國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》編制說(shuō)明

PAGE工作簡(jiǎn)況任務(wù)來(lái)源為加快建立信息安全審查制度，工業(yè)和信息化部擬率先開(kāi)展政府部門(mén)云計(jì)算服務(wù)安全審查。考慮到我國(guó)缺少云計(jì)算信息安全標(biāo)準(zhǔn)，本著急用先上的原則，工業(yè)和信息化部信息安全協(xié)調(diào)司于2013年3月啟動(dòng)了制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》（以下簡(jiǎn)稱(chēng)《能力要求》）的任務(wù)。2013年8月，《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》正式在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)。此外，另外一項(xiàng)支撐性的標(biāo)準(zhǔn)《信息安全技術(shù)云計(jì)算服務(wù)安全指南》（以下簡(jiǎn)稱(chēng)《指南》）已在2012年開(kāi)始由四川大學(xué)牽頭編制，上述兩項(xiàng)標(biāo)準(zhǔn)是政府部門(mén)云計(jì)算服務(wù)安全審查的基礎(chǔ)規(guī)范?！赌芰σ蟆酚芍袊?guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司所屬的中電信息技術(shù)研究院牽頭，四川大學(xué)、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)電子科技集團(tuán)公司第三十研究所、工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所、中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院、中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司等單位共同參與起草。主要工作過(guò)程1、2013年3月22日至4月3日（集中封閉）：標(biāo)準(zhǔn)編制組成立，廣泛調(diào)研并重點(diǎn)翻譯國(guó)內(nèi)外云計(jì)算安全相關(guān)標(biāo)準(zhǔn)，為本標(biāo)準(zhǔn)的編制奠定基礎(chǔ)封閉期間，編制組廣泛研究了國(guó)內(nèi)外云計(jì)算安全要求與管理規(guī)范，包括：1）美國(guó)聯(lián)邦系統(tǒng)安全控制的建議（NIST800-53）；2）美國(guó)聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理項(xiàng)目（FedRAMP）云計(jì)算安全基線(xiàn)要求；3）國(guó)際云安全聯(lián)盟《云安全指南（CSAGuide）》v3.0；4）國(guó)際標(biāo)準(zhǔn)ISO27017《基于ISO/IEC27002使用云計(jì)算服務(wù)的安全指南》（草案）；5）歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布的《云計(jì)算信息保障框架》等。其中，編制組詳細(xì)翻譯，并逐條討論校對(duì)了《FedRAMP云計(jì)算安全基線(xiàn)要求》，原文中的安全控制對(duì)應(yīng)NIST800-53第3版。2013年2月，NIST發(fā)布了第4版草案，與第3版相比增加了大量關(guān)于供應(yīng)鏈安全、信息流控制的內(nèi)容。為此，編制組在整理FedRAMP基線(xiàn)時(shí)同時(shí)列出了NIST800-53第3版及其對(duì)應(yīng)的第4版變化。對(duì)國(guó)外標(biāo)準(zhǔn)的研究和翻譯為后續(xù)標(biāo)準(zhǔn)制定工作奠定了堅(jiān)實(shí)基礎(chǔ)。2、2013年3月29日至3月30日（標(biāo)準(zhǔn)研討會(huì)）：初步確定標(biāo)準(zhǔn)題目、適用范圍、標(biāo)準(zhǔn)框架參加全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在成都組織召開(kāi)的“云計(jì)算安全標(biāo)準(zhǔn)研討會(huì)”，匯報(bào)了關(guān)于美國(guó)聯(lián)邦信息安全風(fēng)險(xiǎn)管理框架的研究成果，就《能力要求》的適用范圍和標(biāo)準(zhǔn)框架進(jìn)行了初步的梳理。匯報(bào)內(nèi)容得到與會(huì)領(lǐng)導(dǎo)和專(zhuān)家的肯定。3、2013年4月7日至4月19日（集中封閉、標(biāo)準(zhǔn)研討會(huì)、中美信息安全技術(shù)標(biāo)準(zhǔn)圓桌研討會(huì)）：初步形成標(biāo)準(zhǔn)草案，小范圍征求意見(jiàn)4月9日至4月11日，編制組深化上一階段研究成果，分成三個(gè)小組開(kāi)展工作：1）深入研究NIST800-53第四版對(duì)比第三版的更新之處，適當(dāng)采納Fedramp基線(xiàn)之外的安全措施，以充實(shí)第一階段匯總的Fedramp安全基線(xiàn)翻譯；2）研究SC27制定的ISO/IEC27017《基于ISO/IEC27002使用云計(jì)算服務(wù)的安全指南》草案，特別是其中關(guān)于安全管理的要求；3）研究CSA安全指南中的技術(shù)要求。在此基礎(chǔ)上，對(duì)《FedRAMP云計(jì)算安全基線(xiàn)要求》進(jìn)行了補(bǔ)充，向中國(guó)移動(dòng)研究院、中金數(shù)據(jù)、未來(lái)國(guó)際等云服務(wù)商征求意見(jiàn)。4月12日，組織內(nèi)部研討會(huì)，以《FedRAMP云計(jì)算安全基線(xiàn)要求》為基礎(chǔ)，初步確定了云計(jì)算安全要求的分類(lèi)；4月13日-14日，編制組向工信部、安標(biāo)委的領(lǐng)導(dǎo)和專(zhuān)家作了匯報(bào)，確定了標(biāo)準(zhǔn)各章節(jié)名稱(chēng)；2013年4月15日-19日，編制組成員對(duì)12類(lèi)安全要求進(jìn)行細(xì)化，整理形成初稿。內(nèi)容上重點(diǎn)參考了NIST800-53的低、中級(jí)安全要求。2013年4月16日，編制組參加了“第二屆中美信息安全技術(shù)標(biāo)準(zhǔn)圓桌研討會(huì)”，編制組成員聽(tīng)取了美方對(duì)云計(jì)算安全標(biāo)準(zhǔn)的理解和有關(guān)建議。4、2013年4月20日-5月20日（短期封閉、標(biāo)準(zhǔn)研討會(huì)2次）：完成第一版標(biāo)準(zhǔn)草案，討論并完善標(biāo)準(zhǔn)的內(nèi)容2013年4月20日至5月12日，編制組形成了第一版標(biāo)準(zhǔn)草案。2013年5月13日至5月20日，編制組詳細(xì)研究了美國(guó)于2013年4月30日正式發(fā)布的NIST800-53第4版的新增內(nèi)容，并將供應(yīng)鏈安全（SA-12）和信息流控制（AC-4）的有關(guān)要求納入了標(biāo)準(zhǔn)。5、2013年5月21日-5月31日（短期封閉、標(biāo)準(zhǔn)研討會(huì)1次）：根據(jù)討論意見(jiàn)并配合審查工作需要，調(diào)整思路開(kāi)始編寫(xiě)第二版標(biāo)準(zhǔn)草案為配合政府部門(mén)云計(jì)算安全審查工作的需要，以突出可操作性為目標(biāo)，編制組在內(nèi)容和形式上對(duì)第一版標(biāo)準(zhǔn)進(jìn)行了修改，重點(diǎn)對(duì)安全要求進(jìn)行了重新分類(lèi)，在標(biāo)準(zhǔn)形式上引入了“賦值”和“選擇”操作，不僅為用戶(hù)實(shí)施提供了靈活度，而且使近年來(lái)易受?chē)?guó)外質(zhì)疑的信息安全管理要求轉(zhuǎn)化為技術(shù)壁壘。為便于對(duì)云服務(wù)商進(jìn)行安全能力評(píng)估，編制組參考Fedramp的測(cè)試案例模板和安全計(jì)劃模板設(shè)計(jì)《能力要求》的安全計(jì)劃模版。6、2013年6月至今（組織短期封閉、標(biāo)準(zhǔn)研討會(huì)、征求意見(jiàn)、開(kāi)展標(biāo)準(zhǔn)宣貫、推動(dòng)標(biāo)準(zhǔn)試用）：完成第二版標(biāo)準(zhǔn)草案，在一定范圍征求意見(jiàn)編制組先后向編制組成員單位、部分國(guó)內(nèi)云服務(wù)商、評(píng)估機(jī)構(gòu)、個(gè)別政府部門(mén)代表征求意見(jiàn)，協(xié)調(diào)曙光等云服務(wù)商對(duì)標(biāo)準(zhǔn)進(jìn)行了試用，根據(jù)征求意見(jiàn)和使用情況，編制組對(duì)標(biāo)準(zhǔn)草案進(jìn)行了完善。2013年8月23日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG1工作組在北京召開(kāi)了評(píng)審會(huì)，《能力要求》通過(guò)專(zhuān)家評(píng)審，會(huì)后根據(jù)專(zhuān)家意見(jiàn)進(jìn)行了進(jìn)一步修改。編制原則和主要內(nèi)容編制原則一是充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)?！赌芰σ蟆烦浞謪⒖剂藝?guó)際、國(guó)內(nèi)有關(guān)云計(jì)算安全的先進(jìn)標(biāo)準(zhǔn)和技術(shù)規(guī)范。目前，《能力要求》已將美國(guó)Fedramp云安全基線(xiàn)要求、NIST800-53、ISO/IEC27017、CSA安全指南等相關(guān)標(biāo)準(zhǔn)的長(zhǎng)處進(jìn)行了吸收，基本覆蓋了上述標(biāo)準(zhǔn)的要求。特別是，考慮到“棱鏡門(mén)”事件反映出的國(guó)外IT產(chǎn)品和服務(wù)中潛在安全風(fēng)險(xiǎn)，《能力要求》特別借鑒了國(guó)際上關(guān)于供應(yīng)鏈信息安全管理的要求。二是保持技術(shù)中立，在提出安全要求時(shí)，不限制具體的實(shí)現(xiàn)方法。中立性是技術(shù)標(biāo)準(zhǔn)的基本特性，《能力要求》應(yīng)當(dāng)堅(jiān)持該原則。對(duì)云計(jì)算而言，《能力要求》更應(yīng)突出技術(shù)中立性。由于云計(jì)算技術(shù)仍處于發(fā)展應(yīng)用的初期，一些云安全解決方案還不成熟，《能力要求》原則上不對(duì)具體要求的實(shí)現(xiàn)方法做出規(guī)定，以便于為今后的技術(shù)發(fā)展留下空間。三是將政府主管部門(mén)的管理要求轉(zhuǎn)化為技術(shù)要素，為管理提供靈活度。《能力要求》在表述形式上作了創(chuàng)新。考慮到即使對(duì)同等安全能力水平的云服務(wù)商，其實(shí)現(xiàn)安全要求的方式也可能會(huì)有差異，為此引入了“賦值”和“選擇”這兩種操作，并以[賦值：……]和[選擇：……；……]的形式給出?！百x值”表示云服務(wù)商在實(shí)現(xiàn)安全要求時(shí)，要由云服務(wù)商定義具體的數(shù)值或內(nèi)容。“選擇”表示云服務(wù)商在實(shí)現(xiàn)安全要求時(shí)，應(yīng)選擇一個(gè)給定的數(shù)值或內(nèi)容。這種方式既避免了對(duì)云服務(wù)商直接提出強(qiáng)制性的安全要求，同時(shí)也框定了安全要求的邊界。這種創(chuàng)新為我國(guó)加強(qiáng)信息安全管理、應(yīng)對(duì)國(guó)際信息安全貿(mào)易斗爭(zhēng)提供了工具。四是明確信息安全責(zé)任?！赌芰σ蟆放c其他標(biāo)準(zhǔn)的一個(gè)重大區(qū)別是，傳統(tǒng)的信息安全指標(biāo)的實(shí)施主體明確，如由用戶(hù)負(fù)責(zé)或由服務(wù)商負(fù)責(zé)。但云環(huán)境下，安全措施的實(shí)施主體情況十分復(fù)雜，在Sass、Pass、Iass模式下各有不同，并且云計(jì)算服務(wù)的安全性需要由云服務(wù)商和政府用戶(hù)共同保障。為此，《能力要求》劃分了不同模式下安全措施的責(zé)任邊界，根據(jù)作用范圍將云計(jì)算安全措施分為公共措施、專(zhuān)用措施和混合措施。此外，為便于評(píng)估，本標(biāo)準(zhǔn)還研究制定了安全計(jì)劃模板，可作為云計(jì)算安全評(píng)估的重要依據(jù)。主要內(nèi)容《能力要求》對(duì)政府部門(mén)和重要行業(yè)使用的云計(jì)算服務(wù)提出了基本安全能力要求，反映了云服務(wù)商在保障云計(jì)算平臺(tái)上的信息和業(yè)務(wù)安全時(shí)應(yīng)具有的基本能力。標(biāo)準(zhǔn)對(duì)云服務(wù)商提出了一般要求和增強(qiáng)要求。根據(jù)擬遷移到社會(huì)化云計(jì)算平臺(tái)上的政府和行業(yè)信息、業(yè)務(wù)的敏感度及安全需求的不同，云服務(wù)商應(yīng)具備的安全能力也各不相同?！赌芰σ蟆分忻宽?xiàng)安全要求均以一般要求和增強(qiáng)要求的形式給出。增強(qiáng)要求是對(duì)一般要求的補(bǔ)充和強(qiáng)化。在實(shí)現(xiàn)增強(qiáng)要求時(shí)，一般要求應(yīng)首先得到滿(mǎn)足。有的安全要求中只列出了增強(qiáng)要求，一般要求標(biāo)為“無(wú)”。這表明具有一般安全能力的云服務(wù)商可以不實(shí)現(xiàn)此項(xiàng)安全要求。具有更高級(jí)安全要求的信息和業(yè)務(wù)不建議遷移到云計(jì)算平臺(tái)?！赌芰σ蟆诽岢龅陌踩蠓譃?0類(lèi)，分別是：——系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)在開(kāi)發(fā)云計(jì)算平臺(tái)時(shí)對(duì)其提供充分保護(hù)，為其配置足夠的資源，并充分考慮信息安全需求。云服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶(hù)提供與安全措施有關(guān)的文檔和信息，配合客戶(hù)完成對(duì)信息系統(tǒng)和業(yè)務(wù)的管理?！到y(tǒng)與通信保護(hù)：云服務(wù)商應(yīng)在云計(jì)算平臺(tái)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計(jì)、軟件開(kāi)發(fā)技術(shù)和軟件工程方法有效保護(hù)云計(jì)算平臺(tái)的安全性。——訪問(wèn)控制：云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計(jì)算平臺(tái)的客戶(hù)數(shù)據(jù)和用戶(hù)隱私，在授權(quán)信息系統(tǒng)用戶(hù)及其進(jìn)程、設(shè)備（包括其他信息系統(tǒng)的設(shè)備）訪問(wèn)云計(jì)算平臺(tái)之前，應(yīng)對(duì)其進(jìn)行身份標(biāo)識(shí)及鑒別，并限制授權(quán)用戶(hù)可執(zhí)行的操作和使用的功能。——配置管理：云服務(wù)商應(yīng)對(duì)云計(jì)算平臺(tái)進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護(hù)云計(jì)算平臺(tái)（包括硬件、軟件、文檔等）的基線(xiàn)配置和詳細(xì)清單，并設(shè)置和實(shí)現(xiàn)云計(jì)算平臺(tái)中各類(lèi)產(chǎn)品的安全配置參數(shù)。——維護(hù)：云服務(wù)商應(yīng)定期維護(hù)云計(jì)算平臺(tái)設(shè)施和軟件系統(tǒng)，并對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄?！獞?yīng)急響應(yīng)與災(zāi)備：云服務(wù)商應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計(jì)劃，包括對(duì)事件的預(yù)防、檢測(cè)、分析、控制、恢復(fù)等，對(duì)事件進(jìn)行跟蹤、記錄并向相關(guān)人員報(bào)告。服務(wù)商應(yīng)具備災(zāi)難恢復(fù)能力，建立必要的備份設(shè)施，確保客戶(hù)業(yè)務(wù)可持續(xù)。——審計(jì)：云服務(wù)商應(yīng)根據(jù)安全需求和客戶(hù)要求，制定可審計(jì)事件清單，明確審計(jì)記錄內(nèi)容，實(shí)施審計(jì)并妥善保存審計(jì)記錄，對(duì)審計(jì)記錄進(jìn)行定期分析和審查，還應(yīng)防范對(duì)審計(jì)記錄的未授權(quán)訪問(wèn)、篡改和刪除行為。——風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在異常和非授權(quán)情況發(fā)生時(shí)發(fā)出警報(bào)?！踩M織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶(hù)信息或業(yè)務(wù)的各類(lèi)人員（包括供應(yīng)商人員）上崗時(shí)具備履行其信息安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問(wèn)權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查，在人員調(diào)動(dòng)或離職時(shí)履行安全程序，對(duì)于違反信息安全規(guī)定的人員進(jìn)行處罰。——物理與環(huán)境保護(hù)：云服務(wù)商應(yīng)確保機(jī)房位于中國(guó)境內(nèi)，機(jī)房選址、設(shè)計(jì)、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對(duì)機(jī)房進(jìn)行監(jiān)控，嚴(yán)格限制各類(lèi)人員與運(yùn)行中的云計(jì)算平臺(tái)設(shè)備進(jìn)行物理接觸，確需接觸的，需通過(guò)云服務(wù)商的明確授權(quán)。主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果編制組已請(qǐng)曙光等云服務(wù)商對(duì)《能力要求》進(jìn)行了試用。曙光公司根據(jù)標(biāo)準(zhǔn)草案要求，對(duì)照安全計(jì)劃模版，在無(wú)錫、成都、包頭等地為政府部門(mén)提供云服務(wù)部署的多個(gè)云計(jì)算中心進(jìn)行了標(biāo)準(zhǔn)的試用，按照要求開(kāi)展了自評(píng)估，標(biāo)準(zhǔn)試用效果良好。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)水平的對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況信息安全標(biāo)準(zhǔn)已經(jīng)成為網(wǎng)絡(luò)空間國(guó)際競(jìng)爭(zhēng)的戰(zhàn)略制高點(diǎn)。特別是，云計(jì)算安全標(biāo)準(zhǔn)及其背后的管理政策將會(huì)對(duì)產(chǎn)業(yè)造成重大影響，也將限制國(guó)外大型云計(jì)算服務(wù)提供商滲透到我國(guó)敏感部門(mén)和重要行業(yè)，這必然引起國(guó)外機(jī)構(gòu)的強(qiáng)烈反應(yīng)。為此，編制組專(zhuān)門(mén)分析了國(guó)外機(jī)構(gòu)可能對(duì)《能力要求》的關(guān)切點(diǎn)，并在編制階段有針對(duì)性地研究了對(duì)策，將一些技術(shù)性的應(yīng)對(duì)策略融入了標(biāo)準(zhǔn)的正文之中。這其中，一項(xiàng)重要的對(duì)策是保持與國(guó)際標(biāo)準(zhǔn)的合理銜接，盡可能吸收國(guó)外云計(jì)算安全管理的經(jīng)驗(yàn)，以達(dá)到“以彼之道還施彼身”的效果。編制組參考、吸收的國(guó)外云計(jì)算安全相關(guān)標(biāo)準(zhǔn)、規(guī)范、指南主要包括：1）《美國(guó)聯(lián)邦系統(tǒng)安全控制的建議》（NIST800-53）。這是美國(guó)對(duì)聯(lián)邦政府信息安全的評(píng)估標(biāo)準(zhǔn)。2）聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理項(xiàng)目（FedRAMP）安全基線(xiàn)要求。該要求基于NIST800-53，針對(duì)云計(jì)算服務(wù)，提出了低級(jí)和中級(jí)要求，是美國(guó)政府實(shí)施云計(jì)算安全評(píng)估的主要技術(shù)規(guī)范，《能力要求》的主要內(nèi)容來(lái)自該規(guī)范。3）國(guó)際標(biāo)準(zhǔn)ISO/IECWDTS27017《基于ISO/IEC27002使用云計(jì)算服務(wù)的安全指南》。該標(biāo)準(zhǔn)目前仍處于草案階段，《能力要求》吸收了其成熟的技術(shù)要素。4）國(guó)際云安全聯(lián)盟（CSA）發(fā)布的《云安全指南（CSAGuide）》v3.0。該規(guī)范已被產(chǎn)業(yè)界普遍接受，《能力要求》吸收了其主要內(nèi)容。5）歐洲網(wǎng)絡(luò)與信息安全局(ENISA)發(fā)布的《云計(jì)算信息保障框架》。6）德國(guó)云計(jì)算提供商安全建議白皮書(shū)等。本標(biāo)準(zhǔn)力求在技術(shù)要素上覆蓋國(guó)際權(quán)威云計(jì)算安全標(biāo)準(zhǔn)。同時(shí)，為落實(shí)國(guó)家對(duì)云計(jì)算安全管理的政策要求，滿(mǎn)足當(dāng)前云計(jì)算信息安全審查工作需要，標(biāo)準(zhǔn)在保持技術(shù)中立的前提下，提出了大量擴(kuò)展要求。與國(guó)外相關(guān)標(biāo)準(zhǔn)的一個(gè)顯著區(qū)別是，國(guó)外標(biāo)準(zhǔn)在過(guò)于關(guān)注技術(shù)中立性的同時(shí)，對(duì)云計(jì)算的技術(shù)特點(diǎn)反映不多，但《能力要求》充分考慮了云計(jì)算的安全特性，如重點(diǎn)提出了虛擬化技術(shù)的安全。考慮到信息安全貿(mào)易領(lǐng)域國(guó)際斗爭(zhēng)的需要，編制組對(duì)本標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系作了認(rèn)真梳理，足以應(yīng)對(duì)國(guó)外政府和產(chǎn)業(yè)界的質(zhì)疑。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系《能力要