2024年4月15日,为确保标准质量,全国网安标委秘书处面向社会广泛征求国家标准《数据安全技术 政务数据处理安全要求》(征求意见稿)、《网络安全技术 网络安全运维实施指南》(征求意见稿)、《网络安全技术 信息系统灾难恢复规范》(征求意见稿)的意见。
为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及《关键信息基础设施安全保护条例》等有关法律法规对于政务数据安全保护的相关要求编制该标准,加强网络安全国家标准在国家政务外网安全保障工作中的基础性、规范性、引领性作用,规范政务部门自行和委托第三方开展的政务数据处理活动,明确政务数据处理安全管理要求、安全技术要求及对各类数据处理者的安全监督要求。
因此,《数据安全技术 政务数据处理安全要求》(征求意见稿)遵照 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求、 GB/T 25069-2022 信息安全技术 术语,参考了 GB/T 37964-2019 信息安全技术个人信息去标识化指南、GB/T 38664.1-2020 信息技术 大数据 政务数据开发共享 第一部分:总则、GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求及 GB/T 39786-2021 信息安全技术 信息系统密码应用基础要求等技术标准,提出了政务数据处理安全要求。
而随着信息技术的发展,网络安全问题日渐突出,这不仅阻碍了社会信息化发展的进程甚至还影响到国家的安全和经济发展。面对当前网络安全的严峻形势,如何建设高质量的安全网络成为我们所要面临和解决的重大课题,这个课题中,网络安全的能力建设尤为重要,而能力建设是一个长期持续的过程,安全运维则是实现这一阶段的关键环节,需要持续性的完善落实安全相关的制度和流程,是逐步形成一个工作闭环使网络安全水平螺旋提升的过程。
《网络安全技术 网络安全运维实施指南》(征求意见稿)提出了网络安全运维参考框架,规范了识别、防御、监测和响应等主要网络安全运维的实施内容,给出了网络安全运维效果评估模型与效果度量指标。适用于网络安全运维提供商、网络安全运维需求方。可为网络安全运维的实施提供指导,也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。
对于系统容灾的需求,国内现行国标20988发布于2007年,至今已经超过15年未修订,已经不能很好的满足国内迅速发展的信息产业,特别是在国家陆续发布了关键信息基础设施、数据安全等领域的法律法规与标准,本标准已经无法支撑国内法律法规和行业发展要求,因此对标准GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》的修订需求迫在眉睫,修订后的标准可以更好的指导各个行业在灾难恢复领域的规划、设计、实施和管理。
根据中央网信办课题《关键信息基础设施业务连续性与灾难恢复工作支撑》的相关安排,前期已经调研分析了国际与国内关键信息基础设施现状,以及灾难恢复状的国际与国内法律、法规政策,业内的应用现状、关键技术应用与发展和灾难恢复标准应用现状。通过调研结果发现,国际与国内灾难恢复的服务形式发生巨大变化,灾难恢复成为关键信息基础设施保护的重要支撑,灾难恢复在新形势下与新应用结合发挥作用升级,同时也发现了灾难恢复各项标准应用周期过长,指导作用下降。
基于调研报告的成果,以问题为导向,针对目前多地多中心乱象丛生、缺乏有效的灾难恢复及安全保证标准规范、灾备体系软硬件自主可控偏低、缺乏国家级的统一管理及指挥协调体系、缺乏灾难恢复领军企业、产业发展不均衡等问题,提出了标准的修订方向和主要内容。
最后,《网络安全技术 信息系统灾难恢复规范》(征求意见稿)给出了信息系统灾难恢复工作原则,提出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求、灾难恢复能力等级划分和测试评价方法。本标准结合现行国内法律法规与标准,以及行业发展现状情况,增加新技术、新应用、新业态,立足指导国内灾难恢复各方工作的科学发展。
恳切希望对以上标准提出宝贵意见,并将意见于2024年06月14日前反馈给全国网安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
下载附件:
- 数据安全技术 政务数据处理安全要求-标准文本
- 数据安全技术 政务数据处理安全要求-意见汇总处理表
- 数据安全技术 政务数据处理安全要求-编制说明
- 网络安全技术 网络安全运维实施指南-标准文本
- 网络安全技术 网络安全运维实施指南-意见汇总处理表
- 网络安全技术 网络安全运维实施指南-编制说明
- 网络安全技术 信息系统灾难恢复规范-标准文本
- 网络安全技术 信息系统灾难恢复规范-意见汇总处理表
- 网络安全技术 信息系统灾难恢复规范-编制说明
