关于加强国家网络安全标准化工作的若干意见
中网办发文〔2016〕5号
各省、自治区、直辖市、新疆生产建设兵团党委网络安全和信息化领导小组,中央和国家机关各部委:
网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。近年来,随着网络信息技术快速发展应用,网络安全形势日趋复杂严峻,对标准化工作提出了更高要求。为落实网络强国战略,深化标准化工作改革,构建统一权威、科学高效的网络安全标准体系和标准化工作机制,支撑网络安全和信息化发展,经中央网络安全和信息化领导小组同意,现提出以下意见。
一、建立统筹协调、分工协作的工作机制
(1)建立统一权威的国家标准工作机制。网络安全标准化工作要坚持统一谋划、统一部署,紧贴实际需求,守住安全底线。全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。其他涉及网络安全内容的国家标准,应征求中央网信办和有关网络安全主管部门的意见,确保相关国家标准与网络安全标准体系的协调一致。
(2)促进行业标准规范有序发展。探索建立网络安全行业标准联络员机制和会商机制,确保行业标准与国家标准的协调和衔接配套,避免行业标准间的交叉矛盾。
(3)促进产业应用与标准化的紧密互动。加强网络安全领域技术研发、产业发展、产业政策等与标准化的紧密衔接与有益互动。建立重大工程、重大科技项目标准信息共享机制,推动国家网络安全相关重大工程或科研项目成果转化为国家标准,并在项目考核指标和专业技术资格评审中明确标准要求,充分发挥标准对产业的引领和拉动作用。
(4)推动军民标准兼容。建立军民网络安全标准协调机制和联络员机制,加强军民标准化主管部门的密切协作。促进网络安全领域技术标准双向交流,在国防网络安全领域优先采用先进适用的国家标准,研究制定兼顾经济建设和国防建设需求的军民共用国家标准,共同推动基础性标准的军民通用。
二、加强标准体系建设
(5)科学构建标准体系。推动网络安全标准与国家相关法律法规的配套衔接,兼顾我国在世界贸易组织(WTO)等国际组织中承诺的国际义务。根据国际国内网络安全形势发展和现实需求,持续完善网络安全标准体系。发挥标准体系的规划布局作用,定期发布网络安全标准体系建设指南,指导标准制定工作有计划、有步骤推进。促进网络安全标准与信息化应用标准同步规划、同步制定。
(6)优化完善各级标准。按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。优化完善推荐性标准,在基础通用领域制定推荐性国家标准。视情在行业特殊需求的领域制定推荐性行业标准。原则上不制定网络安全地方标准。
(7)推进急需重点标准制定。坚持急用先行,围绕“互联网+”行动计划、“中国制造2025”和“大数据发展行动纲要”等国家战略需求,加快开展关键信息基础设施保护、网络安全审查、网络空间可信身份、关键信息技术产品、网络空间保密防护监管、工业控制系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、互联网电视终端产品安全、网络安全信息共享等领域的标准研究和制定工作。
三、提升标准质量和基础能力
(8)提高标准适用性。在标准制定中,坚持开放透明、公平公正的原则,注重开展前期调研、征求意见、测试、公示等工作,保证标准充分满足网络安全管理、产业发展、用户使用等各方需求,确保标准管用、好用。提高标准制定的参与度和广泛性,鼓励和吸收更多的企业、高校、科研院所、检测认证机构和用户等各方实质性参与标准制定,注重发挥企业的主体作用。
(9)提高标准先进性。紧密跟踪网络安全技术和信息技术发展趋势,及时转化科技创新成果,提升标准的科技含量和技术水平。缩短标准制修订周期,原则上不超过2年,确保标准及时满足网络安全保障、新兴技术与产业发展的需求。
(10)提高标准制定的规范性。加强标准制定的过程管理,建立完备的网络安全标准制定过程管理制度和工作程序,细化明确各阶段的议事规则,优化标准立项和审批程序,以规范严谨的工作程序保证标准质量。
(11)加强标准化基础能力建设。提升标准信息服务能力和标准符合性测试能力,提高标准化综合服务水平。加强网络安全标准化战略与基础理论研究。
四、强化标准宣传实施
(12)加强标准的宣传解读。通过传统媒体和互联网等多种渠道公开发布网络安全国家标准。将标准宣传实施与网络安全管理工作相结合,促进应用部门、企业、科研院所等机构和人员学标准、懂标准、用标准。开展网络安全优秀实践案例评选活动并进行宣传和推广。利用各类媒体加大对标准的解读和宣传力度。
(13)加大标准实施力度。发挥各地区、各部门在网络安全标准实施中的作用,在政策文件制定、相关工作部署时积极采用国家标准。各行业主管监管部门要按照网络安全国家标准制定实施指南和规范,指导网络安全管理工作。组织开展重点标准的试点示范、实施情况反馈和标准实施效果评价工作,提升标准的有效性和适用性。
五、加强国际标准化工作
(14)实质性参与国际标准化活动。积极参与网络空间国际规则和国际标准规则制定,提升话语权和影响力。积极参与制定相关国际标准并发挥作用,贡献中国智慧、提出中国方案。推动将自主制定的国家标准转化为国际标准,促进自主技术产品“走出去”。结合我国产业发展现状,积极采用适用的国际标准。
(15)推动国际标准化工作常态化、持续化。打造一支专业精、外语强的复合型国际标准化专家队伍,提高国际标准化组织注册专家的数量。推荐有能力的专家担任国际标准组织职务,积极参加国际标准化会议,保证工作的持续性和稳定性。
六、抓好标准化人才队伍建设
(16)积极开展教育培训。选择有条件、有意向的重点院校,设立网络安全标准化相关课程,培养标准化专业人才队伍。鼓励校企合作,支持在校学生到企业实习和企业人员到学校接受标准化培训。鼓励有条件的企业开展标准化知识培训。
(17)引进和培育高端人才。加大网络安全标准化引智力度,鼓励有条件的地方政府、重点企业引进一批高端国际标准化人才。建立网络安全标准化专家库。对参与网络安全国家标准制定的专业技术人才在提高待遇、晋升职务职称等方面予以倾斜。
七、做好资金保障
(18)做好财政资金保障工作。各部门、各地方要高度重视网络安全标准化工作,利用中央和地方现有财政渠道,做好网络安全标准化工作的经费保障。
(19)鼓励社会资金支持。鼓励企业加大对标准研制和应用的资金投入。引导社会公益性基金支持网络安全标准化活动,设立网络安全标准优秀奖,对先进适用、贡献突出的标准进行奖励。