一、任務來源根據國家標準化管理委員會2013年下達的國家標準制修訂計劃，國家標準《信息安全技術信息網絡安全管理技術支撐平臺技術要求》由浙江遠望信息股份有限公司承擔標準制定任務，標準計劃號為20130334-T-469。二、標準必要性和意義在信息系統互連互通的大環境下，信息網絡安全的實質就是保障和維護國家主權、國家安全、社會穩定、經濟安全與發展和公民合法權益。信息網絡安全標準化是信息系統安全性的重要保證，是國家信息安全規范化、制度化、法制化發展的首要條件。是確保有關信息安全的產品和系統在設計、研發、生產、建設、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術規范、技術依據。沒有自主開發的安全標準，就不能構造出一個自主可控的信息安全保障體系，就難以保證國家安全和國家利益。因此，信息安全標準是我國信息安全保障體系的重要組成部分。我國信息安全標準化工作，雖然起步較晚，但是近年來發展較快，本著積極采用、鑒戒國際標準，自主規劃和制定國內標準的原則，轉化了一批國際信息安全基礎技術標準，制定了一批符合中國國情的信息安全標準，如在信息網絡安全風險評估、事件管理、應急響應等方面制定了一系列的技術標準，明確了信息系統等級保護劃分準則和一系列的等級保護實施標準，同時也制定了一系列針對特定安全風險的安全產品（如入侵檢測與防護、病毒查殺與防范、邊界準入與控制等）技術標準。但是針對政務和企事業單位復雜信息網絡環境下不斷演化的各類安全風險，國內尚缺乏一套從信息與網絡安全管理的全局性需求出發，將安全管理和安全技術有機融合的產品技術標準。本標準（信息安全技術信息網絡安全管理技術支撐平臺技術要求）以GB17859-1999《計算機信息系統安全保護等級劃分準則》、GB/T22239-2008《信息系統安全等級保護基本要求》、GB/Z24364-2009《信息安全風險管理指南》、GB/Z20985-2007《信息安全事件管理指南》為依據，吸取國內外先進的信息安全標準的相關內容，根據我國當前政府和企事業單位信息網絡安全保障的實際需求：實現安全管理工作的信息化；實現人、管理、技術三個層面的融合；實現安全監管技術的融合；面對政府和企事業單位網絡中的邊界安全、保密安全、網站安全、應用安全、數據安全、基礎安全、運行安全等方面風險，構建有效的監測、響應和防護的安全管理模型。制定出對我國現階段信息與網絡安全管理支撐平臺產品的設計、開發具有指導意義的標準文檔。以便于不同廠家在產品化過程中按照統一的要求和規范進行設計和生產，以確保產品功能要求符合技術要求中的規定，同時也能對作為產品的其它必備的功能進行規范評測，對產品開發過程的規范化和全程質量管理也會有促進作用。主要工作過程（1）2012.12月—2013.6月，學習查閱我國及有關行業安全法規、政策及規范性文件；調研我國政府和企事業單位信息網絡安全監管現狀、分析安全態勢變化及原因，提出標準草案初稿。（2）2013.6月—2015.8月，對形成的《信息安全技術信息網絡安全管理技術支撐平臺技術要求》標準草案初稿，廣泛征求業界和專家意見，工作組專家對標準進行了多次審查，召開了多次會議，并與專家多次商討并征求意見。（3）2015.9月—2016.5月，根據前期專家提出的意見，對標準草案初稿進行集中修改，形成較完善的標準草案。（4）2015.6月—2016.8月，向專家匯報草案修改情況，修訂標準定位等修改完善。四、主要條款的說明，主要技術指標、參數、實驗驗證的論述信息網絡安全管理技術支撐平臺是政府和企事業單位進行信息網絡安全管理工作的支撐產品，基于適合國情的信息安全保障體系的管理理念，整合物理安全、網絡安全、系統安全、應用安全、數據安全等方面的安全監管分析技術，實現安全管理的信息化。是一個集成化、融合型的安全管理支撐產品。一方面實現安全監管技術的融合，另一方面實現人、管理、技術三個層面的融合。本標準規定了在政府和企事業單位的信息網絡環境下，信息與網絡安全管理支撐平臺產品的技術要求，以政府和企事業單位信息網絡安全管理的實際需求為基礎，研究信息與網絡安全管理支撐平臺產品的安全功能、自身安全性和安全保證等方面的技術要求，重點如下：明確信息網絡安全管理支撐平臺產品的安全功能要求；明確信息網絡安全管理支撐平臺產品的自身安全要求；明確信息網絡安全管理支撐平臺產品的安全保證要求；明確信息網絡安全管理支撐平臺產品的分級劃分要求。標準的應用，主要是支撐政府和企事業單位信息網絡安全的全局性、完整性、有效性管理，構建針對信息網絡中的邊界安全、保密安全、網站安全、應用安全、數據安全、基礎安全、運行安全等風險的有效監測、響應和防護的安全管理模型，滿足等級保護基本要求，同時標準為相關生產廠商和測評機構在產品實現和評測提供技術支持和一致性參考。遠望信息與網絡安全管理技術支撐平臺是融業務管理（規范、組織、培訓、服務）、工作流程、應急響應（預警、查處、通報、報告）和安全技術應用（監測、發現、處置）為一體的信息與網絡安全管理平臺，能有效地幫助客戶建設全面的信息安全綜合保障體系，已受到行業用戶普遍認可并有成功的大型項目實施經驗和良好的使用成效。五、采用國際標準和國外先進標準的，說明采標程度，以及與國內外同類標準水平的對比情況據起草工作組查閱和掌握資料，目前我國上沒有關于信息網絡安全管理技術支撐平臺技術要求相關的國家法規和標準。六、作為推薦性標準或者強制性標準的建議及其理由本標準以更好的指導政府和企事業單位信息系統的安全管理為目的，不涉及到人和財產的安全，建議將本標準作為推薦性標準發布實施。七、貫徹標準的措施建議為加強政府和企事業單位計算機網絡與信息安全，結合我國情況，提出以下貫徹本標準的建議：1）主管部門通過舉辦培訓班、講座形式進行信息與網絡安全宣貫幫助各級政府機構和企事業單位信息系統安全管理人員和使用人員了解標準規定的安全管理的基本內容要求，提高安全意識；2）相關信息安全產品監管部門和測評機構通過對產品測評的標準要求，對信息安全該類產品生產廠家在產品化過程中按照統一的要求和規范進行設計和生產，以確保產品功能要求符合技術要求中的規定，同時也能對作為產品的其它必備的功能進行規范評測，對產品開發過程的規范化和全程質量管理也會有促進作用《信息安全技術信息網