正式发布的信息安全国家标准清单

正式发布的信息安全国家标准清单

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

国家标准信息安全管理实用规则

国家标准《信息安全技术安全漏洞分类规范》 （征求意见稿）编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目，国标计划号为：20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草，中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月，组织参与本规范编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。 2、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月，按照制定的框架结构，确定分类的原则和方法，形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月，课题组在专家指导下，积极采纳国外相关漏洞分类的原则，形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日，规范编制小组在积极采纳专家意见的基础上，对规范内容进行修改，形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日，安标委秘书处组织了该标准的专家评审，编制小组听取了专家意见，对标准文本的内容进行修订、简化，形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月，安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决，通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见，标准编制组对意见进行了逐条分析和理解，对标准文本进行了完善，形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则

信息安全法律法规清单

07中华人民共和国档案法1987年9月5日第六届全国人民代表大会常务委员会第二十二次会议通过。根据1996年7月5日第八届全 国人民代表大会常务委员会第二十次会议《关于修改<中华人民共和国档案法>的决定》修正。 1988.01.01 08中华人民共和国刑法1979年7月1日第五届全国人民代表大会第二次会议通过。《中华人民共和国刑法修正案(八)》(发布日期：2011 年2月25日实施日期：2011年5月1日)修正或修改 1997.10.01 09中华人民共和国消防法1998年4月29日第九届全国人民代表大会常务委员会第二次会议通过，2008年10月28日第十 一届全国人民代表大会常务委员会第五次会议修订 2009.05.01 10中华人民共和国民法通则中华人民共和国主席令第三十七号《中华人民共和国民法通则》已由中华人民共和国第六届全国人民代表 大会第四次会议于一九八六年四月十二日通过，现予公布，自一九八七年一月一日起施行。 1987.01.01 11中华人民共和国劳动法1994年7月5日第八届全国人民代表大会常务委员会第八次会议通过。1995.01.01 12中华人民共和国劳动合同法2007年6月29日第十届全国人民代表大会常务委员会第二十八次会议通过。2008.01.01 13中华人民共和国国家安全法1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过，1993年2月22日中 华人民共和国主席令第68号公布。 1993.02.22 14中华人民共和国标准化法1988年12月29日第七届全国人民代表大会常务委员会第五次会议通过，1988年12月29日中华人民共和 国主席令第11号公布。 1989.04.01 15中华人民共和国治安管理处罚条例《中华人民共和国治安管理处罚条例》现在已变成《中华人民共和国治安管理处罚法》2005年8月28日 公布，2006年3月1日起实施 1987.01.01 16中华人民共和国消费者权益保护法全国人民代表大会常务委员会关于修改＜中华人民共和国消费者权益保护法＞的决定》已由中华人民共和 国第十二届全国人民代表大会常务委员会第五次会议于2013年10月25日通过，现予公布，自2014年3 月15日起施行。 1994.04.01 17中华人民共和国著作权法1990年9月7日第七届全国人民代表大会常务委员会第十五次会议通过,根据2001年10月27日第九届全国人民代表大 会常务委员会第二十四次会议《关于修改〈中华人民共和国著作权法〉的决定》修正，根据2010年2月26日第十一届 全国人民代表大会常务委员会第十三次会议《关于修改〈中华人民共和国著作权法〉的决定》第二次修正。 1991.06.01

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容： 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或

国内外信息安全标准

国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005．即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全

解读国标T信息安全技术个人信息安全规范

解读国标T信息安全技 术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 去标识化处理

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：安全事件应急处置和报告 对个人信息控制者的要求包括：

软考-信息安全工程师(汇总1000题)

一、1单项选择题（1-605） 1、Chinese Wall 模型的设计宗旨是：（A）。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是：（C）。 A、“三分靠技术，七分靠管理” B、“七分靠技术，三分靠管理” C、“谁主管，谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下（B）不属于 信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和 维护项目应该（A）。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。 A、内部计算机处理 B、系统输入输出 C、通讯和网络 D、外部计算机处理 6、从风险管理的角度，以下哪种方法不可取？（D） A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入，安全意识和安全手段之间形成（B）。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（D）。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在 该系统重新上线前管理员不需查看：（C） A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（B）。 A、逻辑隔离 B、物理隔离 C、安装防火墙 D、VLAN 划分 11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素

全国信息安全标准化技术委员会工作组章程

全国信息安全标准化技术委员会工作组章程 （2017年2月3日） 第一章总则 第一条为加强全国信息安全标准化技术委员会（以下简称“信安标委”）工作组的管理，规范工作组工作及相关活动，根据《全国信息安全标准化技术委员会章程》的有关规定制定本章程。 第二条本章程适用于信安标委下设的工作组（WG）和特别工作组（SWG）。 第三条工作组的设立、调整或撤消，由信安标委秘书处（以下简称“秘书处”）提出建议，报请信安标委主任办公会审议批准。 第二章工作组组成 第四条工作组设组长一名，全面负责工作组工作。工作组组长由秘书处提名，经信安标委主任办公会审议任命。工作组可设副组长，协助组长开展工作。副组长由组长提名，经主任委员批准任命。秘书处指派联络员，负责与工作组对口联络。

第五章工作组可设秘书，按组长要求组织和落实工作组相关工作，包括标准项目管理和推进、会议组织、文档 管理、工作组成员管理等。 第六条组长、副组长应具备的基本条件： 1. 遵守国家法律法规的中国公民； 2. 愿意为国家网络安全标准化事业做出贡献，具有较强的技术研究能力或丰富的标准化工作经验，并具备较强的组织协调能力； 3. 工作认真负责，公平公正，作风民主； 4. 具有相关工作基础和支撑其开展工作的条件。 第七条工作组成员应具备的基本条件： 1. 在我国境内注册的、具有法人资格的企业、高等院校、科研院所等； 2. 自愿加入工作组，承认并遵守本章程； 3. 从事与工作组技术领域相关的业务。 第八条工作组成员具有的权利： 1. 对工作组有关事宜享有表决权； 2. 了解工作组的工作情况和工作计划，申请或参与工作组标准项目； 3. 获取工作组工作文件、信息服务，以及信安标委刊物、技术资料等；

信息安全技术网络安全等级保护测评要求

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1概述 1.1任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。

国家标准-全国信息安全标准化技术委员会

《可信计算规范 第2部分：可信平台主板功能接口规范》 编制说明 可信计算标准平台组 2011年09月

国家标准《可信计算规范 第2部分：可信平台主板功能接口规范》 编制说明 一、任务来源 可信计算技术解决了以往终端PC体系结构上的不安全，从基础上提高了可信性，正在成为计算机安全技术与产业的发展趋势，各个国家和IT企业巨头都积极投身于可信计算领域的技术研究、标准制定与可信计算产品开发，以企占领未来信息安全以至IT技术的制高点。 为了推进可信计算在中国快速、健康的发展，2008年2月，全国信息安全标准化技术委员会将“可信平台主板功能接口”课题下达给北京工业大学，课题负责人沈昌祥院士。沈昌祥院士组织成立了以企业为主体的“产学研用”结合的“可信平台主板功能接口”，研究制定“可信平台主板功能接口规范”。项目启动会于2008年12月17日在北京工业大学召开。 可信计算规范分为4个部分，第1部分：可信平台控制模块规范、第2部分：可信平台主板功能接口规范、第3部分：可信基础支撑软件规范、第4部分：可信网络连接架构规范。 本部分是该系列标准的第2部分，由北京工业大学、中国长城计算机深圳股份有限公司、武汉大学、南京百敖软件有限公司、航天科工706所等负责起草。参与标准制定的单位有中国电子科技集团公司信息化工程总体研究中心、北京龙芯中科技术服务中心有限公司、中安科技集团有限公司、瑞达信息安全产业股份有限公司、江南计算所、中船重工第707研究所、华为技术有限公司、北京超毅世纪网络技术有限公司、北京华大恒泰科技有限责任公司等。 二、编制原则 1）积极采用国家标准和国外先进标准的技术，并贯彻国家有关政策与法规； 2）标准编制要具有一定的先进性、科学性、可行性、实用性和可操作性； 3）标准内容要符合中国国情，广泛征求用户、企业、专家和管理部门的意见，并做好意见的正确处理； 4）面向市场，参编自愿；标准编制工作与意见处理，应坚持公平、公正，切实支持产业发展； 5）合理利用国内已有标准科技成果，处理好标准与知识产权的关系；

信息安全标准法规

信息安全标准法规 01、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？ A. 非法侵入计算机信息系统罪 B. 破坏计算机信息系统罪 C. 利用计算机实施犯罪 D. 国家重要信息系统管理者玩忽职守罪 02、计算机取证的合法原则是： A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续 B、计算机取证在任何时候都必须保证符合相关法律法规 C、计算机取证只能由执法机构才能执行，以确保其合法性 D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则 03、对涉密系统进行安全保密测评应当依据以下哪个标准？ A、BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B、BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C、GB17859-1999《计算机信息系统安全保护等级划分准则》 D、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 04、等级保护定级阶段主要包括哪2个步骤 A.系统识别与描述、等级确定 B.系统描述、等级确定 C.系统识别、系统描述 D.系统识别与描述、等级分级 05、我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是： A、WG1 B、WG7 C、WG3 D、WG5 06、中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务： A、为政府单位信息系统进行安全方案设计 B、在信息安全公司从事保安工作 C、在公开场合宣讲安全知识 D、在学校讲解信息安全课程 07、在国家标准中，属于强制性标准的是： A、GB/T XXXX-X-200X B、GB XXXX-200X

【精品】国内外信息安全标准

国内外信息安全标准 班级11062301 学号1106840341 姓名杨直霖

信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC V2.1)《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了IS0/IEC15408-2005．即CC V2.3。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月俄罗斯批准了《国

信息安全技术物联网数据传输安全技术要求-全国信息安全标准化技术

《信息安全技术物联网数据传输安全技术要求》 国家标准编制说明 一、工作简况 1.1任务来源 物联网被认为是下一代IT潮流，设备将能够通过网络传输客户和产品数据。汽车、冰箱和其他设备连接物联网后，都可以产生并传输数据，指导公司的产品销售和创新。同时，消费者也可以使用连接物联网的设备收集自己的信息，比如现在的智能手环可以收集每天走多少步，心跳次数和睡眠质量等数据。 目前，物联网领域标准不一，让物联网市场碎片化。例如智能家居系统使用一套标准，医疗健康系统优势一套标准，甚至同样的领域，厂商的软件也指支持自己的设备。没有厂商愿意生产支持所有设备的通用程序，因此，集成数据和创建无缝的客户体验就成了难题。特别地，物联网安全标准的缺乏也让用户担心不同的设备如何保护客户数据的隐私和安全。隐私和安全是市场的敏感区域，如果物联网不能够保护好数据，很可能陷入危险的境地。” 有鉴于此，为了推进物联网产业在中国快速、健康的发展，2014年12月，全国信息安全标准化技术委员会将“信息安全技术物联网数据传输安全技术要求”课题下达给北京工业大学。 本标准工作组由北京工业大学、中国电子技术标准化研究院、中央财经大学、公安部第三研究所、中国科学院软件研究所、北京邮电大学、西安电子科技大学、无锡物联网产业研究院等组成。 本项目最终成果为：《信息安全技术物联网数据传输安全技术要求》国家标准。 1.2主要工作过程 主要工作过程如下： 1)2015年3-4月，课题组结合各参与单位的意见和实际系统的安全测评，进行任务研究分工，研究国内外相关标准内容，结合实际情况和各成员返回意见对标准草案编制方案进行了初步规划。 2)2015年5月，明确标准研制思路，项目组编制标准草案。 3)2015年6月，组织了标准草案研讨会，讨论已制定内容，根据研讨会各