第一节 推进标准体系建设 支持技术和产业发展

一、建立和完善网络安全标准体系

关于网络安全标准体系,网络安全法第十五条规定:“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”

(一)国家持续推进

2016年8月12日,中央网信办、国家质量监督检验检疫总局、国家标准化管理委员会联合发布《关于加强国家网络安全标准化工作的若干意见》,指出:“网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。近年来,随着网络信息技术快速发展应用,网络安全形势日趋复杂严峻,对标准化工作提出了更高要求。为落实网络强国战略,深化标准化工作改革,构建统一权威、科学高效的网络安全标准体系和标准化工作机制,支撑网络安全和信息化发展,经中央网络安全和信息化领导小组同意,现提出以下意见。一、建立统筹协调、分工协作的工作机制;二、加强标准体系建设;三、提升标准质量和基础能力;四、强化标准宣传实施;五、加强国际标准化工作;六、抓好标准化人才队伍建设;七、做好资金保障。”

2016年12月27日,国家网信办发布《国家网络空间安全战略》,提出“加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。”

《标准化法》规定,标准是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准。强制性标准必须执行。国家鼓励采用推荐性标准。

国务院标准化行政主管部门即国家标准化管理委员会,2018年机构改革后其职责划入国家市场监督管理总局,对外保留牌子。国务院标准化行政主管部门统一管理全国标准化工作。国务院有关行政主管部门分工管理本部门、本行业的标准化工作。县级以上地方人民政府标准化行政主管部门统一管理本行政区域内的标准化工作。县级以上地方人民政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。

对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求,应当制定强制性国家标准。对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求,可以制定推荐性国家标准。推荐性国家标准由国务院标准化行政主管部门制定。对没有国家标准而又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。行业标准由国务院有关行政主管部门制定,报国务院标准化行政主管部门备案。

为贯彻落实《中华人民共和国国民经济和社会发展第十三个五年规划纲要》《国家信息化发展战略纲要》《“十三五”国家信息化规划》《国家标准化体系建设发展规划(2016—2020年)》,加强统筹协调和顶层设计,加快完善国家信息化标准体系,充分发挥标准对推进技术融合、业务融合、数据融合的引领和支撑作用,进一步增强我国信息化发展能力,提升经济社会信息化应用水平,中央网信办、国家质量监督检验检疫总局、国家标准化管理委员会于2017年5月发布《“十三五”信息化标准工作指南》。

《“十三五”信息化标准工作指南》要求:建立和完善网络安全标准体系应当统筹规划,协调发展。坚持统一谋划、统一部署、统一推进、统一实施,加强信息化各类各层级标准协调发展,推进信息化领域技术研发、产业发展、网络安全、政策规划等与标准体系的统筹衔接,增强标准制定、实施与监督的系统性和协调性。应当加强组织实施和保障,建立国家信息化领域标准化工作统筹推进机制,定期召开信息化领域标准统筹推进工作会议,协调解决国家信息化标准工作中的重大问题,审议信息化领域重点国家标准立项和发布,确保信息化相关领域国家标准、行业标准、地方标准、团体标准的有效衔接。发布年度国家信息化标准工作报告,主动向社会公开国家信息化标准制修订情况、实施情况和应用效果。

(二)社会广泛参与

《标准化法》规定,国家鼓励企业、社会团体和教育、科研机构等开展或者参与标准化工作。制定标准应当在科学技术研究成果和社会实践经验的基础上,深入调查论证,广泛征求意见,保证标准的科学性、规范性、时效性,提高标准质量。

制定强制性标准、推荐性标准,应当在立项时对有关行政主管部门、企业、社会团体、消费者和教育、科研机构等方面的实际需求进行调查,对制定标准的必要性、可行性进行论证评估;在制定过程中,应当按照便捷有效的原则采取多种方式征求意见,组织对标准相关事项进行调查分析、实验、论证,并做到有关标准之间的协调配套。

制定推荐性标准,应当组织由相关方组成的标准化技术委员会,承担标准的起草、技术审查工作。制定强制性标准,可以委托相关标准化技术委员会承担标准的起草、技术审查工作。未组成标准化技术委员会的,应当成立专家组承担相关标准的起草、技术审查工作。标准化技术委员会和专家组的组成应当具有广泛代表性。强制性标准文本应当免费向社会公开。国家推动免费向社会公开推荐性标准文本。

在标准制定过程中,《“十三五”信息化标准工作指南》指出:坚持需求导向,创新发展。围绕国家信息化发展战略部署,以需求为导向,发挥企业作为创新主体、研发主体的作用,增强标准化工作基础能力,推进信息化标准的技术创新、制度创新、应用创新和管理创新,引领和驱动信息化创新发展。

《关于加强国家网络安全标准化工作的若干意见》要求:坚持开放透明、公平公正的原则,注重开展前期调研、征求意见、测试、公示等工作,保证标准充分满足网络安全管理、产业发展、用户使用等各方需求,确保标准管用、好用。提高标准制定的参与度和广泛性,鼓励和吸收更多的企业、高校、科研院所、检测认证机构和用户等各方实质性参与标准制定,注重发挥企业的主体作用。

《“十三五”信息化标准工作指南》要求:加强政策宣传引导。充分利用网络等新媒体,加强标准化法律法规、方针政策宣传和重大标准宣传,传播信息化标准知识,提高标准化意识。利用中国标准创新贡献奖等评比活动,进一步调动科研机构、社团组织、企业和个人的积极性和创造性,营造信息化标准工作的良好氛围。

(三)全国信息安全标准化技术委员会

为了充分发挥生产、管理、科研、应用等各方面在各个行业、产业、企业、组织、机构的标准化工作中的作用,广泛开展信息安全领域的标准化工作,经国家标准化管理委员会批准,全国信息安全标准化技术委员会(简称“信安标委”)于2002年4月成立。信安标委是在信息安全专业领域内,从事全国标准化工作的技术工作组织,负责全国信息安全标准化的技术归口工作。主要工作范围包括信息安全技术、机制、服务、管理、评估等领域的标准化技术工作。

信安标委由国家标准化管理委员会领导,业务上受中央网信办指导。信安标委官方网站:《全国信息安全标准化技术委员会章程(2016年2月22日)》,https://www.tc260.org.cn/front/tiaozhuan.html?page=/front/gywm/gzzd_Detail,最后访问日期:2019年8月2日。

信安标委下设7个工作组:信息安全标准体系与协调工作组,密码技术标准工作组,鉴别与授权标准工作组,信息安全评估标准工作组,通信安全标准工作组,信息安全管理标准工作组,大数据安全标准特别工作组。信安标委官方网站:机构设置,https://www.tc260.org.cn/front/tiaozhuan.html?page=/front/gywm/jgsz_Detail,最后访问日期:2019年8月3日。

读者可通过访问信安标委的官方网站,获取网络安全标准体系下的在研标准、已发布标准、相关国际标准以及其他研究项目信息;通过访问国家标准全文公开系统,获取相应的标准全文。信安标委的官方网站网址:http://www.tc260.org.cn/国家标准全文公开系统(网址:http://www.gb688.cn/bzgk/gb)

二、统筹规划支持网络安全技术和产业发展

网络安全法第十六条规定:“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”这是关于支持网络安全技术和产业发展的规定。

《国家网络空间安全战略》中指出,“坚持创新驱动发展,积极创造有利于技术创新的政策环境,统筹资源和力量,以企业为主体,产学研用相结合,协同攻关、以点带面、整体推进,尽快在核心技术上取得突破。实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用。优化市场环境,鼓励网络安全企业做大做强,为保障国家网络安全夯实产业基础。”

为深入贯彻落实网络强国战略思想,促进我国移动互联网健康有序发展,中共中央办公厅、国务院办公厅于2017年1月15日印发《关于促进移动互联网健康有序发展的意见》,提出了促进我国移动互联网健康发展的总体要求和基本原则。该意见要求:“提升网络安全保障水平。牢固树立正确的网络安全观和动态、综合防护理念,坚持以安全保发展、以发展促安全,全方位、全天候感知移动互联网安全态势,不断强化移动互联网基础信息网络安全保障能力,大力推广具有自主知识产权的网络空间安全技术和标准应用。”