L80 数据加密 标准查询与下载

GB/T 28450-2020 信息技术 安全技术 信息安全管理体系审核指南

本标准在GB/T19011—2013 的基础上,为信息安全管理体系(以下简称ISMS)审核方案管理和审核实施提供了指南,并对ISMS审核员能力提供了评价指南。本标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。

Information technology—Security techniques—Guidelines for information security management systems auditing

GB/T 39720-2020 信息安全技术 移动智能终端安全技术要求及测试评价方法

本文件规定了移动智能终端安全技术要求及测试评价方法,包括硬件安全.系统安全.应用软件安人全、通信连接安全,用户数据安全。 本文件适用于移动智能终端的设计、开发.测试和评估。

Information security technology—Security technical requirements and test evaluation approaches for smart mobile terminal

GB/T 39680-2020 信息安全技术 服务器安全技术要求和测评准则

本标准规定了服务器的安全技术要求和测评准则。本标准适用于服务器的研制生产、维护和测评。

Information security technology—Technique requirements and evaluation criteria for server security

GB/T 15852.1-2020 信息技术 安全技术 消息鉴别码 第1部分：采用分组密码的机制

GB/T15852 的本部分规定了采用分组密码的消息鉴别码(MAC)的用户使用要求、算法一般模型,提供了8 种采用分组密码的消息鉴别码算法。本部分适用于安全体系结构、过程及应用的安全服务。

Information technology—Security techniques—Message authentication codes—Part 1: Mechanisms using a block cipher

GB/T 20985.2-2020 信息技术　安全技术　信息安全事件管理　第2部分：事件响应规划和准备指南

GB/T20985 的本部分基于GB/T20985.1—2017 中给出的“信息安全事件管理阶段”模型的“规划和准备”阶段和“经验总结”阶段,给出了规划和准备事件响应以及事后总结经验和改进的指南。“规划和准备”阶段的要点包括: ———信息安全事件管理策略和最高管理者的承诺; ———在公司层面以及系统、服务和网络层面都要更新的信息安全策略,其中包括与风险管理相关的信息安全策略; ———信息安全事件管理计划; ———事件响应小组(IRT)的建立; ———建立与内部和外部组织的关系和联络; ———技术及其他方面(包括组织和运行方面)的支持; ———信息安全事件管理的意识教育和培训; ———信息安全事件管理计划的测试。“经验总结”阶段的要点包括: ———经验教训的总结; ———信息安全的总结和改进; ———信息安全风险评估和管理评审结果的总结和改进; ———信息安全事件管理计划的总结和改进; ———IRT表现和有效性的评价。本部分给出的原理是通用的,适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质,关联信息安全风险状况,调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织。

Information technology—Security techniques—Information security incident management—Part 2: Guidelines to plan and prepare for incident response

GB/T 39725-2020 信息安全技术 健康医疗数据安全指南

本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。

Information security technology—Guide for health data security

GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范

本标准规定了网络安全漏洞(以下简称"漏洞”)的标识与描述信息。本标准适用于从事漏洞发布与管理漏洞库建设产品生产、研发,测评与网络运党等活动的所有相

Information security technology—Cybersecurity vulnerability identification and description specification

GB/T 25068.1-2020 信息技术 安全技术 网络安全 第1部分：综述和概念

GB/T25068 的本部分规定了网络安全概述和相关定义、定义和描述了与网络安全相关的概念并提供了有关网络安全的管理指导(本部分的网络安全适用于通过通信链路传送的信息安全、设备安全以及与设备、应用/服务和最终用户相关的管理活动的安全)。本部分的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用户,以及对信息安全和/或网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。本部分还包括以下内容: ———提供了识别和分析网络安全风险的指南,并基于上述分析定义网络安全需求; ———提供了支持网络技术安全架构和相关技术控制的综述,以及不仅适用于网络的技术和非技术控制; ———介绍了如何实现高质量的网络技术安全架构,以及与典型网络场景和网络“技术”领域相关的风险、设计和控制要素(在GB/T25068 的其他部分中详细论述),简述了与实施和运行网络安全控制有关的问题,以及对其实施进行持续监督和评审的相关问题。本部分提供了GB/T25068 系列标准的概述和对其他部分的指引。

Information technology—Security techniques—Network security—Part 1:Overview and concepts

GB/T 39412-2020 信息安全技术 代码安全审计规范

本标准规定了代码安全的审计过程以及安全功能缺陷.代码实现安全缺陷,资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。本标准适用于指导代码安全审计相关工作。

Information security technology—Audit specification of code security

GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求

本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备.共享数据交换.共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。本标准适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。

Information security technology—Government information sharing—Data security technology requirements

GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南

本标准提供了网络安全漏洞(以下简称"漏洞”的分类方式.分级指标,给出了分级方法的建议。本标准适用于网络产品和服务的提供者、网络运营者.漏洞收录组织,漏洞应急组织在漏洞管理.产品生产.技术研发.网络运营等相关活动中进行的漏洞分类和危害等级评估等。

Information security technology—Guidelines for categorization and classification of cybersecurity vulnerability

GB/T 20261-2020 信息安全技术 系统安全工程 能力成熟度模型

本标准给出了系统安全工程能力成熟度模型(以下简称SSE-CMM

Information security technology—System security engineering—capability maturity model

GB/T 39276-2020 信息安全技术 网络产品和服务安全通用要求

本标准规定了网络产品和服务应满足的安全通用要求，包括安全功能要求和安全保障要求。 本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可用于指导第三方测评机构对网络产品和服务进行安全测评。

Information security technology—General security requirements of network products and services

GB/T 25068.2-2020 信息技术 安全技术 网络安全 第2部分：网络安全设计和实现指南

GB/T25068 的本部分为组织给出了计划、设计、实施和记录网络安全的指南。

Information technology—Security techniques—Network security—Part 2: Guidelines for the design and implementation of network security

GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范

本标准规定了网络安全漏洞管理流程各阶段 （包括漏洞发现和报告、接收、验证、处置、发布、跟踪等）的管理流程、管理要求以及证实方法。 本标准适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动。

Information security technology—Specification for cybersecurity vulnerability management

GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南

规范性引用文件pe 术语和定义评估原理4.1 概述4.2 ”开展评估的价值Ne 4.3 评估报告的用途Ne 4.4 评估责任主体4.5 评估基本原理pe 的要素评估实施流程5.1 评估必要性分析5.2 评估准备工作5.3 数据上映射分析5.4 风险源识别析析5.7 评估报告站ee 改进和聊评估性合规的示例及评估要目高风险的个人信息处理活动示例和pp 个人信息安全影响评估常用工具表pp 个人信息安全影响评估参考方法Ne 必co 4.6 评估实施需考虑

Information security technology—Guidance for personal information security impact assessment

GB/T 39205-2020 信息安全技术 轻量级鉴别与访问控制机制

本标准规定了轻量级的鉴别机制与访问控制机制。本标准适用于无线传感器网络.射频识别、.近场通信等资源受限的应用场景下鉴别与访问控制机制设计开发和应用。

Information security technology—Light-weight authentication and access control mechanism

GB/T 20283-2020 信息安全技术 保护轮廓和安全目标的产生指南

本标准给出了保护轮廓和安全目标文档各部分内容的描述,并提供了保护轮廓和安全目标概述、保护轮廓/安全目标引言、符合性声明、安全问题定义、安全目的、扩展组件定义、安全要求、TOE概要规范、组合及部件TOE的保护轮廓和安全目标、特殊情况等信息。本标准适用于信息技术产品的测试、评估、采购,并为产品的使用者、开发者、测评者使用保护轮廓和安全目标提供指导。

Information security technology—Guide for the production of protection profiles and security targets

GB/T 38635.2-2020 信息安全技术 SM9标识密码算法 第2部分：算法

GB/T3 86 35的本部分规定了SM9标识密码算法中数字签名算法、 密钥交换协议、密钥封装机制 和加密算法。 本部分适用于SM9标识密码算法工程化的实现，指导SM9标识密码算法相关产品的研制和检测。

Information security technology—Identity-based cryptographic algorithms SM9—Part 2：Algorithms

GB/T 25066-2020 信息安全技术 信息安全产品类别与代码

本标准规定了信息安全产品的主要类别与代码,包括物理环境安全类.通信网络安全类、区域边界全类.计算环境安全类安全管理支持类及其他类六个方面。本标准适用于国家信息安全管理部门对信息安全产品(不包括涉密信息系统产品和仅提供密码算法运算的商用密码产品)进行分类管理,并可指导信息安全产品研制厂商的产品化工作和用户单位在信息化安全建设时的规划。

Information security technology—Type and code of information security products