信息安全技術(shù) 術(shù)語-編制說明

工作簡況[內(nèi)容包括下達(dá)計(jì)劃任務(wù)主管部門的完整名稱、項(xiàng)目計(jì)劃發(fā)布文件號、本項(xiàng)目的計(jì)劃代號和主要承辦單位完整名稱、副主辦單位或協(xié)作單位完整名稱、主要工作過程、主要起草人及其所做的工作等]任務(wù)來源《信息安全技術(shù)術(shù)語》國家標(biāo)準(zhǔn)修訂是中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局（國家互聯(lián)網(wǎng)信息辦公室）2016年下達(dá)的國家標(biāo)準(zhǔn)修訂項(xiàng)目。2017年經(jīng)國家標(biāo)準(zhǔn)化管理委員會（SAC）批準(zhǔn)，納入2017年度國家標(biāo)準(zhǔn)制修訂計(jì)劃（國標(biāo)委綜合〔2017〕72號），項(xiàng)目計(jì)劃代號為20170573-T-469。參與單位本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員（TC260）會提出并歸口，主要承辦單位是中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司，副主辦單位是中國電子技術(shù)標(biāo)準(zhǔn)化研究院，協(xié)作單位有中國信息安全研究院有限公司、中國信息安全測評中心、中國信息安全認(rèn)證中心、中國軟件評測中心、國家信息中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、北京信息安全測評中心、陜西省網(wǎng)絡(luò)與信息安全測評中心、清華大學(xué)、四川大學(xué)、山東大學(xué)、西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司、上海三零衛(wèi)士信息安全有限公司、華為技術(shù)有限公司、浙江螞蟻小微金融服務(wù)集團(tuán)有限公司、北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司、北京恒昌利通投資管理有限公司、亞信安全、微軟（中國）有限公司等。項(xiàng)目背景2010年發(fā)布的國家標(biāo)準(zhǔn)GB/T25069—2010《信息安全技術(shù)術(shù)語》給出了與信息安全領(lǐng)域相關(guān)的概念的術(shù)語及其定義，并明確了各術(shù)語詞條之間的關(guān)系。該標(biāo)準(zhǔn)的分類原則是根據(jù)國外信息安全術(shù)語相關(guān)的分類方法，結(jié)合國內(nèi)的實(shí)踐經(jīng)驗(yàn)，和國家標(biāo)準(zhǔn)現(xiàn)狀，按三部分來組織編制最基本的信息安全術(shù)語：（1）信息安全一般概念術(shù)語；（2）信息安全技術(shù)術(shù)語，包括實(shí)體類、攻擊與保護(hù)類、鑒別與密碼類、備份與恢復(fù)類；（3）信息安全管理術(shù)語，包括管理活動和支持管理活動的技術(shù)，主要涉及安全管理、安全測評和風(fēng)險(xiǎn)管理等基本概念及相關(guān)的管理技術(shù)。隨著網(wǎng)絡(luò)的廣泛應(yīng)用，新技術(shù)新業(yè)態(tài)的不斷涌現(xiàn)，一些新的信息安全術(shù)語被提出，與此同時(shí)GB/T25069—2010《信息安全技術(shù)術(shù)語》中的部分術(shù)語的內(nèi)涵發(fā)生了改變。國際標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27（信息安全技術(shù)分委員會）的常設(shè)文件SD6《IT安全術(shù)語匯編》匯集出自ISO/IECJTC1SC27的已發(fā)布國際標(biāo)準(zhǔn)中術(shù)語和定義，是國際上認(rèn)可度很高的有關(guān)信息安全的術(shù)語匯編，并得到廣泛應(yīng)用。每年更新兩次，2017年11月版中的術(shù)語詞條數(shù)量已達(dá)2517條。美國NISTIR7298《關(guān)鍵信息安全術(shù)語匯編》匯集NIST聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）、特別出版物（SP）800系列、NIST部門間報(bào)告（NISTIR）和國家安全系統(tǒng)委員會指令4009（CNSSI-4009）中的常用信息安全術(shù)語，并在標(biāo)準(zhǔn)制定和技術(shù)研發(fā)中得到廣泛應(yīng)用。從2006年4月最初版本的87頁，經(jīng)2011年2月和2013年5月兩次修訂已達(dá)222頁。在NISTSP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》中，通過附錄引用并特化了其中的術(shù)語。RFC術(shù)語集在制定各種標(biāo)準(zhǔn)時(shí)，引用并特例化了相應(yīng)的術(shù)語，給出一組術(shù)語集。為了加強(qiáng)信息安全技術(shù)的標(biāo)準(zhǔn)化建設(shè)，方便學(xué)術(shù)界、產(chǎn)業(yè)界、政府部門的溝通與交流以及加深對國際標(biāo)準(zhǔn)理解，為避免信息安全技術(shù)術(shù)語的滯后和缺失，有必要修訂GB/T25069—2010《信息安全技術(shù)術(shù)語》。工作過程2016年8月，與中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)司（國家互聯(lián)網(wǎng)信息辦公室）簽訂課題委托合同書。2017年6月，國家標(biāo)準(zhǔn)化管理委員會正式下達(dá)《信息安全技術(shù)術(shù)語》國家標(biāo)準(zhǔn)修訂計(jì)劃。2016年10月12日，召開項(xiàng)目啟動會暨專家咨詢會，聽取與會專家針對標(biāo)準(zhǔn)編制思路和內(nèi)容的意見和建議，確定了以全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱“全國信安標(biāo)委”）（TC260）編制的已發(fā)布國家標(biāo)準(zhǔn)和ISO/IECJTC1SC27（信息技術(shù)委員會安全技術(shù)分委員）編制的已發(fā)布國際標(biāo)準(zhǔn)中的術(shù)語和定義為主線的編寫路線。2016年10月至2107年3月，收集、分類和整理了TC260國家標(biāo)準(zhǔn)（176項(xiàng)）和SC27國際標(biāo)準(zhǔn)（164項(xiàng)）及其全部的術(shù)語和定義（3708條），形成了按5個(gè)一級類別（信息安全管理體系類、密碼技術(shù)與安全機(jī)制類、信息安全控制與服務(wù)類、信息安全評價(jià)與測試類、領(lǐng)域和行業(yè)信息安全類）和53個(gè)二級類別排版的標(biāo)準(zhǔn)修訂草案v0.1（650頁）。2017年3月25日，建立“國家標(biāo)準(zhǔn)《信息安全技術(shù)術(shù)語》修訂”資料共享庫，包括標(biāo)準(zhǔn)文本、相關(guān)資料和征集貢獻(xiàn)；同時(shí)，建立“《信息安全技術(shù)術(shù)語》修訂”微信群，在信息安全業(yè)界征集加入人員，目前規(guī)模達(dá)103人。在群中介紹該標(biāo)準(zhǔn)的編制思路和仍需做的工作，并征集相關(guān)貢獻(xiàn)。2017年4月8日，在全國信安標(biāo)委2017年第一次工作組會議周期間WG7工作組2017年第一次全體會議上匯報(bào)工作進(jìn)展情況及草案v0.1文本，并聽取來自工作組成員單位代表的意見和建議。2017年4月至5月，為了避免編輯超大文件，按照一級分類將草案v0.1拆分為5個(gè)文件并改進(jìn)內(nèi)容，形成5個(gè)草案v0.2文本。2017年6月初，將收到的術(shù)語和定義翻譯貢獻(xiàn)（385條）納入草案文本中，形成對應(yīng)一級分類的5個(gè)草案v0.3文本。2017年6月8日，召開草案專家征求意見會，匯報(bào)標(biāo)準(zhǔn)編制的基本思路、目前進(jìn)展和遇到問題，聽取與會專家的意見和建議。經(jīng)討論，決定改變選取TC260國家標(biāo)準(zhǔn)和SC27國際標(biāo)準(zhǔn)的術(shù)語和定義全集作為標(biāo)準(zhǔn)內(nèi)容的做法。新的做法是基于GB/T25069—2010已收錄的術(shù)語和定義，從草案v0.1的3708條中分別摘出這些術(shù)語的所有定義并編輯在一起，以便于分析一個(gè)術(shù)語的多種定義和選取其最終定義。另外，刪除GB/T25069—2010中不常用或過時(shí)的術(shù)語和定義，增加新的常用術(shù)語和定義（主要是基于草案v0.1）。2017年6月至7月中旬，按照上述新的做法，基于GB/T25069—2010已收錄的術(shù)語和定義，從草案v0.1的3708條中分別摘出這些術(shù)語的所有定義并編輯在一起，形成草案v1.1文本。2017年7月14日，在全國信安標(biāo)委WG7工作組2017年第二次全體會議上匯報(bào)工作進(jìn)展情況及草案v1.1文本，并聽取來自工作組成員單位代表的意見和建議。2017年7月19日至28日，鑒于該標(biāo)準(zhǔn)專業(yè)性廣和工作量大，擴(kuò)建標(biāo)準(zhǔn)編制組，組成范圍更廣、專業(yè)全面的標(biāo)準(zhǔn)編制團(tuán)隊(duì)，并建立“《信息安全技術(shù)術(shù)語》編制組”微信群。2017年7月22日，選出GB/T25069—2010中不常用或過時(shí)的術(shù)語條款作為待刪除項(xiàng)，基于ISO/IEC27000:2016《信息安全管理體系概述和詞匯》增加新的常用術(shù)語條款，形成草案v1.2文本。2017年7月24日至26日，為便于在編制組內(nèi)開展篩選術(shù)語和定義以及翻譯其中尚未轉(zhuǎn)標(biāo)的國際標(biāo)準(zhǔn)中的術(shù)語條款，將草案v1.2的術(shù)語條款按照“通用類”、“信息安全管理體系類”、“密碼技術(shù)與安全機(jī)制類”、“信息安全控制與服務(wù)類”、“信息安全評價(jià)與測試類”、“領(lǐng)域和行業(yè)信息安全類”以及“待刪除”進(jìn)行編排，形成草案v1.3文本。2017年7月26日至8月6日，將先后收到的翻譯貢獻(xiàn)納入草案v1.3中，形成草案v1.3.1和草案v1.3.2文本。2017年8月，在擴(kuò)建的編制組內(nèi)分工開展術(shù)語及其定義的篩選和翻譯工作，將分工成果和相關(guān)意見建議陸續(xù)納入草案v1.3.2，先后形成草案v1.3.3（1～15）共15稿。2017年8月底至9月底，初步完成術(shù)語及其定義的篩選和翻譯工作，并在編制組內(nèi)進(jìn)一步完善，先后形成草案v1.4和草案v1.4.1。2017年9月底至10月初，全面完成術(shù)語及其定義的篩選和翻譯工作，形成草案v1.5。2017年10月11日，就標(biāo)準(zhǔn)草案v1.5召開專家評審會，深入探討這項(xiàng)涉及面廣、技術(shù)難度大且繁雜、龐大的工作如何更好和更有效地開展，聽取了與會專家的意見和建議。2017年11月至2018年10月，將收集到的4772條術(shù)語和定義條目（其中，2476條來自169個(gè)國家標(biāo)準(zhǔn)，2296條來自142個(gè)國際標(biāo)準(zhǔn)）建立成《信息安全技術(shù)術(shù)語庫》，然后沉下心來逐條整理（包括英文翻譯改進(jìn)）、研究和篩選，中間經(jīng)過補(bǔ)漏增新的草案v1.6，形成了草案v1.7，準(zhǔn)備在全國信安標(biāo)委WG7工作組2018年第二次全體會議上匯報(bào)。2018年10月24日，在全國信安標(biāo)委WG7工作組2018年第二次全體會議上匯報(bào)工作進(jìn)展情況及草案v1.7文本，并聽取來自工作組成員單位代表的意見和建議，經(jīng)投票表決同意進(jìn)入征求意見稿階段。2018年11月，全面改進(jìn)和完善草案v1.7后，形成征求意見稿v2.0，提交至全國信安標(biāo)委秘書處。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題[如技術(shù)指標(biāo)、參數(shù)、公式、性能要求、試驗(yàn)方法、檢驗(yàn)規(guī)則等的論據(jù)，包括試驗(yàn)、統(tǒng)計(jì)數(shù)據(jù)，解決的主要問題。修訂標(biāo)準(zhǔn)時(shí)應(yīng)列出與原標(biāo)準(zhǔn)的主要差異和水平對比]編制原則權(quán)威性：為確保術(shù)語和定義的權(quán)威性，原則上選取已正式發(fā)布的國家標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)中的術(shù)語和定義。廣泛性：為確保本標(biāo)準(zhǔn)的廣泛適用性，盡量選取在多個(gè)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)中出現(xiàn)的基本或通用術(shù)語。當(dāng)一個(gè)術(shù)語具有多種定義時(shí)，選取最具普適性的定義，或按語境進(jìn)行區(qū)分。便利性：為便于檢索和使用，提供分類、英文排序和漢語拼音排序等多種方式相結(jié)合的術(shù)語條目編排。編制思路基于SACTC260制定的已發(fā)布國家標(biāo)準(zhǔn)和ISO/IECJTC1SC27制定的已發(fā)布國際標(biāo)準(zhǔn)中的術(shù)語和定義修訂GB/T25069—2010。工作步驟如下：第一步：按照權(quán)威性原則，匯總SACTC260制定的已發(fā)布國家標(biāo)準(zhǔn)（包括GB/T25069—2010）和ISO/IECJTC1SC27制定的已發(fā)布國際標(biāo)準(zhǔn)中的所有術(shù)語和定義，將同名術(shù)語的所有定義并編輯在一起，以便于分析一個(gè)術(shù)語的多種定義和選取其最終定義。對術(shù)語和定義的來源標(biāo)準(zhǔn)，按照“信息安全管理體系類”、“密碼技術(shù)與安全機(jī)制類”、“信息安全控制與服務(wù)類”、“信息安全評價(jià)與測試類”和“領(lǐng)域和行業(yè)信息安全類”五大類進(jìn)行組織，并依此歸類出自相應(yīng)標(biāo)準(zhǔn)的術(shù)語。第二步：按照廣泛性原則，選取基本或通用的術(shù)語和定義，并翻譯其中未轉(zhuǎn)標(biāo)的國際標(biāo)準(zhǔn)中的術(shù)語和定義。對于多條定義的同名術(shù)語，選取策略如下：（1）對于直接引用或定義相同的多條同名術(shù)語，選擇原始標(biāo)準(zhǔn)的定義。（2）對于同名但定義不同的多條術(shù)語，如果定義是在不同的語境下且不能適用于其他語境，則選擇合適語境下的定義（即同名術(shù)語依語境不同可能有多個(gè)定義）；如果定義是在相同或類似的語境下，則選擇其中一個(gè)公認(rèn)的定義。第三步：按照便利性原則，對選取出的術(shù)語和定義條款進(jìn)行組織和排版，形成標(biāo)準(zhǔn)文本。主要試驗(yàn)[或驗(yàn)證]情況分析為確保該標(biāo)準(zhǔn)的權(quán)威性，其內(nèi)容原則上選取已正式發(fā)布的國家標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)中的術(shù)語和定義。知識產(chǎn)權(quán)情況說明[相關(guān)知識產(chǎn)權(quán)情況的說明。如果在標(biāo)準(zhǔn)編制過程中識別出標(biāo)準(zhǔn)的某些技術(shù)內(nèi)容涉及專利，則應(yīng)列出相關(guān)專利的目錄及其使用理由]無。產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果[電子行業(yè)標(biāo)準(zhǔn)必須填寫。對于國家標(biāo)準(zhǔn)如不要求此內(nèi)容可刪除章號和標(biāo)題]該標(biāo)準(zhǔn)所提供的信息安全相關(guān)術(shù)語和定義是在信息安全領(lǐng)域進(jìn)行溝通與交流的基礎(chǔ)，也是編制信息安全相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況[采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，國內(nèi)外關(guān)鍵指標(biāo)對比分析或與測試的國外樣品、樣機(jī)的相關(guān)數(shù)據(jù)對比情況]該標(biāo)準(zhǔn)采用了最新的信息安全相關(guān)國際標(biāo)準(zhǔn)中適用的術(shù)語和定義。與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性[與相關(guān)的現(xiàn)行法律、法規(guī)和規(guī)章的符合性，特別是與強(qiáng)制性國家標(biāo)準(zhǔn)的協(xié)調(diào)性，以及與同類標(biāo)準(zhǔn)和標(biāo)準(zhǔn)體系中其他標(biāo)準(zhǔn)的協(xié)調(diào)性說明]該標(biāo)準(zhǔn)符合我國相關(guān)的現(xiàn)行法律、法規(guī)和規(guī)章。由于該標(biāo)準(zhǔn)內(nèi)容源自已正式發(fā)布的國家標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)，因此，該標(biāo)準(zhǔn)與強(qiáng)制性國家標(biāo)準(zhǔn)和相關(guān)其他標(biāo)準(zhǔn)是協(xié)調(diào)一致的。重大分歧意見的處理經(jīng)過和依據(jù)無。標(biāo)準(zhǔn)性質(zhì)的建議[建議是強(qiáng)制性標(biāo)準(zhǔn)還是推薦性標(biāo)準(zhǔn)，對于強(qiáng)制性標(biāo)準(zhǔn)必須列出強(qiáng)制的理由，強(qiáng)制范圍]建議該標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹標(biāo)準(zhǔn)的要求和措施建議[內(nèi)容包括組織措施、技術(shù)措施、過渡辦法、實(shí)施日期等]該標(biāo)準(zhǔn)是信息安全的基礎(chǔ)性標(biāo)準(zhǔn)，是在信息安全領(lǐng)域中進(jìn)行溝通、研究、開發(fā)和實(shí)施的基本工具，因此，建議在所有信息安