除了国家标准,还有哪些软件行业规范?

向上的车轮2025-12-15 17:36

除了国家标准(GB/T、GB/Z 等)外,软件行业规范 还包括由行业主管部门、行业协会、国际组织或特定领域监管机构发布的具有指导性、约束性或事实强制力的技术规范、管理要求和最佳实践。这些规范虽不一定是"国标",但在特定场景下具有同等甚至更强的合规效力。

一、通用软件工程与开发类

1. 《软件工程协会软件开发规范》(中国软件行业协会发布)

  • 性质:行业推荐性规范
  • 内容
    • 软件开发生命周期管理
    • 代码规范、版本控制、文档模板
    • 敏捷/DevOps 实践指南
  • 适用对象:软件企业、IT 服务商
  • 合规意义:常作为企业内部流程建设参考;部分政府项目招标要求"符合软协规范"。

二、信息安全与网络安全类(具强约束力)

2. 《网络安全等级保护基本要求》(GB/T 22239-2019)及其配套标准

  • 虽然编号为 GB/T,但因《网络安全法》强制实施,实为"准强制"规范
  • 核心要求
    • 软件系统需按等保 2.0 要求进行安全设计(如身份鉴别、访问控制、安全审计、入侵防范)
    • 第三级以上系统必须通过等保测评
  • 适用对象:所有在中国运营的网络信息系统(政务、金融、医疗、教育等)
  • 合规路径
    • 在软件设计阶段嵌入等保控制项;
    • 委托具备资质的测评机构进行等保测评。

3. 《信息安全技术 个人信息安全规范》(GB/T 35273-2020)

  • 地位:虽为推荐性国标,但被《个人信息保护法》《数据安全法》多次引用,司法实践中视为合规基准
  • 软件相关要求
    • 隐私政策透明化
    • 最小必要原则实现(权限控制、数据收集范围)
    • 用户权利响应机制(查询、删除、撤回同意)
  • 适用对象:所有处理个人信息的 App、Web 系统、IoT 软件等
  • 典型场景:App 上架应用商店前需通过隐私合规检测(如工信部"APP 害群之马"整治行动)

三、金融行业

4. 《金融行业信息系统信息安全等级保护实施指引》(银发〔2012〕163 号 + 后续更新)

  • 发布单位:中国人民银行
  • 要求
    • 核心交易系统至少等保三级
    • 软件供应链安全审查(如开源组件漏洞管理)
    • 日志留存 ≥ 180 天
  • 扩展规范
    • 《JR/T 0071-2020 金融行业网络安全等级保护实施指引》
    • 《JR/T 0171-2020 个人金融信息保护技术规范》(明确 C1/C2/C3 分类及软件处理要求)

注:JR/T 为金融行业推荐性标准,但金融机构必须执行。

四、医疗健康行业

5. 《医疗器械软件注册审查指导原则》(国家药监局 NMPA 发布,2022 年修订)

  • 适用对象:作为医疗器械组成部分的软件(SaMD)或嵌入式软件(SiMD)
  • 核心要求
    • 软件生命周期文档完整(需求、设计、测试、验证)
    • 符合 YY/T 0664(等同 IEC 62304)《医疗器械软件 软件生存周期过程》
    • 网络安全与数据隐私需满足《医疗器械网络安全注册审查指导原则》
  • 合规关键:未按规范开发的医疗软件无法取得注册证。

五、工业与嵌入式软件

6. 《工业软件发展行动计划(2021--2025)》配套技术指南

  • 发布单位:工信部
  • 虽非强制标准,但影响重大
    • 推动 CAD/CAE/PLM/MES 等工业软件国产化
    • 要求支持国产操作系统、芯片架构
    • 鼓励采用 GB/T 36475 分类中的"工业软件"子类
  • 关联标准
    • GB/T 38659-2020《工业控制系统信息安全防护指南》
    • SJ/T 11682-2017《工业软件质量评价规范》(电子行业标准)

六、开源与供应链安全(新兴重点)

7. 《信息安全技术 软件供应链安全要求》(征求意见稿,2024 年)

  • 状态:即将成为正式国标(预计 2025--2026 年发布)
  • 当前依据
    • 中央网信办《关于加强软件供应链安全管理的通知》(2023)
    • 工信部《开源软件供应链安全指南》(2024 行业指引)
  • 软件企业需做到
    • 建立 SBOM(软件物料清单)
    • 对开源组件进行漏洞扫描与许可证合规审查
    • 关键系统禁用高风险组件(如 Log4j 1.x)

虽尚未正式发布,但已纳入央企、国企采购合同条款。

七、信创(信息技术应用创新)生态规范

8. 《信创产品兼容性认证规范》(由工信部电子五所、中国电标院等制定)

  • 适用场景:软件需适配麒麟、统信 UOS、龙芯、鲲鹏、昇腾等国产平台
  • 认证要求
    • 通过兼容性测试(安装、运行、性能、稳定性)
    • 提供符合 GB/T 8566 的过程文档
    • 满足等保与密码应用安全性评估(密评)
  • 现实影响:未获信创认证的软件无法进入党政、国企采购目录。

八、国际规范在中国的本地化应用

国际规范 中国对应/采纳情况
ISO/IEC 12207(软件生存周期) 被 GB/T 8566-2022 等同采用
ISO/IEC 25010(SQuaRE 质量模型) 被 GB/T 30971-2024 采纳
IEC 62304(医疗软件) 被 YY/T 0664 引用,NMPA 强制要求
NIST SP 800-161(供应链安全) 中国《软件供应链安全要求》借鉴其框架

合规建议总结

  1. 分行业识别:先确定软件所属领域(金融?医疗?工业?消费互联网?),再锁定对应行业规范。
  2. 法律强制 vs 推荐执行
    • 等保、个保法配套规范 → 必须遵守
    • 软协、信创指南 → 商业准入门槛
  3. 文档与流程双落地
    • 不仅要"做对",还要"证明做对"------保留需求、设计、测试、评审记录。
  4. 动态跟踪
    • 关注 工信部、网信办、NMPA、央行 等官网;
    • 订阅 全国标准信息公共服务平台信标委(TC28) 公告。
热门推荐
01GitHub 镜像站点02安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)03Linux下V2Ray安装配置指南04Labelme从安装到标注:零基础完整指南05jdk21下载、安装(Windows、Linux、macOS)06【踩坑笔记】50系显卡适配的 PyTorch 安装07手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!08Opencode CLI 安装成功,但是启动失败09GitLab 零基础入门指南:从安装到项目管理全流程10Claude Code Plan 模式完全指南:从入门到精通