国家标准《信息安全技术信息安全风险处理实施指南》(征求意见稿)编制

信息安全技术和信息系统安全等级保护是保障信息系统安全的重要方面。

以下是信息系统安全等级保护实施指南的一般性建议：
1. 制定安全政策：明确信息系统安全等级保护的目标和原则，建立适用于组织的安全政策，并提供相应的安全意识培训。

2. 进行风险评估：对信息系统进行全面的风险评估，包括威胁分析、漏洞评估和影响分析等。

基于评估结果确定系统的安全等级保护需求。

3. 制定安全控制措施：根据信息系统的安全等级保护需求，制定相应的安全控制措施，包括物理安全、网络安全、数据安全、身份认证与访问控制等方面。

4. 实施技术措施：采用现代化的信息安全技术和工具，包括防火墙、入侵检测系统、加密技术等，以保护信息系统的安全性和完整性。

5. 建立安全管理体系：建立信息安全管理体系，包括责任分工、权限管理、事件响应、备份恢复等方面，确保信息系统的长期安全运行。

6. 进行定期审查与监测：定期进行信息系统的安全审查和监测，包括安全漏洞扫描、日志分析和异常行为检测等，及时发现和处理潜在的安全问题。

7. 提升安全意识与培训：加强员工的信息安全意识教育和培训，提高他们对信息安全的重视和理解，降低内部威胁的风险。

8. 不断改进和更新：定期评估信息系统安全等级保护的有效性，并根据新的安全威胁和技术发展不断改进和更新安全措施。

需要注意的是，具体的实施指南可能因组织规模、行业特点和法律法规要求的差异而有所不同。

建议参考相关标准和最佳实践，结合实际情况制定并实施适合自身组织的信息系统安全等级保护实施指南。

国家标准《信息安全技术车载网络设备信息安全技术要求》（征求意见稿）编制说明一、工作简况1.任务来源国家标准《信息安全技术车载网络安全设备信息安全技术要求》制定工作由全国信息安全标准化技术委员会秘书处下达立项通知（信安秘字[2019]050号），主要承担单位为东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司等。

2.协作单位任务下达后，东软集团股份有限公司立即与测评机构、业内厂商和科研院校进行沟通并得到了积极参与的反馈，并于10月30日结束的参编单位征集活动后，国家工业信息安全发展研究中心、公安部第一研究所、国汽（北京）智能网联汽车研究院有限公司、北京航空航天大学、中国软件评测中心、阿里云计算有限公司、北京奇虎科技有限公司、北京天融信网络安全技术有限公司、公安部交通管理科学研究所、工业和信息化部电子第五研究所、中国科学院信息工程研究所、中国汽车工程研究院有限公司、北京百度网讯科技有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、启明星辰信息技术集团股份有限公司、北京安天网络安全技术有限公司、中国信息通信研究院、网神信息技术（北京）股份有限公司、国家计算机网络应急技术处理协调中心、北京中电华大电子设计有限责任公司、北京理工华创电动车技术有限公司、联合汽车电子有限公司、北京梆梆安全科技有限公司、天津国芯科技有限公司、长城汽车股份有限公司、北京神州绿盟科技有限公司、重庆邮电大学、上海市信息安全测评认证中心、一汽轿车股份有限公司、任子行网络技术股份有限公司、恒安嘉新（北京）科技股份公司、电子科技大学、重庆长安汽车股份有限公司等60家单位报名加入编制组。

3.主要工作过程3.1 成立编制组本标准的制定任务由东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司和其他参编单位共同承担。

个人信息保护措施实施指南第一章总则 (3)1.1 制定目的与依据 (3)1.2 适用范围 (4)1.3 保护原则 (4)3.1 合法、正当、必要原则 (4)3.2 明确目的、限定范围原则 (4)3.3 最小化处理原则 (4)3.4 信息安全原则 (4)3.5 权利保障原则 (4)3.6 责任自负原则 (4)3.7 教育培训原则 (4)第二章个人信息保护政策 (4)2.1 政策制定 (4)2.1.1 制定原则 (4)2.1.2 制定流程 (5)2.2 政策宣传与培训 (5)2.2.1 宣传方式 (5)2.2.2 培训对象与内容 (5)2.2.3 培训方式 (5)2.3 政策修订与更新 (6)2.3.1 修订时机 (6)2.3.2 修订流程 (6)第三章个人信息收集与处理 (6)3.1 信息收集原则 (6)3.2 信息收集程序 (6)3.3 信息处理与存储 (7)第四章个人信息安全防护 (7)4.1 安全防护措施 (7)4.1.1 物理安全 (7)4.1.2 技术安全 (8)4.1.3 管理安全 (8)4.2 安全事件应对 (8)4.2.1 安全事件分类 (8)4.2.2 安全事件应对流程 (8)4.3 安全审计与评估 (8)4.3.1 安全审计 (8)4.3.2 安全评估 (9)第五章个人信息权限管理 (9)5.1 权限分配原则 (9)5.2 权限管理流程 (9)5.3 权限撤销与恢复 (10)第六章个人信息共享与传输 (10)6.1 共享与传输原则 (10)6.1.1 遵守法律法规 (10)6.1.2 最小化共享与传输 (10)6.1.3 明确共享与传输目的 (10)6.1.4 保证数据质量 (10)6.2 共享与传输程序 (11)6.2.1 共享与传输申请 (11)6.2.2 审批与审核 (11)6.2.3 签订共享与传输协议 (11)6.2.4 共享与传输实施 (11)6.3 共享与传输安全管理 (11)6.3.1 数据加密 (11)6.3.2 身份验证与授权 (11)6.3.3 数据访问控制 (11)6.3.4 数据审计与监控 (11)6.3.5 应急响应与处理 (11)第七章个人信息查询与更正 (12)7.1 查询与更正原则 (12)7.1.1 合法、正当、必要原则 (12)7.1.2 最小化处理原则 (12)7.1.3 信息安全原则 (12)7.2 查询与更正程序 (12)7.2.1 查询申请 (12)7.2.2 查询审核 (12)7.2.3 查询操作 (12)7.2.4 更正申请 (12)7.2.5 更正审核 (12)7.2.6 更正操作 (12)7.3 查询与更正记录 (13)7.3.1 记录内容 (13)7.3.2 记录保管 (13)7.3.3 记录查阅 (13)7.3.4 记录保存期限 (13)第八章个人信息删除与销毁 (13)8.1 删除与销毁原则 (13)8.1.1 遵循法律法规 (13)8.1.2 最小化处理 (13)8.1.3 明确责任 (13)8.1.4 安全可靠 (13)8.2 删除与销毁程序 (13)8.2.1 识别需要删除与销毁的个人信息 (13)8.2.2 审批流程 (14)8.2.3 执行删除与销毁操作 (14)8.2.4 验证删除与销毁结果 (14)8.2.5 备份与恢复 (14)8.3 删除与销毁记录 (14)8.3.1 建立记录制度 (14)8.3.2 记录保存 (14)8.3.3 定期审查 (14)8.3.4 异常处理 (14)第九章法律责任与纠纷处理 (14)9.1 法律责任界定 (14)9.1.1 违反个人信息保护措施的法律责任 (14)9.1.2 法律责任的具体规定 (15)9.2 纠纷处理程序 (15)9.2.1 纠纷报告 (15)9.2.2 调查与处理 (15)9.2.3 处理结果公示 (15)9.3 纠纷调解与仲裁 (15)9.3.1 调解 (15)9.3.2 仲裁 (15)9.3.3 诉讼 (16)第十章个人信息保护持续改进 (16)10.1 保护措施评估 (16)10.1.1 评估目的 (16)10.1.2 评估内容 (16)10.1.3 评估方法 (16)10.2 改进措施实施 (16)10.2.1 改进计划制定 (16)10.2.2 改进措施实施 (16)10.2.3 改进措施跟踪 (17)10.3 改进效果评价 (17)10.3.1 评价内容 (17)10.3.2 评价方法 (17)10.3.3 评价周期 (17)第一章总则1.1 制定目的与依据为了加强个人信息保护，维护个人信息安全，保障公民个人信息权益，依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，制定本指南。

第十期《我国信息安全技术标准体系与认证认可制度介绍》一。

什么是信息安全技术标准体系?为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学合理化的手段。

信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力.事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度.国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二。

国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个。

1。

ISO/IEC JTC1(信息技术标准化委员会)所属SC27（安全技术分委员会)的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作.ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面.2. lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外，还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等，并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。

IETF（Internet工程任务组)制定标准的具体工作由各个工作组承担。

《信息安全技术恶意软件事件预防和处理指南》工作组讨论稿编制说明中国科学院研究生国家计算机网络入侵防范中心2016.6.03《信息安全技术恶意软件事件预防和处理指南》编制说明一、任务来源《信息安全技术恶意软件事件预防和处理指南》是全国信息安全标准化技术委员会2011年度信息安全专项中标准制订项目之一。

属2011年度下达的国家标准制定项目。

二、研究目标《信息安全技术恶意软件事件预防和处理指南》的制定旨在参照NIST SP800-83：Guide to Malware Incident Prevention and Handling，并结合我国恶意软件事件预防和处理实践，制定一个我国恶意软件事件预防和处理指南的标准。

三、国内外标准制定情况3.1 国际现状早在1991年，CARO（计算机反病毒研究组织）的创始人员就制定了一套应用于反病毒（A V）产品的计算机病毒的命名规则。

如今，相对于现在的应用来说，CARO的命名规则已经显得稍微有点过时了，但是它仍然是大多数反病毒公司曾采用过的唯一标准。

2005年10月份，美国计算机紧急反应小组(US-CERT，The United States Computer Emergency Readiness Team)正式启动名为CME（Common Malware Enumeration）的项目。

该项目的目的是为每个恶意软件指定一个唯一的标识符，从而帮助用户识别系统遭受的攻击。

2005年7月，微软、赛门铁克、组合国际（CA）、McAfee及Yahoo!等厂商组成反间谍软件联盟（Anti-Spyware Coalition，缩写为ASC）。

ASC目的是共同为间谍软件的定义、解决争议的通用程序和协同防御措施而努力，以帮助全球用户抵御日渐猖獗的网络威胁。

ASC 在恶意软件的定义和标准方面与各方进行了广泛讨论和深入研究，并形成一系列的标准和指导文档，其中主要有如下文档：（1）反间谍软件产品测试指南；（2）反间谍联盟风险模型描述；（3）最佳作法：潜在有害程序评估指南；（4）冲突辨认与解决程序。

国家标准《信息安全技术网络安全众测服务要求》（征求意见稿）编制说明一、工作简况1、任务来源2019年，全国信息安全标准化技术委员会（SAC/TC260）提出了国家标准《信息安全技术网络安全应急能力评估准则》的制定计划，该标准由全国信息安全标准化技术委员会提出并归口，制订计划获得国标委批准，本项目的项目计划号为XXX。

（注：该项目计划尚等待国标委正式批复）2、主要起草单位和工作组成员《信息安全技术网络安全众测服务要求》由国家计算机网络应急技术处理协调中心牵头研制，起草单位为：国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、阿里云计算有限公司、网神信息技术（北京）股份有限公司、北京中金安服科技有限公司、中国移动通信集团有限公司、中国科学院软件研究所、上海斗象信息科技有限公司、北京天融信网络安全技术有限公司、中通服咨询设计研究院有限公司、文鰩互联网科技（上海）有限公司、浙江蚂蚁小微金融服务集团股份有限公司、杭州安恒信息技术股份有限公司、北京信息安全测评中心、北京微智信业科技有限公司、北京众安天下科技有限公司、北京奇虎科技有限公司、中国电子科技网络信息安全有限公司、北京北信源软件股份有限公司、启明星辰信息技术集团股份有限公司、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、北京数字观星科技有限公司、上海计算机软件技术开发中心。

本标准主要起草人：云晓春、舒敏、严寒冰、王文磊、刘贤刚、张大江、高继明、秦磊、王宏、孙彦、王江波、董航、邓萍萍、俞斌、崔婷婷、李媛、胡鸣、王俊杰、郭亮、王龑、左敏、凌墨缘、张奇、杨蔚。

3、主要工作过程（1）草案阶段：2019年9月25日，起草组组织召开了标准研制启动会，各参编单位讨论后确定了标准大纲，并进行了任务分工，编制形成了草案（第1稿）。

2019年10月17日，起草组组织召开了专家评审会，征集到专家意见14条，处理结果均为采纳。

信息安全技术重要数据识别指南中英文版【实用版】目录一、信息安全技术重要数据识别指南概述二、重要数据的识别原则三、重要数据的识别考虑因素四、重要数据的描述格式五、电信领域数据安全指南六、总结正文一、信息安全技术重要数据识别指南概述随着信息化的快速发展，数据已经成为国家战略资源和核心竞争力之一。

为了有效地保护重要数据，全国信安标委发布了《信息安全技术重要数据识别指南（征求意见稿）》，旨在为数据安全保护提供参考和指导。

二、重要数据的识别原则识别重要数据应遵循以下六项原则：1.聚焦安全影响：重要数据应是那些在泄露、篡改、损毁等情况下，可能对国家安全、公共利益、个人权益等产生严重负面影响的数据。

2.突出保护重点：在众多数据中，要识别出那些对组织运营、业务连续性具有关键作用的重要数据，对其实施更有效的保护。

3.衔接既有规定：在识别重要数据时，要与现有法律法规、政策、标准等规定相衔接，避免重复劳动。

4.综合考虑风险：识别重要数据不仅要关注数据本身的价值，还要充分考虑数据处理、存储、传输等环节可能面临的风险。

5.定量定性结合：在评估数据重要性时，既要考虑定量指标，如数据量、使用频率等，也要关注定性因素，如数据对业务的关键程度等。

6.动态识别复评：重要数据可能会随着业务发展、环境变化等因素发生变化，需要定期进行识别和评估。

三、重要数据的识别考虑因素在识别重要数据时，需要综合考虑以下因素：1.数据价值：包括数据对业务运营、决策制定等方面的价值。

2.数据敏感程度：数据在泄露、篡改等情况下可能对国家安全、公共利益、个人权益等产生的影响程度。

3.数据关联性：数据与其他数据、业务、系统的关联程度。

4.数据稀有性：数据在行业、领域内的稀缺程度。

5.数据复制性：数据被复制、备份的难易程度。

四、重要数据的描述格式重要数据描述格式应包括以下内容：1.数据名称：简洁明了地描述数据的内容。

2.数据类型：数据所处的分类，如个人身份信息、金融数据等。

国家标准《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》（报批稿）编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划，计划号：20192180-T-469。

本标准由全国信息安全标准化技术委员（TC260）会提出并归口管理，2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司，协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。

闵京华为项目负责人，主要工作包括项目组织、文本翻译、修改完善和文本编辑；周亚超主要工作包括文本翻译和修改完善；王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直：主要工作包括修改完善。

3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件，从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。

为了落实这些法定要求，需要制定相应的国家标准在标准层面上配套支撑。

随着新一代信息技术的发展，信息安全面临着更为严峻的挑战，信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大，信息安全事件响应全球化趋势越发显著。

信息安全事件管理是关键信息基础设施必备的安全控制。

有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。

2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。

最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。

国家标准《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》（征求意见稿）编制说明一、工作简况1、任务来源根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》由华为技术有限公司承办，计划号：XXXXXXXX-T-469。

该标准由全国信息安全标准化技术委员会归口管理。

2、标准编制的主要成员单位华为技术有限公司负责起草，中国电子技术标准化研究院、中国网络安全审查技术与认证中心、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京小米移动软件有限公司、荣耀终端有限公司、北京三星通信技术研究有限公司等单位共同参与了该标准的起草工作。

3、主要工作过程2020年12月，撰写组成立，召开第一次小组讨论会，明确本规范对象和主要内容，确定了以移动终端操作系统为对象，以操作系统上涉及的APP收集使用个人信息相关管控为主要内容，并分配了相关工作。

2021年1月，编制组在“四部委APP治理小组”的工作基础上，分析APP 在个人信息保护方面常见问题，梳理出可通过操作系统增强的问题点；分析、梳理近年来主流操作系统在个人信息保护方面的增强点。

2021年3月，起草标准草案。

2021年8月15日，华为技术有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心等共同组成标准编制组，召开该标准编制启动工作会议。

会上讨论了对标准撰写思路的想法和意见；2021年9月至11月，标准编制组讨论并修改国家标准《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》（草案）；2021年11月11日，TC260 SWG-BDS工作组在北京组织召开了组内专家评审会。

专家组听取了标准编制组的工作汇报，审阅了相关文档，质询了有关问题。

2021年12月至2022年3月，根据2021年第二次会议讨论意见、以及编制组成员线下反馈意见形成征求意见稿，并组织编制组成员讨论征求意见稿。

信息安全技术,关键信息基础设施边界确定方法编制说明(共3页)-本页仅作为预览文档封面，使用时请删除本页-信息安全技术,关键信息基础设施边界确定方法编制说明国家标准《信息安全技术关键信息基础设施边界确定方法》（征求意见稿）编制说明一、工作简况任务来源根据全国信息安全标准化技术委员会2019年标准制修订计划的安排，由国家信息技术安全研究中心负责主办国家标准《信息安全技术关键信息基础设施边界确定方法》的制定任务，该标准目前尚未有国标计划号。

主要起草单位和工作组成员国家信息技术安全研究中心主要负责起草，协作起草单位：国家能源局信息中心、中国移动通信集团有限公司、交通运输信息安全中心有限公司、华为技术有限公司、腾讯云技术（北京）有限责任公司、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心、阿里云计算有限公司、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、浙江蚂蚁小微金融服务集团股份有限公司、中国互联网络信息中心、中电长城网际系统应用有限公司、中国信息安全测评中心、国家能源集团神华信息技术公司、中国信息通信研究院、中电数据服务有限公司、阿里巴巴（北京）软件服务有限公司。

主要工作过程标准制定的主要工作过程如下：11）成立编制组，提出技术方案2016年6月，中央网信办以国家信息技术安全研究中心、中国互联网络信息中心、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心和中国信息安全测评中心为班底，组建国家关键信息基础设施安全检查办公室（以下简称检查办）。

时年，为指导行业、地方开展关键信息基础设施检查工作，检查办组织力量开展关键信息基础设施边界识别研究，关键信息基础设施边界识别编制组正式成立。

编制组在国内外相关工作基础之上，结合我国关键信息基础设施保护工作实际，先后制定了《关键信息基础设施边界识别方法》、《关键信息基础设施边界识别流程》和《关键信息基础设施保护基线》等文件。