19日,GB/T42013-2022《信息安全技术快递物流服务数据安全要求》发布
本标准规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求,并给出了个人信息主体权利、快递物流服务典型业务场景数据安全保护方面的要求。
31.2022年10月19日,GB/T42014-2022《信息安全技术网上购物服务数据安全要求》发布
本标准规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求,并给出了个人信息主体权利、网上购物服务典型场景数据安全保护方面的要求。
32.2022年10月19日,GB/T42015-2022《信息安全技术网络支付服务数据安全要求》发布
本标准规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求,并给出了个人信息主体权利、网络支付服务典型场景数据安全保护方面的要求。
33.2022年10月19日,GB/T42016-2022《信息安全技术网络音视频服务数据安全要求》发布
34.2022年10月19日,GB/T42017-2022《信息安全技术网络预约汽车服务数据安全要求》发布
本标准规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全要求,并给出了乘客和驾驶员个人信息权利、行程录音录像数据安全保护方面的要求。
35.2022年10月31日,GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》发布
本标准规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安全要求,能够有效指导运营者对关键信息基础设施进行全生存周期安全保护。
36.2022年12月29日,GB42250-2022《信息安全技术网络安全专用产品安全技术要求》发布
本标准是强制性国家标准。规定了网络安全专用产品的安全功能要求、自身安全要求与安全保障要求。其中,安全功能要求包括访问控制、入侵防范、安全审计、恶意程序防范;自身安全要求包括标识和鉴别、自身访问控制、自身安全审计、通信安全、支撑系统安全、产品升级、用户信息安全、密码要求;安全保障要求包括供应链安全、设计与开发、生产和交付、运维服务保障和用户信息保护。
行业标准
通信行业
1.2022年4月24日,YD/T2388-2022《网络脆弱性指数评估方法》发布
本标准规定了网络脆弱性指数评估方法,包括网络脆弱性指数评估体系、网络脆弱性特征定义以及网络脆弱性分类,并给出了网络脆弱性指数计算方法。
2.2022年4月24日,YD/T2389-2022《网络威胁指数评估方法》发布
本标准规定了网络威胁的量化评估方法,包括网络威胁指数评估体系、网络事件分类及特征确定,并给出了网络威胁指数计算方法。
3.2022年4月24日,YD/T4055-2022《电信网和互联网区块链基础设施安全防护要求》发布
本标准规定了电信网和互联网区块链基础设施按安全保护等级的安全防护要求,涉及业务服务安全、网络安全、设备安全、物理环境安全和管理安全。
4.2022年4月24日,YD/T4056-2022《5G多接入边缘计算平台通用安全防护要求》发布
本标准规定了5G多接入边缘计算平台按安全防护等级的安全防护要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全。
5.2022年4月24日,YD/T4057-2022《电信网和互联网大数据平台安全防护检测要求》发布
本标准规定了大数据平台安全防护的检测范围、对象、环境、方式,并按照相应的安全防护等级给出了测试方法,将大数据平台安全等级共分为5级。
6.2022年4月24日,YD/T4058-2022《电信网和互联网安全防护基线配置要求和检测要求大数据组件》发布
本标准规定了电信网和互联网中所使用大数据服务在安全配置方面的基本要求及检测要求,特别是大数据采集组件、大数据处理组件、大数据存储组件及其基础设施、网络系统在安全配置方面的基本要求及检测要求。
7.2022年4月24日,YD/T4059-2022《混合云平台安全能力要求》发布
本标准规定了混合云平台的安全能力要求,分为一般级安全要求和增强级安全要求,主要包括公有云安全、私有云安全和跨云安全。
8.2022年4月24日,YD/T4060-2022《云计算安全责任共担模型》发布
本标准规定了公有云场景下安全责任共担模型,包括云计算安全责任共担主体、云计算安全责任共担模型、云服务提供者和云服务客户安全责任。
9.2022年4月24日,YD/T4063-2022《基于协议的DDoS攻击定义与分类》发布
本标准基于网络协议类型、按体系化架构对DDoS攻击进行分类的框架定义,并对DDoS攻击的命名进行了标准化格式定义,以及规定了DDoS攻击所属类型及在告警中应进行上报的字段。
10.2022年9月30日,YD/T4087-2022《移动智能终端人脸识别安全技术要求及测试评估方法》发布
本标准规定了移动智能终端人脸识别的安全技术要求和测试评估方法,包括安全目标、安全威胁分析、安全技术要求、测试评价方法和安全能力分级等。
交通运输行业
1.2022年6月9日,JT/T1417-2022《交通运输行业网络安全等级保护基本要求》发布
本标准规定了交通运输行业网络安全等级保护的通则,以及第一级至第四级的网络安全要求,可用于交通运输行业网络安全的规划设计、安全建设和监督管理。
2.2022年6月9日,JT/T1418-2022《交通运输网络安全监测预警系统技术规范》发布
本标准规定了交通运输网络安全监测预警系统的系统架构、功能要求、性能要求、展示要求、接口要求、安全要求与运行管理。
金融行业
1.2022年8月29日,JR/T0254—2022《金融网络安全信息科技外包评价指标数据元》发布
本标准规定了金融业信息科技外包分类及评价指标数据元定义,并给出了信息科技外包服务分类标识符及评价指标数据元表。其中,信息科技外包服务分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等5个一级子类。
2.2022年11月14日,JR/T0250—2022《证券期货业数据安全管理与保护指引》发布
3.2022年11月25日,JR/T0255—2022《金融行业信息系统商用密码应用基本要求》发布
本标准规定了金融行业信息系统不同等级的密码应用基本要求,从密码算法合规性、密码技术合规性、密码产品和密码服务合规性方面提出了密码应用通用要求,从金融行业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面提出了第一级到第四级的密码应用管理要求。
4.2022年11月25日,JR/T0256—2022《金融行业信息系统商用密码应用测评要求》发布
本标准规定了金融行业信息系统不同等级的密码应用的测评要求,从密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性和密钥管理安全性方面,提出了第一级到第五级的密码应用通用测评要求,从金融行业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面提出了第一级到第四级的密码应用测评要求。
5.2022年11月25日,JR/T0257—2022《金融行业信息系统商用密码应用测评过程指南》发布
本标准规定了金融行业信息系统商用密码应用的测评过程,包括密码应用实施过程、测评基本原则、测评风险识别和测评风险规避,描述了密码应用方案评估和信息系统商用密码应用安全性评估的测评活动。
原标题:《网络安全周周学|标准化引领高质量发展!盘点2022年国内网络安全重要标准》