以网络安全标准化工作助力网络强国建设

杨旭东，全国网络安全标准化技术委员会秘书长，中国电子技术标准化研究院院长

标准是经济活动和社会发展的技术支撑，是国家基础性制度的重要方面。党的十八大以来，习近平总书记高度重视标准化工作，提出要以高标准助力高技术创新，促进高水平开放，引领高质量发展。近年来，我国加快网络安全标准体系建设，制定发布412项网络安全国家标准，其作为国家网络安全保障体系的重要组成部分，在支撑法律法规、规范产品市场、支持重点工作、指导产业发展、引导新技术应用等方面发挥着重要作用。

我国网络安全标准化工作取得积极进展

近年来，我国网络安全标准化工作取得积极进展，形成一批重要的国家标准和具有技术前瞻性的国际标准，为夯实技术基础、规范产业发展、提升治理能力提供了有力支撑。

第一，构建了较为完善、协调配套的网络安全国家标准体系。

目前，已发布、在研的网络安全国家标准主要涉及密码、鉴别与授权、安全评估、通信安全、安全管理、数据安全、新技术安全等领域，构建了较为完善、协调配套的网络安全国家标准体系框架，为国家网络安全相关法律法规和重点工作的落地实施提供了有力支撑。

一是有效支撑网络安全等级保护和云计算服务安全评估工作。制定发布《信息安全技术网络安全等级保护定级指南》《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》等系列标准，有效指导全国重要信息系统开展定级备案、安全建设整改、等级测评等各项工作，为建立网络安全等级保护制度提供标准支撑。制定发布《信息安全技术云计算服务安全指南》《信息安全技术云计算服务安全能力要求》等云安全标准，建立云计算服务安全评估制度，指导政府部门安全使用云服务，促进云服务商提升安全水平。

二是助力密码产业发展和商用密码应用安全性评估实施。支撑《中华人民共和国密码法》落地实施，研制发布SM2、SM3、SM4、SM9、ZUC等商用密码算法国家标准18项，着力构建支撑《中华人民共和国密码法》实施应用、适应我国产业发展需要的国产商用密码算法技术体系；制定发布《信息安全技术 信息系统密码应用基本要求》《信息安全技术 信息系统密码应用测评要求》等29项国家标准，为商用密码应用安全性评估以及系统在使用密码服务时接口的统一提供依据。

三是深入服务数据安全和个人信息保护工作。目前已制定发布《信息安全技术个人信息安全规范》《数据安全技术数据分类分级规则》《信息安全技术数据安全能力成熟度模型》等42项国家标准，正在制修订《数据安全技术 电子产品信息清除技术要求》等2项强制性国家标准和18项推荐性国家标准，研制发布《网络安全标准实践指南—网络数据安全风险评估实施指引》等23项标准技术文件，初步构建数据安全和个人信息保护标准体系，支撑《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规和数据安全管理制度落地实施，指导数据处理者提升数据安全能力和个人信息保护水平。

四是引导人工智能产业规范发展。落实《全球人工智能治理倡议》，发布《人工智能安全治理框架》1.0版，明确人工智能安全治理原则，梳理面临的安全风险，并提出相应技术应对和综合防治措施。聚焦人工智能技术应用与产业治理需要，研制发布强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》和《网络安全技术 生成式人工智能服务安全基本要求》《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》等推荐性国家标准，为支撑建立《生成式人工智能服务管理暂行办法》等人工智能安全管理制度、提升我国人工智能产业链供应链韧性和安全水平发挥标准作用。

五是规范网络关键设备和网络安全专用产品检测及互联互通工作。配套新版《网络关键设备和网络安全专用产品目录》，推动路由器、交换机、防火墙等网络关键设备和网络安全专用产品标准的制修订工作，为网络安全产品安全检测工作奠定基础。针对不同网络安全产品难以有效协同防御的问题，研制发布《网络安全技术网络安全产品互联互通第1部分：框架》等国家标准，正在制订网络安全产品互联互通的功能接口、资产信息格式、威胁信息格式、行为信息格式、告警信息格式等标准，为高效开展网络安全监测预警、信息共享等应用提供标准支撑。

六是体系化推进关键信息基础设施安全标准化工作。支撑《关键信息基础设施安全保护条例》落地实施，推动发布《信息安全技术关键信息基础设施安全保护要求》，统筹推进关键信息基础设施边界确定方法、能力指标体系、监测预警、主动防御等标准研制，支撑关键信息基础设施安全保护工作，指导关键信息基础设施运营者提升风险识别、威胁响应和抵御网络攻击的能力。

第二，我国网络安全国际标准的参与度和影响力不断增强。

目前，我国牵头和参与的网络安全国际标准项目总数62项，其中已发布36项、在研26项。我国逐步从最初的跟踪研究转变为实质参与，并将我国自主技术创新成果输出到国际层面，切实增强了在国际标准化活动中的话语权。

一是推动我国国际标准提案取得多项突破。包含国产密码算法SM2、SM3、SM4、SM9和ZUC的国际标准正式发布，为我国密码产业向国际化发展奠定了坚实标准基础；我国牵头提出的《信息技术 安全技术 虚拟信任根建立要求》《网络安全 工业互联网平台安全参考模型》《网络安全 物联网安全与隐私 家庭物联网指南》等国际标准发布，为不同企业间的互联互通、工业互联网应用和发展等作出中国贡献。

二是承办国际会议和重要交流研讨活动。2009年、2018年分别在北京、武汉承办国际标准化组织ISO/IEC JTC1/SC27（信息安全、网络安全和隐私保护分委员会，以下简称“SC27”）工作组会议和全体会议，2024年再次成功申请承办2025年9月的SC27工作组会议和全体会议。2012年起，组织召开三届“中美信息安全技术标准圆桌研讨会”，促进双方在信息安全领域加强了解和支持。2019年，与德国标准化协会信息技术与应用标准化委员会签订合作谅解备忘录，建立常态化合作交流机制。

三是壮大网络安全国际标准化专家队伍。定期组织国际标准基础知识培训，不断提升注册专家的国际标准化工作水平和能力，鼓励更多专家担任国际标准化组织职务。目前，SC27国际标准注册专家人数达187人，储备了一批国际标准化人才。

我国网络安全标准化工作面临的挑战

面对新技术快速迭代和国际竞争格局重塑带来的深刻变化，网络安全标准化工作面临新变化新挑战，亟须强体系、补短板、提效能，推动我国网络安全标准化工作高质量发展。

第一，新技术新应用新业态快速发展，对标准研制提出更高要求。随着下一代互联网、大语言模型、具身智能、智能驾驶、低空经济、脑机接口、量子信息、数据空间等新兴未来产业的发展，新技术新应用新业态在带动社会生活变革的同时，也存在不可忽视的新的安全风险。这就需要我们加强网络安全标准前瞻研究，增加标准文件供给，加速标准研制过程，提高标准对新技术新应用新业态的引导规范作用。

第二，国际竞争格局重塑对网络安全国际标准工作带来新挑战。当前，围绕网络空间、数字主权的国际治理博弈愈演愈烈，国际标准作为世界“通用语言”，网络安全国际标准化工作也面临较大挑战。主要国家和地区加快布局网络空间安全重点领域国际标准，特别是后量子密码、人工智能、消费者隐私设计、数字身份等方向，各国纷纷抢占国际标准话语权，试图通过标准体系构建技术壁垒并强化市场控制力。同时，我国企业“走出去”也存在标准规则不一致、技术标准“卡脖子”问题。这就需要我们更加主动参与、积极引导网络安全国际标准制定，努力争取在网络空间安全规则的话语权和影响力。

第三，部分标准存在重标准研制轻实施应用的情况。衡量一个标准的生命力关键是看其“用”的效果如何。当前，网络安全国家标准在研制过程中投入很大力度，但部分标准仅强调文本质量，未针对标准需求开展充分试点，发布之后没有配套的应用推广工作，缺乏系统的解读和宣贯，导致部分标准应用效果不佳。这就要求我们要从标准全生命周期管理入手，采取多种形式和举措，有力有效推动网络安全国家标准的落地实施。

第四，网络安全标准化人才结构有待优化。网络安全标准化工作机制需要不断改进和完善，标准化工作参与人员的能力有待进一步提升。近年来，我国在网络安全学科建设、人才选拔等方面都取得了一定成就，但真正懂标准、做标准、用标准的网络安全标准化人才仍与我国网民数量和大国地位不相匹配，国际标准化和高端复合型标准化人才紧缺，标准化工作参与人员的专业性和专职性不够，因此仍需吸纳精通专业技术、熟练掌握标准化工作规则的网络安全标准化人才。

加强我国网络安全标准化工作的策略

网络安全标准化工作要站在构建大网络安全工作格局的高度，以标准“快”“优”“强”为目标，抓重点、求实效、谋布局，为实现“十五五”期间网络安全标准化工作良好开局打下坚实基础。

第一，不断强化标准顶层设计。围绕《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规实施，既主动对接国家网络安全战略需求，支撑好各主管部门做到同频共振，又有效衔接技术产业和行业发展趋势，明确重点任务、标准体系和建设路线，形成以标准引领数字经济与产业健康发展的新格局。

第二，提前布局急需标准研究。一方面，基于问题导向、急用先行原则，积极发挥标准的规范作用，抓紧研究完善关键信息基础设施安全保护、数据分类分级保护、网络安全产品互联互通、个人信息保护等基础标准，同时规范引导大型互联网平台、未成年人产品与服务、人工智能应用等健康发展；另一方面，用发展的眼光谋划推进工作，围绕下一代互联网、人工智能、后量子密码、低空经济等新技术新应用新业态面临的安全问题，开展标准需求研究，不断提升标准化工作的基础性、规范性和引领性。

第三，深度参与国际规则制定。加强网络安全国际标准交流合作，积极申请承办国际标准会议活动，以标准化为媒介搭建国际沟通的技术桥梁。深入参与网络安全国际规则和标准制定，充分调研国内外网络安全标准和应用成果，动态开展国际国内标准对比分析，将我国先进技术成果转化为标准应用实践。建立国际标准化专家队伍，加强国际标准化技术培训，培养更多网络安全国际标准化人才。

第四，着力提升标准实施成效。依托国家网络安全宣传周、世界标准日、全民国家安全教育日等国家大型活动平台，组织举办网络安全重要标准宣贯活动；举办网络安全国家标准贯标应用深度行、标准应用推进计划等活动，推动网络安全标准走进行业、企业、地方和校园，指导网络安全一线从业者学标准、懂标准、用标准；持续加强网络安全标准试点验证和应用推广工作，建立健全网络安全国家标准应用案例库，以先进标准应用实践经验带动网络安全标准在产业落地。

第五，持续夯实标准化能力建设。不断完善标准化组织管理制度，优化运行机制，提升标准项目管理效能，实施网络安全标准参与方、标准实施应用效果等多维度评价机制，形成标准研制、试点、实施、复审管理闭环。持续培养网络安全标准化人才，提升网络安全标准化工作参与人员能力。同时，加强网络安全标准化运营机制研究和标准数智化服务能力开发，为建立国内领先、国际一流的网络安全标准化技术组织奠定基础。

新时代网络安全标准化工作要着眼于网络空间和信息技术发展趋势，围绕构建大网络安全工作格局，建立健全网络安全国家标准体系，加快弥补关键基础标准短板，强化重点急需标准供给，着力推动标准应用实施和国际标准化工作，提高标准质量和标准化工作水平，为网络强国、数字中国建设和数字经济高质量发展保驾护航。

来源：《中国网信》2025年第8期

声明：本文来自中国网信杂志，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。