工作簡況[內容包括下達計劃任務主管部門的完整名稱、項目計劃發(fā)布文件號、本項目的計劃代號和主要承辦單位完整名稱、副主辦單位或協(xié)作單位完整名稱、主要工作過程、主要起草人及其所做的工作等]任務來源《信息安全技術術語》國家標準修訂是中央網(wǎng)信辦網(wǎng)絡安全協(xié)調局（國家互聯(lián)網(wǎng)信息辦公室）2016年下達的國家標準修訂項目。2017年經國家標準化管理委員會（SAC）批準，納入2017年度國家標準制修訂計劃（國標委綜合〔2017〕72號），項目計劃代號為20170573-T-469。參與單位本標準由全國信息安全標準化技術委員（TC260）會提出并歸口，主要承辦單位是中電長城網(wǎng)際系統(tǒng)應用有限公司，副主辦單位是中國電子技術標準化研究院，協(xié)作單位有中國信息安全研究院有限公司、中國信息安全測評中心、中國信息安全認證中心、中國軟件評測中心、國家信息中心、國家計算機網(wǎng)絡應急技術處理協(xié)調中心、公安部第三研究所、北京信息安全測評中心、陜西省網(wǎng)絡與信息安全測評中心、清華大學、四川大學、山東大學、西安西電捷通無線網(wǎng)絡通信股份有限公司、上海三零衛(wèi)士信息安全有限公司、華為技術有限公司、浙江螞蟻小微金融服務集團有限公司、北京匡恩網(wǎng)絡科技有限責任公司、北京恒昌利通投資管理有限公司、亞信安全、微軟（中國）有限公司等。項目背景2010年發(fā)布的國家標準GB/T25069—2010《信息安全技術術語》給出了與信息安全領域相關的概念的術語及其定義，并明確了各術語詞條之間的關系。該標準的分類原則是根據(jù)國外信息安全術語相關的分類方法，結合國內的實踐經驗，和國家標準現(xiàn)狀，按三部分來組織編制最基本的信息安全術語：（1）信息安全一般概念術語；（2）信息安全技術術語，包括實體類、攻擊與保護類、鑒別與密碼類、備份與恢復類；（3）信息安全管理術語，包括管理活動和支持管理活動的技術，主要涉及安全管理、安全測評和風險管理等基本概念及相關的管理技術。隨著網(wǎng)絡的廣泛應用，新技術新業(yè)態(tài)的不斷涌現(xiàn)，一些新的信息安全術語被提出，與此同時GB/T25069—2010《信息安全技術術語》中的部分術語的內涵發(fā)生了改變。國際標準化組織ISO/IECJTC1SC27（信息安全技術分委員會）的常設文件SD6《IT安全術語匯編》匯集出自ISO/IECJTC1SC27的已發(fā)布國際標準中術語和定義，是國際上認可度很高的有關信息安全的術語匯編，并得到廣泛應用。每年更新兩次，2017年11月版中的術語詞條數(shù)量已達2517條。美國NISTIR7298《關鍵信息安全術語匯編》匯集NIST聯(lián)邦信息處理標準（FIPS）、特別出版物（SP）800系列、NIST部門間報告（NISTIR）和國家安全系統(tǒng)委員會指令4009（CNSSI-4009）中的常用信息安全術語，并在標準制定和技術研發(fā)中得到廣泛應用。從2006年4月最初版本的87頁，經2011年2月和2013年5月兩次修訂已達222頁。在NISTSP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》中，通過附錄引用并特化了其中的術語。RFC術語集在制定各種標準時，引用并特例化了相應的術語，給出一組術語集。為了加強信息安全技術的標準化建設，方便學術界、產業(yè)界、政府部門的溝通與交流以及加深對國際標準理解，為避免信息安全技術術語的滯后和缺失，有必要修訂GB/T25069—2010《信息安全技術術語》。工作過程2016年8月，與中央網(wǎng)信辦網(wǎng)絡安全協(xié)調司（國家互聯(lián)網(wǎng)信息辦公室）簽訂課題委托合同書。2017年6月，國家標準化管理委員會正式下達《信息安全技術術語》國家標準修訂計劃。2016年10月12日，召開項目啟動會暨專家咨詢會，聽取與會專家針對標準編制思路和內容的意見和建議，確定了以全國信息安全標準化技術委員會（以下簡稱“全國信安標委”）（TC260）編制的已發(fā)布國家標準和ISO/IECJTC1SC27（信息技術委員會安全技術分委員）編制的已發(fā)布國際標準中的術語和定義為主線的編寫路線。2016年10月至2107年3月，收集、分類和整理了TC260國家標準（176項）和SC27國際標準（164項）及其全部的術語和定義（3708條），形成了按5個一級類別（信息安全管理體系類、密碼技術與安全機制類、信息安全控制與服務類、信息安全評價與測試類、領域和行業(yè)信息安全類）和53個二級類別排版的標準修訂草案v0.1（650頁）。2017年3月25日，建立“國家標準《信息安全技術術語》修訂”資料共享庫，包括標準文本、相關資料和征集貢獻；同時，建立“《信息安全技術術語》修訂”微信群，在信息安全業(yè)界征集加入人員，目前規(guī)模達103人。在群中介紹該標準的編制思路和仍需做的工作，并征集相關貢獻。2017年4月8日，在全國信安標委2017年第一次工作組會議周期間WG7工作組2017年第一次全體會議上匯報工作進展情況及草案v0.1文本，并聽取來自工作組成員單位代表的意見和建議。2017年4月至5月，為了避免編輯超大文件，按照一級分類將草案v0.1拆分為5個文件并改進內容，形成5個草案v0.2文本。2017年6月初，將收到的術語和定義翻譯貢獻（385條）納入草案文本中，形成對應一級分類的5個草案v0.3文本。2017年6月8日，召開草案專家征求意見會，匯報標準編制的基本思路、目前進展和遇到問題，聽取與會專家的意見和建議。經討論，決定改變選取TC260國家標準和SC27國際標準的術語和定義全集作為標準內容的做法。新的做法是基于GB/T25069—2010已收錄的術語和定義，從草案v0.1的3708條中分別摘出這些術語的所有定義并編輯在一起，以便于分析一個術語的多種定義和選取其最終定義。另外，刪除GB/T25069—2010中不常用或過時的術語和定義，增加新的常用術語和定義（主要是基于草案v0.1）。2017年6月至7月中旬，按照上述新的做法，基于GB/T25069—2010已收錄的術語和定義，從草案v0.1的3708條中分別摘出這些術語的所有定義并編輯在一起，形成草案v1.1文本。2017年7月14日，在全國信安標委WG7工作組2017年第二次全體會議上匯報工作進展情況及草案v1.1文本，并聽取來自工作組成員單位代表的意見和建議。2017年7月19日至28日，鑒于該標準專業(yè)性廣和工作量大，擴建標準編制組，組成范圍更廣、專業(yè)全面的標準編制團隊，并建立“《信息安全技術術語》編制組”微信群。2017年7月22日，選出GB/T25069—2010中不常用或過時的術語條款作為待刪除項，基于ISO/IEC27000:2016《信息安全管理體系概述和詞匯》增加新的常用術語條款，形成草案v1.2文本。2017年7月24日至26日，為便于在編制組內開展篩選術語和定義以及翻譯其中尚未轉標的國際標準中的術語條款，將草案v1.2的術語條款按照“通用類”、“信息安全管理體系類”、“密碼技術與安全機制類”、“信息安全控制與服務類”、“信息安全評價與測試類”、“領域和行業(yè)信息安全類”以及“待刪除”進行編排，形成草案v1.3文本。2017年7月26日至8月6日，將先后收到的翻譯貢獻納入草案v1.3中，形成草案v1.3.1和草案v1.3.2文本。2017年8月，在擴建的編制組內分工開展術語及其定義的篩選和翻譯工作，將分工成果和相關意見建議陸續(xù)納入草案v1.3.2，先后形成草案v1.3.3（1～15）共15稿。2017年8月底至9月底，初步完成術語及其定義的篩選和翻譯工作，并在編制組內進一步完善，先后形成草案v1.4和草案v1.4.1。2017年9月底至10月初，全面完成術語及其定義的篩選和翻譯工作，形成草案v1.5。2017年10月11日，就標準草案v1.5召開專家評審會，深入探討這項涉及面廣、技術難度大且繁雜、龐大的工作如何更好和更有效地開展，聽取了與會專家的意見和建議。2017年11月至2018年10月，將收集到的4772條術語和定義條目（其中，2476條來自169個國家標準，2296條來自142個國際標準）建立成《信息安全技術術語庫》，然后沉下心來逐條整理（包括英文翻譯改進）、研究和篩選，中間經過補漏增新的草案v1.6，形成了草案v1.7，準備在全國信安標委WG7工作組2018年第二次全體會議上匯報。2018年10月24日，在全國信安標委WG7工作組2018年第二次全體會議上匯報工作進展情況及草案v1.7文本，并聽取來自工作組成員單位代表的意見和建議，經投票表決同意進入征求意見稿階段。2018年11月，全面改進和完善草案v1.7后，形成征求意見稿v2.0，提交至全國信安標委秘書處。標準編制原則和確定主要內容的論據(jù)及解決的主要問題[如技術指標、參數(shù)、公式、性能要求、試驗方法、檢驗規(guī)則等的論據(jù)，包括試驗、統(tǒng)計數(shù)據(jù)，解決的主要問題。修訂標準時應列出與原標準的主要差異和水平對比]編制原則權威性：為確保術語和定義的權威性，原則上選取已正式發(fā)布的國家標準或國際標準中的術語和定義。廣泛性：為確保本標準的廣泛適用性，盡量選取在多個國家標準和國際標準中出現(xiàn)的基本或通用術語。當一個術語具有多種定義時，選取最具普適性的定義，或按語境進行區(qū)分。便利性：為便于檢索和使用，提供分類、英文排序和漢語拼音排序等多種方式相結合的術語條目編排。編制思路基于SACTC260制定的已發(fā)布國家標準和ISO/IECJTC1SC27制定的已發(fā)布國際標準中的術語和定義修訂GB/T25069—2010。工作步驟如下：第一步：按照權威性原則，匯總SACTC260制定的已發(fā)布國家標準（包括GB/T25069—2010）和ISO/IECJTC1SC27制定的已發(fā)布國際標準中的所有術語和定義，將同名術語的所有定義并編輯在一起，以便于分析一個術語的多種定義和選取其最終定義。對術語和定義的來源標準，按照“信息安全管理體系類”、“密碼技術與安全機制類”、“信息安全控制與服務類”、“信息安全評價與測試類”和“領域和行業(yè)信息安全類”五大類進行組織，并依此歸類出自相應標準的術語。第二步：按照廣泛性原則，選取基本或通用的術語和定義，并翻譯其中未轉標的國際標準中的術語和定義。對于多條定義的同名術語，選取策略如下：（1）對于直接引用或定義相同的多條同名術語，選擇原始標準的定義。（2）對于同名但定義不同的多條術語，如果定義是在不同的語境下且不能適用于其他語境，則選擇合適語境下的定義（即同名術語依語境不同可能有多個定義）；如果定義是在相同或類似的語境下，則選擇其中一個公認的定義。第三步：按照便利性原則，對選取出的術語和定義條款進行組織和排版，形成標準文本。主要試驗[或驗證]情況分析為確保該標準的權威性，其內容原則上選取已正式發(fā)布的國家標準或國際標準中的術語和定義。知識產權情況說明[相關知識產權情況的說明。如果在標準編制過程中識別出標準的某些技術內容涉及專利，則應列出相關專利的目錄及其使用理由]無。產業(yè)化情況、推廣應用論證和預期達到的經濟效果[電子行業(yè)標準必須填寫。對于國家標準如不要求此內容可刪除章號和標題]該標準所提供的信息安全相關術語和定義是在信息安全領域進行溝通與交流的基礎，也是編制信息安全相關標準的基礎。采用國際標準和國外先進標準情況[采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，國內外關鍵指標對比分析或與測試的國外樣品、樣機的相關數(shù)據(jù)對比情況]該標準采用了最新的信息安全相關國際標準中適用的術語和定義。與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性[與相關的現(xiàn)行法律、法規(guī)和規(guī)章的符合性，特別是與強制性國家標準的協(xié)調性，以及與同類標準和標準體系中其他標準的協(xié)調性說明]該標準符合我國相關的現(xiàn)行法律、法規(guī)和規(guī)章。由于該標準內容源自已正式發(fā)布的國家標準或國際標準，因此，該標準與強制性國家標準和相關其他標準是協(xié)調一致的。重大分歧意見的處理經過和依據(jù)無。標準性質的建議[建議是強制性標準還是推薦性標準，對于強制性標準必須列出強制的理由，強制范圍]建議該標準作為推薦性國家標準發(fā)布實施。貫徹標準的要求和措施建議[內容包括組織措施、技術措施、過渡辦法、實施日期等]該標準是信息安全的基礎性標準，是在信息安全領域中進行溝通、研究、開發(fā)和實施的基本工具，因此，建議在所有信息安