信息安全技术 信息技术产品供应行为安全准则-编制说明.pdfVIP

《信息安全技术信息技术产品供应行为安全准则》

编制说明

一、工作简况

1.任务来源

据工信协函[2013]27号文件“关于委托开展信息技术产品信息安全通用

规范研究起草工作的函”，中国电子技术标准化研究院作为主办单位，联合华为

技术有限公司、中兴通讯技术有限责任公司等企业和科研院所开展信息技术产品

供应行为安全准则国家标准研制工作。目前，已经形成标准征求意见稿。

2.主要工作过程

2013年2月，中国电子技术标准化研究院接到工业和信息化部信息安全协

调司下达任务后成立了《信息技术产品供应行为安全准则》国家标准工作组。工

作组由中国电子技术标准化研究院、华为技术有限公司、中兴通讯技术有限责任

公司、曙光计算机设备有限公司、新浪、百度、北京瑞星科技股份有限公司等单

位组成。

2013年3月29日，标准工作组主要人员前往奇虎360公司调研，调研软件

产品提供者的安全声明、用户数据保护等方面的方案与需求。

2013年3月29日，标准工作组主要人员前往绿盟公司调研，调研信息安全

提供者对于用户数据保护的技术、检测验证等方面的方案与需求。

2013年4月一5月，标准工作组主要人员先后调研了华为、新浪、中兴等公

司，调研信息技术提供者关于维护用户数据安全方面的技术方案与标准化需求。

2013年2月一5月，标准工作组主要人员研究国内外对信息技术产品及其供

应方维护用户信息安全的具体要求，包括整理NISTSP800-53联邦信息系统安

全与隐私控制措施、SP800T22个人可识别信息P（II）机密性保护指南、安全

内容自动化协议S（CAP）、联邦桌面核心配置F（DCC）、网络空间可信身份国家战

略(NSTIC).ISO/IECJTC1SC27制定的ISO/IEC29100隐私保护框架等标准，

欧盟1995年发布的隐私权指令、1997年发布的电信业隐私权指令、2002年发布

的电子隐私权指令、美国2012年提出的网络用户隐私权利法案等相关的法律、

制度、政策中关于用户信息安全的相关要求和措施，以及国内法律、制度、政策

和相关标准等资料。

2013年6月，在前期工作的基础上，标准工作组主要人员参考和分析国内

夕卜已有ISO/IEC29100.IS0/IEC2910MS0/IEC29190US022307.NISTSP800-53、

NISTSP800T22、ISO/IEC15408、GB/Z28828-2012、DB21/Y1628-2012等相关

标准，并结合我国信息技术产品信息安全审杳机制的需要，形成了标准草案初稿。

2013年7月19日，标准作组在北京召开了信息技术产品供应行为规范标

准研讨会，主要研究讨论针对我国国情和信息安全管理需要的标准内容设置的合

理性、标准实施的可行性等问题，并讨论了标准作组收集的针对该标准草案的

行业企业和部分专家意见。与会专家对标准文稿内容进行了研究研讨，认为该标

准的制定对建立信息技术产品信息安全审杳机制很有必要，同时希望配合相关法

律法规共同维护国家以及用户的信息安全。

2013年7月20日至7月31日，标准作组主要人员采纳了标准研讨会的

部分专家意见，并及时研读我国信息安全管理最新政策文件，分析比较NSTIC及

美国2012年提出的网络用户隐私权利法案等规范文件的有益内容，对标准草案

内容进行修改完善,形成标准草案。

2013年12月11日，标准作组在北京召开了行为规范标准研讨会，主要

征求信息安全专家范围意见。与会专家针对标准草案提出了具体的建议，认为该

标准草案对用户相关信息的保护具有指导意义，可作为信息技术产品设计、开发、

安全管理、采购的依据，并建议标准名称改为《信息安全技术信息技术产品提

供者保护用户信息行为准则》。

2014年1月3日，标准作组在北京召开了行为规范标准研讨会，主要征

求行业企业意见。与会专家对征求意见稿中的术语定义、原则与验证方法进行了

反复的论证和推敲，提出了宝贵的建议。