注册

国家标准计划《网络安全技术 电子文档安全管理产品技术规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委

主要起草单位 上海国际技贸联合有限公司公安部第三研究所中国网络安全审查技术与认证中心北京亿赛通科技发展有限责任公司中孚信息股份有限公司北京时代亿信科技股份有限公司北京万里红科技有限公司深圳市联软科技股份有限公司北京北信源软件股份有限公司北京鼎普科技股份有限公司北京数字认证股份有限公司

目录

基础信息

制修订
制定
项目周期
18个月
申报日期
2024-02-21
公示开始日期
2024-04-22
公示截止日期
2024-05-22
标准类别
产品
国际标准分类号
35.030
35 信息技术、办公机械
归口单位
全国网络安全标准化技术委员会
执行单位
全国网络安全标准化技术委员会
主管部门
国家标准委

起草单位

目的意义

随着信息化建设的迅速发展,电子资产的安全管理变得异常重要;其中,电子文档已经成为企、事业单位最重要的资产之一,甚至是赖以生存的基础。

重要电子文档的丢失、非授权读取和篡改将会给企、事业单位造成重大的经济损失。

许多单位或部门都在加强对电子文档的访问控制与行为审计,从而有效的防止企、事业单位重要文件的非授权外泄、读取和篡改。

电子文档安全管理产品针对电子文档自身安全性低、容易丢失、非授权读取、篡改且难于统一管理的特点,通过对电子文档的身份认证、访问控制、审计机制等管理手段,实现阻止对电子文档的非授权操作,形成对电子文档的统一管理、统一认证、监控和审计。

电子文档安全管理产品由于其安全功能属性,成为网络运营者、关键信息基础设施运营者管理电子文档的重要技术抓手,一旦产品自身存在安全隐患,将会为重要信息系统和关键信息基础设施引入极大的安全风险。

为了规范电子文档安全管理产品的安全功能使其有效保护企、事业单位的重要电子文档,同时,为了降低该类产品潜在的安全隐患,有必要针对电子文档安全管理产品制定相应的国家标准。

本项目标准的制定一方面支撑电子文档安全管理产品的规范化管理,一方面为网络安全专用产品的安全检测提供标准化技术支撑。

范围和主要技术内容

本项目在编制主要规范电子文档安全管理产品的安全功能要求、安全保障要求和测试评价方法,适用于电子文档安全管理产品的研发、采购、使用、维护、管理和检测,使其更好地应用于重要信息系统和关键信息基础设施中。其中: (1)安全功能要求: 主要包括可信主机管理、安全电子文档管理、安全电子文档认证、安全标记、访问控制、组件安全、管理员安全管理、用户安全管理、审计功能等。 (2)安全保障要求: 主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定等。 (3)产品分级方面: 根据电子文档安全管理产品的功能强度及参照网络安全等级保护制度、关键信息基础设施安全保护制度等对上述安全技术要求(包括安全功能要求和安全保障要求)进行分级,拟分为基本级和增强级。 (4)测试评价方法: 针对电子文档安全管理产品的安全功能要求、安全保障要求等安全技术要求,提出对应的测试评价方法,为电子文档安全管理产品测试评价提供技术准则。