Regulaciones nacionales sobre el apoyo a la participación en estándares nacionales e industriales para la seguridad de la red
Estándares Nacionales
1. El 9 de marzo de 2022, se publicó GB/T 25069-2022 "Terminología técnica de seguridad de la información".
Esta norma define los términos y definiciones de conceptos básicos o comunes en el campo de la tecnología de seguridad de la información, y clasifica proyectos. Es un estándar básico importante en el campo de la seguridad de la información y una herramienta básica para que todo el personal de seguridad de la información se comunique, realice trabajos de investigación e implemente proyectos en el campo de la seguridad de la información.
2. El 9 de marzo de 2022, se publicó GB/T 20278-2022 "Requisitos técnicos y métodos de prueba y evaluación de seguridad de productos de escaneo de vulnerabilidades de redes de tecnología de seguridad de la información".
Este estándar especifica los requisitos técnicos de seguridad y los métodos de prueba y evaluación para los productos de escaneo de vulnerabilidades de red. Los requisitos técnicos de seguridad se dividen en nivel básico y nivel mejorado, incluidos los requisitos de la función de seguridad, los requisitos de protección de seguridad propia, los requisitos de adaptabilidad ambiental y los requisitos de garantía de seguridad.
3. El 9 de marzo de 2022, se publicó GB/Z 41290-2022 "Guía de auditoría de seguridad de Internet móvil para tecnología de seguridad de la información".
Este estándar define el concepto de actividades de auditoría de seguridad de Internet móvil, describe las funciones, responsabilidades, alcance y contenido de la auditoría en las actividades de auditoría de seguridad de Internet móvil, y proporciona el marco, las tareas funcionales y el contenido de la auditoría de seguridad. actividades. Orientación específica para cada tarea funcional.
4. El 9 de marzo de 2022, se publicó GB/Z 41288-2022 "Pautas importantes de protección de seguridad de redes de sistemas de control industrial de tecnología de seguridad de la información".
Este estándar especifica los principios básicos, las tecnologías de protección de la seguridad, las medidas de respaldo de emergencia y los requisitos de gestión de seguridad para la protección de la seguridad de la red de importantes sistemas de control industrial para establecer un sistema de protección de la seguridad de la red para importantes sistemas de control industrial.
5. El 9 de marzo de 2022, se publicó GB/T 41241-2022 "Requisitos de gestión de seguridad de red para sistemas de control industrial de centrales nucleares".
Esta norma especifica los requisitos para la gestión de la seguridad de la red, la protección técnica y la gestión de emergencias de los sistemas de control industrial de las centrales nucleares, y proporciona una descripción de la clasificación de seguridad de la red de los sistemas de control industrial de las centrales nucleares.
6. El 9 de marzo de 2022, se publicó GB/T 41260-2022 "Requisitos de seguridad de la información para talleres digitales".
Este estándar estipula las reglas generales, los requisitos de gestión y los requisitos técnicos para la seguridad de la información del taller digital, brinda amenazas comunes a la seguridad de la información del taller digital y brinda ejemplos de seguridad de la información del taller digital en industrias típicas de fabricación de maquinaria. Presentar requisitos para mejorar la seguridad de la información en los talleres digitales.
7 El 9 de marzo de 2022, GB/T 41267-2022 "Requisitos técnicos de seguridad para equipos de conmutación de equipos de red clave" y GB/T 41266-2022 "Métodos de detección de seguridad para equipos de conmutación de equipos de red clave". fueron liberados.
Estos dos estándares son complementarios entre sí. En primer lugar, estipula los requisitos de la función de seguridad y los requisitos de garantía de seguridad para los equipos de conmutación incluidos en el catálogo de equipos de red clave. La otra categoría proporciona métodos de detección y evaluación de la seguridad correspondientes a los requisitos funcionales de seguridad y los requisitos de garantía de seguridad. Entre ellos, los requisitos de la función de seguridad incluyen seguridad de identificación de dispositivos, redundancia, recuperación de copias de seguridad y detección de anomalías, gestión de vulnerabilidades y defectos, seguridad de inicio y actualización de software preinstalado, seguridad de estado predeterminado, capacidad de resistir ataques comunes, identificación de usuarios y seguridad de autenticación. y control de acceso, seguridad de auditoría de registros, seguridad de comunicaciones, seguridad de datos y requisitos de contraseña.
8 El 9 de marzo de 2022, GB/T 41269-2022 "Requisitos técnicos para equipos de enrutador de seguridad para equipos de red críticos" y GB/T 41268-2022 "Métodos de detección de seguridad para equipos de enrutador de equipos de red críticos". "fueron liberados.
Los dos estándares se complementan entre sí. Uno de los estándares estipula los requisitos de la función de seguridad y los requisitos de garantía de seguridad para los equipos de enrutador incluidos en el directorio de equipos críticos de la red. La otra categoría proporciona métodos de detección y evaluación de la seguridad correspondientes a los requisitos funcionales de seguridad y los requisitos de garantía de seguridad.
Entre ellos, los requisitos de la función de seguridad incluyen seguridad de identificación de dispositivos, redundancia, recuperación de copias de seguridad y detección de anomalías, gestión de vulnerabilidades y defectos, seguridad de inicio y actualización de software preinstalado, seguridad de estado predeterminado, capacidad de resistir ataques comunes, identificación de usuarios y seguridad de autenticación. y control de acceso, seguridad de auditoría de registros, seguridad de comunicaciones, seguridad de datos y requisitos de contraseña.
9. El 9 de marzo de 2022, se publicó GB/T 41274-2022 "Arquitectura de seguridad intrínseca de sistemas de control programables".
Este estándar especifica la arquitectura de la seguridad intrínseca del sistema de control programable, describe los objetivos de la seguridad intrínseca del sistema de control programable y los requisitos de seguridad relevantes de cada módulo de unidad, y especifica los requisitos de seguridad intrínsecos del sistema de control programable. Requisitos de seguridad sanitaria. Entre ellos, el objetivo de la seguridad intrínseca del sistema de control programable es garantizar la integridad del sistema de control programable. Los requisitos de seguridad relevantes de cada módulo de unidad incluyen protección de seguridad del ciclo de vida completo, diagnóstico integral e implementación de alta disponibilidad.
10. El 5 de abril de 2022, se publicó GB/T 41387-2022 "Especificación de seguridad general para hogares inteligentes que utilizan tecnología de seguridad de la información".
Este estándar especifica los requisitos técnicos generales para la seguridad del hogar inteligente, incluidos los requisitos de seguridad para terminales domésticos inteligentes, puertas de enlace domésticas inteligentes, terminales de control del hogar inteligentes y plataformas de servicios de aplicaciones para el hogar inteligente, así como las pruebas y evaluaciones de seguridad correspondientes. método.
11. El 15 de abril de 2022, se publicó GB/T 41388-2022 "Especificación de seguridad básica para un entorno de ejecución confiable de tecnología de seguridad de la información".
Este estándar establece el marco técnico general del sistema de entorno de ejecución confiable, describiendo el entorno de ejecución confiable, el sistema de virtualización confiable, el sistema operativo confiable, la administración de servicios y aplicaciones confiables y el medio de aplicaciones multiplataforma. Requisitos básicos para contenidos principales como el software y sus métodos de prueba y evaluación.
12. El 5 de abril de 2022, se publicó GB/T 41389-2022 "Especificación de uso del algoritmo criptográfico SM9 de tecnología de seguridad de la información".
Este estándar especifica los requisitos para el uso del algoritmo criptográfico SM9 y describe los formatos de datos de claves, cifrado y firmas. El contenido principal incluye los pares de claves, requisitos técnicos y métodos de verificación de SM9. proporcionado en el apéndice.
13. El 5 de abril de 2022, se publicó 1391-2022 "Requisitos básicos para aplicaciones (Apps) de Internet móvil de tecnología de seguridad de la información para recopilar información personal".
Este estándar estipula los requisitos básicos para que las aplicaciones recopilen información personal, incluida la recopilación mínima necesaria, la información personal necesaria, los tipos específicos de información personal, el consentimiento informado, los permisos del sistema, la gestión de la recopilación de terceros y otros requisitos. y brinda el alcance de la información personal necesaria y los requisitos de uso de las aplicaciones de tipo de servicio comúnmente utilizadas.
14. El 5 de abril de 2022, se publicó GB/T 41400-2022 "Modelo de madurez de la capacidad de protección de la seguridad de la información del sistema de control industrial de tecnología de seguridad de la información".
Este estándar proporciona un modelo de madurez de las capacidades de protección de la seguridad de la información del sistema de control industrial, estipula los requisitos de nivel de madurez para la seguridad de los objetos de protección central y la seguridad general, y propone un método de verificación para los niveles de madurez de las capacidades.
15. El 15 de abril de 2022, se publicó GB/T 41479-2022 "Requisitos de seguridad para el procesamiento de datos en red de tecnología de seguridad de la información".
Este estándar especifica la tecnología de seguridad y los requisitos de gestión para que los operadores de red recopilen, almacenen, utilicen, procesen, transmitan, proporcionen y divulguen datos de red. Al mismo tiempo, este estándar sirve como base para la certificación de la gestión de la seguridad de los datos.
16. El 5 de abril de 2022, se publicó el Método de evaluación de riesgos de seguridad de la información de tecnología de seguridad de la información GB/T 20984-2022.
Este estándar describe los conceptos básicos de la evaluación de riesgos de seguridad de la información, la relación entre los elementos de riesgo, los principios del análisis de riesgos, el proceso de implementación y los métodos de evaluación de riesgos, así como la evaluación de riesgos de las diferentes etapas. del ciclo de vida del sistema de información. Puntos de implantación y formas de trabajo.
17. El 5 de abril de 2022, se publicó GB/T 29829-2022 "Especificación de interfaz y función de plataforma de soporte criptográfico de computación confiable de tecnología de seguridad de la información".
Este estándar proporciona el marco del sistema y los principios funcionales de la plataforma informática de soporte criptográfico confiable, estipula las especificaciones de interfaz del módulo criptográfico confiable y describe los métodos de verificación correspondientes.
18. El 5 de abril de 2022, se publicó GB/T 30283-2022 "Código y clasificación de servicios de seguridad de la información de tecnología de seguridad de la información".
Este estándar describe la clasificación y los códigos de los servicios de seguridad de la información, incluida la consultoría de seguridad de la información, el diseño y desarrollo de la seguridad de la información, la integración de la seguridad de la información, las operaciones de seguridad de la información, el procesamiento y almacenamiento de la seguridad de la información, la evaluación y certificación de la seguridad de la información. y otros siete aspectos.
Base Legal
Ley de Ciberseguridad de la República Popular China
Artículo 15: El estado establece y mejora un sistema de estándares de seguridad de red. El departamento administrativo de estandarización del Consejo de Estado y otros departamentos relevantes del Consejo de Estado deberán, de acuerdo con sus respectivas responsabilidades, organizar la formulación y revisión oportuna de estándares nacionales e industriales relacionados con la gestión de seguridad de la red y los productos, servicios y seguridad operativa de la red. .
El Estado apoya a empresas, instituciones de investigación científica, universidades y organizaciones industriales relacionadas con redes para que participen en la formulación de estándares nacionales e industriales para la seguridad de redes.