楊建軍：標準是促進全球貿易、技術、環(huán)境、社會等可持續(xù)發(fā)展的重要支撐，是各國參與國際規(guī)則制定的重要途徑，是一種層次更深、水平更高、影響更大的競爭。網絡安全標準的競爭更是明顯，誰占據了網絡安全標準的制高點，誰就可以在網絡安全博弈中贏得先機、掌握主動。作為國家網絡安全保障體系建設的重要組成部分，網絡安全標準在保障國家網絡空間安全、推動社會治理體系變革方面發(fā)揮著基礎性、規(guī)范性、引領性作用。在技術層面，網絡安全標準是固化技術創(chuàng)新成果、推動新技術產業(yè)化的重要手段；在產業(yè)層面，網絡安全標準是促進網絡安全產業(yè)規(guī)模化發(fā)展的重要工具；在社會治理層面，網絡安全標準是規(guī)范市場、保證質量的標桿。因此，做好網絡安全標準化工作，對于維護國家安全，促進網絡安全產業(yè)和技術發(fā)展都具有非常重要的意義。

楊建軍：我國信息安全標準化工作由全國信息安全標準化技術委員會（以下簡稱“信安標委”，編號SAC/TC260）負責。信安標委成立于2002年4月，是國家標準化管理委員會直屬標委會，其工作范圍包括信息安全技術、機制、服務、管理、評估等領域的標準化工作。國際對口ISO/IEC JTC1 SC27（國際標準化組織國際電工委員會第一聯(lián)合技術委員會信息安全分委員會）。

信安標委現(xiàn)有委員81名，來自網絡安全主管或監(jiān)管部門以及從事信息安全科研、生產、應用、測評等單位。標委會秘書處設在中國電子技術標準化研究院。信安標委下設6個工作組和1個特別工作組：WG1：信息安全標準體系與協(xié)調工作組；WG3：密碼技術工作組；WG4：鑒別與授權工作組；WG5：信息安全評估工作組；WG6：通信安全標準工作組；WG7：信息安全管理工作組；SWG-BDS：大數(shù)據安全標準特別工作組。

標委會自成立以來，重點圍繞標準體系研究、標準制修訂、試點驗證、宣傳推廣、國際標準化等方面開展了一系列工作：

標準體系研究方面。信安標委長期以來高度重視網絡安全標準頂層設計和體系研究工作。2016年，支撐中央網信辦、國家標準委等部門制定并發(fā)布了《關于加強國家網絡安全標準化工作的若干意見》，作為當前及今后一段時期國家網絡安全標準化工作的綱領性文件，從工作機制、標準體系、標準質量、標準宣貫、國際標準化、人才建設、資金保障等方面詳細提出了當前及今后一段時期我國網絡安全標準化工作的重點任務。同時，落實《網絡安全法》等法律法規(guī)要求，結合國家發(fā)展戰(zhàn)略、產業(yè)政策、當前技術發(fā)展現(xiàn)狀和實際應用需求，組織開展新技術新應用領域標準規(guī)劃和體系研究工作，發(fā)布了《大數(shù)據安全標準化白皮書（2018版）》、《電子認證2.0白皮書（2018版）》和《汽車電子網絡安全標準化白皮書（2018）》，為相關領域標準化工作的開展提供了規(guī)劃和參考。

標準制修訂方面。截止目前，信安標委已經組織制定并發(fā)布了268項網絡安全國家標準，主要涉及密碼、鑒別與授權、安全評估、通信安全、安全管理、大數(shù)據安全等領域，初步構建了國家網絡安全標準體系框架，為國家網絡安全審查、信息安全等級保護、信息安全產品檢測與認證、信息安全風險評估、信息系統(tǒng)災難恢復等國家網絡安全保障工作，以及《電子簽名法》、《網絡安全法》的實施等提供了有力的標準化支撐。

標準試點驗證方面。信安標委非常重視重要標準試點示范和驗證工作。近年來，圍繞《信息安全技術 云計算服務安全指南》和《信息安全技術 云計算服務安全能力要求》國家標準組織開展了云計算服務網絡安全管理國家標準應用試點工作；以國家標準《信息安全技術 個人信息安全規(guī)范》為主要技術依據，組織開展個人信息保護提升行動之隱私條款專項工作，有效提升了互聯(lián)網企業(yè)個人信息保護意識和水平，形成社會引導和示范效應；針對《信息安全技術 關鍵信息基礎設施安全檢查評估指南》《信息安全技術 數(shù)據安全能力成熟度評估模型》等重要在研標準開展了驗證工作，選取典型標準應用場景，檢驗標準技術內容的可操作性和實用性，為標準實施落地積累經驗。

標準宣傳推廣方面。2016年以來，在全國舉辦了15次網絡安全標準宣傳培訓活動，累計培訓人數(shù)近5000人。連續(xù)組織了三屆網絡安全國家標準優(yōu)秀應用案例征集活動，推動了網絡安全國家標準在政務部門、關鍵信息基礎設施和重點行業(yè)中的應用實施。多次與黑龍江、河南、鞍山等地方網信辦和人民政府聯(lián)合舉辦網絡安全國家標準宣貫培訓活動，搭建了中央與地方網絡安全工作交流平臺。通過參與國家網絡安全宣傳周、世界標準日等國家大型網絡安全活動，多形式多渠道加強標準的宣傳推廣。

國際標準化方面。自2004年起連續(xù)16年組團參加SC27會議，從最初的跟蹤研究轉變?yōu)閷嵸|參與。持續(xù)擴大國際標準專家隊伍，國際標準注冊專家人數(shù)達125人。近幾年，包含我國密碼算法SM3、SM2和SM9，信息安全事件分類分級等提案的8項國際標準獲批發(fā)布，數(shù)據安全、可信網絡連接、生物特征識別等國際標準制定項目在順利推進中。我國還積極承辦國際網絡安全標準化會議，分別于2009年在北京、2018年在武漢成功承辦了SC27工作組會議和全體會議，尤其是去年武漢舉辦的國際會議，組織嚴謹、保障有序、效果良好，得到了國內外與會專家的一致贊譽和高度評價。此外，不斷加強中德、中法雙邊網絡安全交流與合作，今年與德國標準化協(xié)會信息技術與應用標準化委員會（DIN/NIA）簽署了合作諒解備忘錄（MOU），為雙方進一步開展務實合作奠定了基礎。

楊建軍：信安標委自成立以來，一直高度重視網絡安全標準體系的建設和完善，每年會根據國家網絡安全相關法律法規(guī)、政策、技術和產業(yè)發(fā)展、標準需求等變化，對標準體系框架進行適當調整，增補已發(fā)布標準和新立項項目，曾于2005年公開發(fā)布過一版體系。近年來，隨著新技術新應用迅速發(fā)展，以及《網絡安全法》和《關于加強國家網絡安全標準化工作的若干意見》等法律政策文件的出臺，綜合考慮網絡安全發(fā)展現(xiàn)狀和標準化需求，從標準屬性、保護對象和應用領域角度出發(fā)，初步構建了三維標準體系結構圖，目前該體系還在不斷完善過程中。

標準屬性維主要從標準的基本特性出發(fā)，包括基礎、技術與機制、管理、測評等標準。保護對象維主要從標準所面向的對象出發(fā)，包括產品與服務、網絡與系統(tǒng)、數(shù)據、組織等標準。應用領域維主要從標準的應用角度出發(fā)，包括云計算、大數(shù)據、智慧城市、物聯(lián)網、移動互聯(lián)網、區(qū)塊鏈、人工智能、關鍵信息基礎設施等標準。

目前，《網絡安全國家標準體系建設指南（2019）》正在編制過程中，預計將于今年年底發(fā)布。該《指南》的推出，會使我國信息安全標準體系更加科學合理，對下一階段標準化工作具有重要的指導作用，可為信息安全標準制修訂計劃的提出提供重要依據，將為我國網絡安全保障體系的建設提供有力支撐。

楊建軍：下一步，我國網絡安全標準化工作將緊緊圍繞以下幾個方面開展工作：

一是從管理的維度，網絡安全標準的制定和實施要以國家有關的政策法規(guī)為依據，標準要有利于政策法規(guī)的落地實施。今年國家互聯(lián)網信息辦公室陸續(xù)發(fā)布《網絡安全審查辦法（征求意見稿）》《數(shù)據安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》《云計算服務安全評估辦法》等文件，標準的研制工作要緊緊圍繞這些政策文件開展，以支撐政策文件的落地實施。

二是從技術的維度，網絡安全標準的制定要在保障安全的基礎上發(fā)揮更多作用，要通過標準規(guī)范和引導行業(yè)技術的發(fā)展。針對5G、人工智能、大數(shù)據等新技術新應用快速發(fā)展所帶來的安全問題，要提前開展標準研究，研究其中潛在的安全風險和挑戰(zhàn)，提前布局，以網絡安全標準引領發(fā)展。

三是從應用的維度，網絡安全標準的制定和實施要圍繞網絡安全的重點問題來開展。網絡安全標準化工作要立足于現(xiàn)實、堅持問題導向，圍繞人民群眾的關切做老百姓有獲得感的標準，例如智能門鎖安全、個人信息保護等，都關乎著人民群眾的切身利益及安全，要重點做好這些標準的研制和應用推廣，發(fā)揮標準的規(guī)范性作用。

楊建軍：當前，隨著智能制造、工業(yè)互聯(lián)網等新型生產模式的發(fā)展，工業(yè)云計算、工業(yè)大數(shù)據等新興技術的不斷應用，傳統(tǒng)信息安全防護技術存在手段單一、功能分散、自動化程度較低等問題，不能適應工業(yè)信息安全防護的新需求。為提升我國工業(yè)企業(yè)工業(yè)信息安全防護水平，指導我國工業(yè)信息安全防護工作開展，全國信安標委持續(xù)開展工業(yè)信息安全標準化工作，截至目前，共立項研制工業(yè)控制系統(tǒng)信息安全國家標準26項，范圍涵蓋工業(yè)控制系統(tǒng)安全分級、安全管理、安全實施、安全測評，以及典型工業(yè)控制系統(tǒng)、設備安全等領域，《信息安全技術 工業(yè)控制系統(tǒng)安全控制應用指南》（GB/T 32919-2016）等關鍵核心標準正式發(fā)布實施，已初步建立了工業(yè)控制系統(tǒng)信息安全標準體系，可為工信部等相關部門開展行業(yè)管理，以及工業(yè)企業(yè)提升安全防護水平提供標準支撐。然而，我國工業(yè)信息安全相關標準依然存在著可編程邏輯控制器（PLC）、分布式控制器（DCS）、數(shù)據采集與監(jiān)視控制系統(tǒng)（SCADA）等核心工控產品安全要求、測評方法等相關標準缺失，難以有效支撐產品級安全測評工作。下一步，全國信安標委將持續(xù)完善工業(yè)信息安全標準體系，以提升工業(yè)領域關鍵信息基礎設施安全防護水平為根本，圍繞工信部工控安全防護能力評估、工業(yè)互聯(lián)網安全等重點工作，加快推進急需標準研制。積極響應產業(yè)需求，緊跟技術發(fā)展，根據輕重緩急，研制工控系統(tǒng)關鍵產品安全技術要求、安全測試規(guī)范等標準，形成測試驗證能力，提升相關產品的安全防護水平。

楊建軍：面向工業(yè)互聯(lián)網等新興領域，信安標委統(tǒng)籌布局，開展工業(yè)互聯(lián)網安全標準體系研究，梳理工業(yè)互聯(lián)網安全標準化需求，厘清標準關系，為工業(yè)互聯(lián)網安全標準體系建設工作提供指導。同時根據急用先行原則，開展《信息安全技術 工業(yè)互聯(lián)網平臺安全要求及評估規(guī)范》標準立項研制，用于指導工業(yè)互聯(lián)網平臺安全建設、運維及測評等工作。

《信息安全技術 工業(yè)互聯(lián)網平臺安全要求及評估規(guī)范》面向工業(yè)互聯(lián)網平臺相關組織機構，規(guī)定了工業(yè)互聯(lián)網平臺邊緣層、工業(yè)IaaS層、工業(yè)PaaS層、工業(yè)SaaS層和安全管理等方面安全要求及配套評估規(guī)范，可規(guī)范相關組織開展工業(yè)互聯(lián)網平臺安全防護設計、規(guī)劃、建設、運維等工作，同時也可為相關第三方評估組織開展工業(yè)互聯(lián)網平臺安全評估工作提供標準化指導。

自標準立項后，中國電子技術標準化研究院會同樹根互聯(lián)技術有限公司等單位成立標準工作組，開展標準研制工作。依據全國信安標委標準制修訂工作流程有關要求，截至目前，標準工作組已在全國信安標委2019年第一次全國會議周上，推進該標準形成標準公開征求意見稿，并已在網上公開征求意見。下一步，標準編制組將根據公開征求意見的專家建議，修改標準文檔，加快推進標準進程，擬于全國信安標委2019年第二次會議周上形成標準送審稿，推動標準盡快發(fā)布。

在標準正式發(fā)布后，標準工作組將依托全國信安標委，開展《信息安全技術 工業(yè)互聯(lián)網平臺安全要求及評估規(guī)范》標準宣貫培訓、試點示范工作，服務工業(yè)互聯(lián)網平臺相關企業(yè)，幫助企業(yè)提升對標準內容的理解和使用。

楊建軍：2019年8月30日，《信息安全技術 工業(yè)控制網絡安全隔離與信息交換系統(tǒng)安全技術要求》《信息安全技術 工業(yè)控制系統(tǒng)漏洞檢測產品技術要求及測試評價方法》《信息安全技術 工業(yè)控制系統(tǒng)產品信息安全通用評估準則》《信息安全技術 工業(yè)控制網絡監(jiān)測安全技術要求及測試評價方法》《信息安全技術 工業(yè)控制系統(tǒng)網絡審計產品安全技術要求》《信息安全技術 工業(yè)控制系統(tǒng)專用防火墻技術要求》《信息安全技術 工業(yè)控制系統(tǒng)安全檢查指南》等7項工業(yè)信息安全相關國家標準正式發(fā)布。中華人民共和國國家標準公告（2019年第10號）

《信息安全技術 工業(yè)控制網絡安全隔離與信息交換系統(tǒng)安全技術要求》規(guī)定了工業(yè)控制網絡安全隔離與信息交換系統(tǒng)的安全功能要求、安全保障要求和安全等級劃分要求，適用于工業(yè)控制網絡安全隔離與信息交換系統(tǒng)的設計、開發(fā)及測試。

《信息安全技術 工業(yè)控制系統(tǒng)漏洞檢測產品技術要求及測試評價方法》規(guī)定了針對工業(yè)控制系統(tǒng)的漏洞檢測產品的技術要求和測試評價方法，包括安全功能要求、自身安全要求和安全保障要求，以及相應的測試評價方法，適用于工業(yè)控制系統(tǒng)漏洞檢測產品的設計、開發(fā)和測評。

《信息安全技術 工業(yè)控制系統(tǒng)產品信息安全通用評估準則》定義了工業(yè)控制系統(tǒng)產品安全評估的通用安全功能組件和安全保障組件集合，規(guī)定了工業(yè)控制系統(tǒng)產品的安全要求和評估準則，適用于工業(yè)控制系統(tǒng)產品安全保障能力的評估，產品安全功能的設計、開發(fā)和測試也可參照使用。

《信息安全技術 工業(yè)控制網絡監(jiān)測安全技術要求及測試評價方法》規(guī)定了工業(yè)控制網絡監(jiān)測產品的安全技術要求和測試評價方法，適用于工業(yè)控制網絡監(jiān)測產品的設計生產方對其設計、開發(fā)及測評等提供指導，同時也可為工業(yè)控制系統(tǒng)設計、建設和運維方開展工業(yè)控制系統(tǒng)安全防護工作提供指導。

《信息安全技術 工業(yè)控制系統(tǒng)網絡審計產品安全技術要求》規(guī)定了工業(yè)控制系統(tǒng)網絡審計產品的安全功能要求、安全保障要求和安全等級劃分要求，適用于工業(yè)控制系統(tǒng)網絡審計產品的設計、生產和測試。

《信息安全技術 工業(yè)控制系統(tǒng)專用防火墻技術要求》規(guī)定了工業(yè)控制系統(tǒng)專用防火墻的安全功能要求、安全保障要求、性能要求和安全等級劃分要求，適用于工控防火墻的設計、開發(fā)和測試。

《信息安全技術 工業(yè)控制系統(tǒng)安全檢查指南》規(guī)定了工業(yè)控制系統(tǒng)信息安全檢查的目的、范圍、方式、流程、方法和內容，適用于開展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢查、委托檢查工作，同時也適用于各企業(yè)在本集團（系統(tǒng)）范圍內開展相關系統(tǒng)的信息安全自檢查。