信息安全技术 术语-编制说明

工作简况[内容包括下达计划任务主管部门的完整名称、项目计划发布文件号、本项目的计划代号和主要承办单位完整名称、副主办单位或协作单位完整名称、主要工作过程、主要起草人及其所做的工作等]任务来源《信息安全技术术语》国家标准修订是中央网信办网络安全协调局（国家互联网信息办公室）2016年下达的国家标准修订项目。2017年经国家标准化管理委员会（SAC）批准，纳入2017年度国家标准制修订计划（国标委综合〔2017〕72号），项目计划代号为20170573-T-469。参与单位本标准由全国信息安全标准化技术委员（TC260）会提出并归口，主要承办单位是中电长城网际系统应用有限公司，副主办单位是中国电子技术标准化研究院，协作单位有中国信息安全研究院有限公司、中国信息安全测评中心、中国信息安全认证中心、中国软件评测中心、国家信息中心、国家计算机网络应急技术处理协调中心、公安部第三研究所、北京信息安全测评中心、陕西省网络与信息安全测评中心、清华大学、四川大学、山东大学、西安西电捷通无线网络通信股份有限公司、上海三零卫士信息安全有限公司、华为技术有限公司、浙江蚂蚁小微金融服务集团有限公司、北京匡恩网络科技有限责任公司、北京恒昌利通投资管理有限公司、亚信安全、微软（中国）有限公司等。项目背景2010年发布的国家标准GB/T25069—2010《信息安全技术术语》给出了与信息安全领域相关的概念的术语及其定义，并明确了各术语词条之间的关系。该标准的分类原则是根据国外信息安全术语相关的分类方法，结合国内的实践经验，和国家标准现状，按三部分来组织编制最基本的信息安全术语：（1）信息安全一般概念术语；（2）信息安全技术术语，包括实体类、攻击与保护类、鉴别与密码类、备份与恢复类；（3）信息安全管理术语，包括管理活动和支持管理活动的技术，主要涉及安全管理、安全测评和风险管理等基本概念及相关的管理技术。随着网络的广泛应用，新技术新业态的不断涌现，一些新的信息安全术语被提出，与此同时GB/T25069—2010《信息安全技术术语》中的部分术语的内涵发生了改变。国际标准化组织ISO/IECJTC1SC27（信息安全技术分委员会）的常设文件SD6《IT安全术语汇编》汇集出自ISO/IECJTC1SC27的已发布国际标准中术语和定义，是国际上认可度很高的有关信息安全的术语汇编，并得到广泛应用。每年更新两次，2017年11月版中的术语词条数量已达2517条。美国NISTIR7298《关键信息安全术语汇编》汇集NIST联邦信息处理标准（FIPS）、特别出版物（SP）800系列、NIST部门间报告（NISTIR）和国家安全系统委员会指令4009（CNSSI-4009）中的常用信息安全术语，并在标准制定和技术研发中得到广泛应用。从2006年4月最初版本的87页，经2011年2月和2013年5月两次修订已达222页。在NISTSP800-82《工业控制系统（ICS）安全指南》中，通过附录引用并特化了其中的术语。RFC术语集在制定各种标准时，引用并特例化了相应的术语，给出一组术语集。为了加强信息安全技术的标准化建设，方便学术界、产业界、政府部门的沟通与交流以及加深对国际标准理解，为避免信息安全技术术语的滞后和缺失，有必要修订GB/T25069—2010《信息安全技术术语》。工作过程2016年8月，与中央网信办网络安全协调司（国家互联网信息办公室）签订课题委托合同书。2017年6月，国家标准化管理委员会正式下达《信息安全技术术语》国家标准修订计划。2016年10月12日，召开项目启动会暨专家咨询会，听取与会专家针对标准编制思路和内容的意见和建议，确定了以全国信息安全标准化技术委员会（以下简称“全国信安标委”）（TC260）编制的已发布国家标准和ISO/IECJTC1SC27（信息技术委员会安全技术分委员）编制的已发布国际标准中的术语和定义为主线的编写路线。2016年10月至2107年3月，收集、分类和整理了TC260国家标准（176项）和SC27国际标准（164项）及其全部的术语和定义（3708条），形成了按5个一级类别（信息安全管理体系类、密码技术与安全机制类、信息安全控制与服务类、信息安全评价与测试类、领域和行业信息安全类）和53个二级类别排版的标准修订草案v0.1（650页）。2017年3月25日，建立“国家标准《信息安全技术术语》修订”资料共享库，包括标准文本、相关资料和征集贡献；同时，建立“《信息安全技术术语》修订”微信群，在信息安全业界征集加入人员，目前规模达103人。在群中介绍该标准的编制思路和仍需做的工作，并征集相关贡献。2017年4月8日，在全国信安标委2017年第一次工作组会议周期间WG7工作组2017年第一次全体会议上汇报工作进展情况及草案v0.1文本，并听取来自工作组成员单位代表的意见和建议。2017年4月至5月，为了避免编辑超大文件，按照一级分类将草案v0.1拆分为5个文件并改进内容，形成5个草案v0.2文本。2017年6月初，将收到的术语和定义翻译贡献（385条）纳入草案文本中，形成对应一级分类的5个草案v0.3文本。2017年6月8日，召开草案专家征求意见会，汇报标准编制的基本思路、目前进展和遇到问题，听取与会专家的意见和建议。经讨论，决定改变选取TC260国家标准和SC27国际标准的术语和定义全集作为标准内容的做法。新的做法是基于GB/T25069—2010已收录的术语和定义，从草案v0.1的3708条中分别摘出这些术语的所有定义并编辑在一起，以便于分析一个术语的多种定义和选取其最终定义。另外，删除GB/T25069—2010中不常用或过时的术语和定义，增加新的常用术语和定义（主要是基于草案v0.1）。2017年6月至7月中旬，按照上述新的做法，基于GB/T25069—2010已收录的术语和定义，从草案v0.1的3708条中分别摘出这些术语的所有定义并编辑在一起，形成草案v1.1文本。2017年7月14日，在全国信安标委WG7工作组2017年第二次全体会议上汇报工作进展情况及草案v1.1文本，并听取来自工作组成员单位代表的意见和建议。2017年7月19日至28日，鉴于该标准专业性广和工作量大，扩建标准编制组，组成范围更广、专业全面的标准编制团队，并建立“《信息安全技术术语》编制组”微信群。2017年7月22日，选出GB/T25069—2010中不常用或过时的术语条款作为待删除项，基于ISO/IEC27000:2016《信息安全管理体系概述和词汇》增加新的常用术语条款，形成草案v1.2文本。2017年7月24日至26日，为便于在编制组内开展筛选术语和定义以及翻译其中尚未转标的国际标准中的术语条款，将草案v1.2的术语条款按照“通用类”、“信息安全管理体系类”、“密码技术与安全机制类”、“信息安全控制与服务类”、“信息安全评价与测试类”、“领域和行业信息安全类”以及“待删除”进行编排，形成草案v1.3文本。2017年7月26日至8月6日，将先后收到的翻译贡献纳入草案v1.3中，形成草案v1.3.1和草案v1.3.2文本。2017年8月，在扩建的编制组内分工开展术语及其定义的筛选和翻译工作，将分工成果和相关意见建议陆续纳入草案v1.3.2，先后形成草案v1.3.3（1～15）共15稿。2017年8月底至9月底，初步完成术语及其定义的筛选和翻译工作，并在编制组内进一步完善，先后形成草案v1.4和草案v1.4.1。2017年9月底至10月初，全面完成术语及其定义的筛选和翻译工作，形成草案v1.5。2017年10月11日，就标准草案v1.5召开专家评审会，深入探讨这项涉及面广、技术难度大且繁杂、庞大的工作如何更好和更有效地开展，听取了与会专家的意见和建议。2017年11月至2018年10月，将收集到的4772条术语和定义条目（其中，2476条来自169个国家标准，2296条来自142个国际标准）建立成《信息安全技术术语库》，然后沉下心来逐条整理（包括英文翻译改进）、研究和筛选，中间经过补漏增新的草案v1.6，形成了草案v1.7，准备在全国信安标委WG7工作组2018年第二次全体会议上汇报。2018年10月24日，在全国信安标委WG7工作组2018年第二次全体会议上汇报工作进展情况及草案v1.7文本，并听取来自工作组成员单位代表的意见和建议，经投票表决同意进入征求意见稿阶段。2018年11月，全面改进和完善草案v1.7后，形成征求意见稿v2.0，提交至全国信安标委秘书处。标准编制原则和确定主要内容的论据及解决的主要问题[如技术指标、参数、公式、性能要求、试验方法、检验规则等的论据，包括试验、统计数据，解决的主要问题。修订标准时应列出与原标准的主要差异和水平对比]编制原则权威性：为确保术语和定义的权威性，原则上选取已正式发布的国家标准或国际标准中的术语和定义。广泛性：为确保本标准的广泛适用性，尽量选取在多个国家标准和国际标准中出现的基本或通用术语。当一个术语具有多种定义时，选取最具普适性的定义，或按语境进行区分。便利性：为便于检索和使用，提供分类、英文排序和汉语拼音排序等多种方式相结合的术语条目编排。编制思路基于SACTC260制定的已发布国家标准和ISO/IECJTC1SC27制定的已发布国际标准中的术语和定义修订GB/T25069—2010。工作步骤如下：第一步：按照权威性原则，汇总SACTC260制定的已发布国家标准（包括GB/T25069—2010）和ISO/IECJTC1SC27制定的已发布国际标准中的所有术语和定义，将同名术语的所有定义并编辑在一起，以便于分析一个术语的多种定义和选取其最终定义。对术语和定义的来源标准，按照“信息安全管理体系类”、“密码技术与安全机制类”、“信息安全控制与服务类”、“信息安全评价与测试类”和“领域和行业信息安全类”五大类进行组织，并依此归类出自相应标准的术语。第二步：按照广泛性原则，选取基本或通用的术语和定义，并翻译其中未转标的国际标准中的术语和定义。对于多条定义的同名术语，选取策略如下：（1）对于直接引用或定义相同的多条同名术语，选择原始标准的定义。（2）对于同名但定义不同的多条术语，如果定义是在不同的语境下且不能适用于其他语境，则选择合适语境下的定义（即同名术语依语境不同可能有多个定义）；如果定义是在相同或类似的语境下，则选择其中一个公认的定义。第三步：按照便利性原则，对选取出的术语和定义条款进行组织和排版，形成标准文本。主要试验[或验证]情况分析为确保该标准的权威性，其内容原则上选取已正式发布的国家标准或国际标准中的术语和定义。知识产权情况说明[相关知识产权情况的说明。如果在标准编制过程中识别出标准的某些技术内容涉及专利，则应列出相关专利的目录及其使用理由]无。产业化情况、推广应用论证和预期达到的经济效果[电子行业标准必须填写。对于国家标准如不要求此内容可删除章号和标题]该标准所提供的信息安全相关术语和定义是在信息安全领域进行沟通与交流的基础，也是编制信息安全相关标准的基础。采用国际标准和国外先进标准情况[采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，国内外关键指标对比分析或与测试的国外样品、样机的相关数据对比情况]该标准采用了最新的信息安全相关国际标准中适用的术语和定义。与现行相关法律、法规、规章及相关标准的协调性[与相关的现行法律、法规和规章的符合性，特别是与强制性国家标准的协调性，以及与同类标准和标准体系中其他标准的协调性说明]该标准符合我国相关的现行法律、法规和规章。由于该标准内容源自已正式发布的国家标准或国际标准，因此，该标准与强制性国家标准和相关其他标准是协调一致的。重大分歧意见的处理经过和依据无。标准性质的建议[建议是强制性标准还是推荐性标准，对于强制性标准必须列出强制的理由，强制范围]建议该标准作为推荐性国家标准发布实施。贯彻标准的要求和措施建议[内容包括组织措施、技术措施、过渡办法、实施日期等]该标准是信息安全的基础性标准，是在信息安全领域中进行沟通、研究、开发和实施的基本工具，因此，建议在所有信息安