总体目标
到“十一五”末期,基本建立适应信息安全保障体系建设需求的信息安全标准体系;完成1 5 0 项国家标准的制定;自主制定高质量国家标准比例达到4 0 %;提高实质参与国际标准化活动的水平,在制定国际标准上取得突破。
主要任务
⑴ 开展标准战略与基础理论研究
进一步加强信息安全标准战略与基础理论研究,密切跟踪信息安全保障技术发展动态,做好顶层设计和整体规划,构建一个结构合理、科学实用、能与国际衔接、体现自主可控的信息安全标准体系,指导信息安全标准制定工作。
⑵ 加快急需标准的制定
结合电子政务与电子商务等重大工程建设和产业发展的信息安全标准需求,重点做好基础类、管理类和系统类标准的研究制定,为信息安全保障体系建设提供支撑。每年研究制定30 项左右国家标准,到“十一五”末完成1 5 0 项国家标准的制定,其中自主制定标准60 项。
⑶ 做好标准的推广实施
进一步加强标准的推广应用和检查力度,提高标准应用效果,重点做好新颁布国家标准的推广应用工作。建立健全标准服务机制,整合优化信息安全标准化资源,统一规划和建设国家信息安全标准化信息网络服务平台体系,提供高效、便捷、准确的信息安全标准信息服务,全面推进信息安全标准的实施应用。
⑷ 积极参与国际标准化活动
建立参与国际标准化活动的长效机制,积极参加国际标准化会议,加强国际、双边、多边和区域标准化交流与合作,加强国际和国外先进标准研究,推进国际标准采用,建立稳定的国际标准化人才队伍,争取国际标准化活动中的话语权,提高实质参与国际信息安全标准化活动的能力。“十一五”期间,力争提交2 ~3 项国际标准提案,成为1 ~2 项国际标准的编辑。争取在中国举办1 到2 次国际标准工作会议和区域信息安全标准工作会议。
重点项目
信息安全等级保护有关标准: 重点开展包括信息安全等级保护模型、基本要求、定级指南、实施指南、基本配置、技术要求、管理要求、工程管理、产品分级使用等相关标准的研究制定。
电子政务信息安全标准:重点开展包括电子政务认证
编者按 为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《国家标准化发展战略》对信息安全标准化工作的要求,统筹规划和指导“十一五”期间信息安全标准化工作,促进产业发展,为信息安全保障体系建设提供基础性技术支撑,国家标准化管理委员会、国务院信息化工作办公室联合编制《国家信息安全标准化“十一五”规划》。
现将部分内容摘登如下。
运营服务要求、电子政务认证技术指南、电子政务密码体系、资源共享与流程对接信息安全、基于互联网的电子政务信息安全等标准的研究制定。
电子商务信息安全标准: 重点开展包括在线支付安全、无线射频识别、虚拟货币、电子合同、网上银行系统信息安全保障评估准则、网上证券系统信息安全保障评估准则等标准的研究制定信息安全管理体系标准:重点制定信息安全管理体系的原则与概念、体系要求、实用规则、实施指南、管理测度、风险管理、认证机构的规范要求、信息安全管理体系审核要求等标准。
信息安全应急与灾备有关标准:主要开展信息安全事件分级分类管理、信息安全事件处理、应急响应计划指南、灾难恢复与备份等标准的研究制定。
信息安全服务管理标准: 主要开展信息安全服务规范、服务管理规范、信息安全服务分类标准、各类信息安全服务资质的分级评价准则等标准的研究制定。
信息安全测评标准:主要开展防火墙类、入侵检测类、防病毒类、安全网关类、安全终端类、操作系统安全、数据库安全、网上银行系统、网上证券系统、工业控制系统等产品和系统的安全测评标准的研究制定,并加强对GB 17859 与GB/T 18336 相关基础测评标准的研究,以便协调一致。
信息安全保障指标与评价体系:主要开展国家级信息安全保障指标与评价体系、各类基础网络和重要系统信息安全保障指标与评价体系,以及企业级信息安全保障指标与评价体系标准的研究制定。
可信计算技术标准:重点开展可信模块、可信终端、可信软件栈、可信网络接入、可信网络平台等标准的研究制定。
无线通信和移动通信安全标准:主要开展第三代移动通信密码算法标准、下一代互联网鉴别与授权标准、无线局域网访问系统安全技术要求等标准的研究制定。
通讯社及广播电视等新闻发布系统安全标准:重点开展广播电视及新闻发布系统相关安全传输、广播卫星等设备安全、信号识别与监测、内容识别等技术与管理标准的研究和制定。
信息安全相关的生物特征识别标准:主要开展生物特征识别数据交换格式安全、接口及安全规范、通用平台规范和生物特征识别产品安全技术要求及测评准则等标准的研究制定。
信息安全标准体系: 在现有信息安全标准体系的基础上,持续研究、吸收借鉴国际信息安全标准化新成果,进一步丰富完善国家标准和行业标准协调配套的信息安全标准体系,指导信息安全标准制定工作。
保障措施
⑴ 加强组织领导,强化协调指导国家标准化管理委员会和国务院信息化工作办公室要加强对信息安全标准化工作的领导和协调,会同各有关部门分工协作,营造自主创新的良好环境,充分调动相关产、学、研、用各方面,特别是信息安全骨干企业的积极性和创造性,逐步形成以信息安全企业为主体参与国际标准活动和国家标准制定的新机制。全国信息安全标准化技术委员会根据信息安全保障体系建设和产业发展的标准需求,统一协调申报信息安全国家标准年度计划项目,并组织国家标准的送审、报批工作,有计划、有步骤的组织落实《规划》中提出的各项标准制定任务。
⑵ 采取有效措施,推动标准实施
构建我国信息安全标准化体系的总体框架,加强信息安全标准推广应用和检查,保证我国信息安全标准的全面和有效落实。政府采购要优先选用符合国家信息安全标准的产品和服务;重大信息化工程信息安全保障建设必须采用国家信息安全标准;涉及信息安全的重点科技项目要体现信息安全标准化研究成果;加强信息安全标准试点工作。
⑶ 实施人才战略,扩大专业队伍加强信息安全标准化人才培养,造就一支政治坚定、业务水平高、服务意识强的高素质专业人才队伍,包括积极培养能与国际相关标准组织的互动与交流的专业人才;建立国家级信息安全标准化专家库;在有条件的高等院校设置信息安全标准化课程。
⑷ 开发多种资源,保障持续投入国家标准研究和制定计划要重点扶持信息安全标准;国家重大科技计划和信息化专项要支持国家信息安全标准的研究和制定;同时调动各方面积极性,积极争取企业和其他方面的投入。