夜雨聆风不是没标准,是标准太多了。GB、GB/T、YD/T、JR/T……一串字母数字,看得人头大。用错了标准,报告出了也白出,监管不认。
这篇就把国家标准这件事讲明白:哪些是必须用的,哪些是参照用的,怎么选才不出错。
几个容易搞混的问题
“GB/T 22239是推荐性标准,为什么等保测评必须用?”
GB/T 22239本身是推荐性标准,但《网络安全法》第二十一条明确要求网络运营者按照等级保护制度履行安全保护义务。等保是法律要求,而GB/T 22239是等保测评的技术依据。标准是推荐的,但等保是强制的,所以你得按这个标准测。
“GB/T 35273也是推荐的,为什么App检测必须用?”
同上。个人信息保护法出台了,GB/T 35273是判断你合不合规的技术依据。法律说你要保护个人信息,但具体怎么判断保护到位了没有?按这个标准来。所以虽然标准本身是推荐的,但在个人信息保护合规检测中,它就是事实上的依据。
“国际标准和国内标准,听谁的?”
有国内标准的,用国内标准。没有国内标准的,参照国际标准。
比如功能安全,IEC 61508是国际标准,GB/T 20438是它的国内转化版。在国内做检测,报告引用GB/T 20438比直接引用IEC 61508更被监管部门认可。
但有些领域国内标准还没跟上来,比如5G的一些新特性,3GPP标准比国内标准更新更快,这时候参照3GPP是合理的。
“行业标准和国家标准冲突了怎么办?”
原则上,国家标准高于行业标准。但实际中,行业标准往往比国家标准更细、更具体。做法是:国家标准定框架,行业标准定细节。两个都要看,不冲突。
比如电力行业,GB/T 22239定等保的通用要求,DL/T标准定电力行业的具体安全要求。先过国标,再过行标,不矛盾。
有需要直接留言,说清楚产品类型和需求,我们一个工作日内出方案。GB、GB/T、YD/T——软件检测标准怎么看
