在網絡強國戰略思想指引下,我國網絡安全工作取得了積極進展,網絡安全政策法規體系不斷健全,網絡安全工作體制機制日益完善,各項工作走上法治化軌道,網絡安全防線也越織越密、越織越牢。小編為大家整理了2023年第三季度國內網絡安全相關政策文件和安全標準,供大家參考。
政策
第一部分
1. 2023年7月3日,網信辦發布關于調整《網絡關鍵設備和網絡安全專用產品目錄》的公告(2023年第2號)
《目錄》給出了4類網絡關鍵設備和34類網絡安全專用產品的名單。2017年發布的網絡關鍵設備和網絡安全專用產品目錄(第一批)同步廢止,本次目錄的調整主要針對網絡安全專用產品,從第一批目錄的15款產品類別增加到34款產品類別,包括虛擬專用網產品、防病毒網關、統一威脅管理產品、病毒防治產品、網絡安全態勢感知產品、負載均衡產品等。
2. 2023年7月13日,國家網信辦、國家發改委、教育部、科技部等七部門聯合發布《生成式人工智能服務管理暫行辦法》(令 第15號)
《辦法》提出了促進生成式人工智能技術發展的具體措施,明確了訓練數據處理活動和數據標注等要求,規定了生成式人工智能服務規范,明確生成式人工智能服務提供者應當依法承擔網絡信息內容生產者責任,履行網絡信息安全義務,涉及個人信息的,依法承擔個人信息處理者責任,履行個人信息保護義務,此外,還規定了安全評估、算法備案、投訴舉報等制度,明確了法律責任。
3. 2023年7月17日,工信部、國家金融監督管理總局聯合發布《兩部門關于促進網絡安全保險規范健康發展的意見》(工信部聯網安〔2023〕95號)
《意見》是我國網絡安全保險領域的首份政策文件,圍繞完善政策標準、創新產品服務、強化技術支持、促進需求釋放、培育產業生態等提出意見。一是聚焦提升行業認知、完善行業規范,健全完善網絡安全保險支持政策;二是聚焦豐富網絡安全保險產品類型、創新保險服務模式,全方位加強網絡安全保險產品服務創新;三是聚焦提升風險量化評估能力、加強全生命周期風險監測,強化網絡安全技術賦能保險發展;四是聚焦推進網絡安全保險落地應用、促進企業網絡安全能力提升,撬動網絡安全產業需求釋放;五是聚焦培育網絡安全保險優質企業、加強網絡安全保險推廣,培育網絡安全保險發展生態。
4.2023年7月18日,國家鐵路局發布《鐵路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》公開征求意見
《管理辦法》圍繞鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監督等方面提出安全管理要求,其中,規定運營者應當在國家網絡安全等級保護制度的基礎上,突出保護重點,落實防護措施,加強全生命周期管理,保障鐵路關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。此外,從機構設置、人員配備、工作職責、供應鏈安全、數據安全、風險評估、監測預警和應急響應等方面給出規范。
5. 2023年7月24日,中國人民銀行發布《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》公開征求意見
《管理辦法》主要提出了數據分類分級要求、數據安全保護總體要求,明確壓實數據處理活動全流程安全合規底線,以及細化風險監測、評估審計、事件處置等合規要求,并明確中國人民銀行及其分支機構可對數據處理者數據安全保護義務落實情況開展執法檢查,以及數據處理者違反規定時對應的法律責任。
6. 2023年7月24日,北京市通信管理局發布《北京地區電信領域數據安全管理實施細則》
《實施細則》規定電信領域數據處理者應當每年至少開展一次數據梳理工作,并根據實際工作需要配備數據安全管理人員,統籌負責數據處理活動的安全監督管理,加強權限審批管理,定期開展數據安全審計和數據安全風險監測,對數據處理活動負安全主體責任,建立健全全流程數據安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程。
7. 2023年7月26日,工信部、國標委聯合發布《國家車聯網產業標準體系建設指南(智能網聯汽車)(2023版)》(工信部聯科〔2023〕109號)
《建設指南》提出到2025年,系統形成能夠支撐組合駕駛輔助和自動駕駛通用功能的智能網聯汽車標準體系,制修訂100項以上智能網聯汽車相關標準;到2030年,全面形成能夠支撐實現單車智能和網聯賦能協同發展的智能網聯汽車標準體系,制修訂140項以上智能網聯汽車相關標準并建立實施效果評估和動態完善機制。標準體系涵蓋組合駕駛輔助、自動駕駛關鍵系統、網聯基礎功能及操作系統、高性能計算芯片及數據應用等標準,并貫穿功能安全、預期功能安全、網絡安全和數據安全等安全標準,充分發揮標準對車聯網產業關鍵技術、核心產品和功能應用的引領作用。
8. 2023年8月3日,國家網信辦發布《個人信息保護合規審計管理辦法(征求意見稿)》公開征求意見
《管理辦法》指出個人信息處理者開展合規審計的情形分為兩種,一是自行定期開展審計,二是應監管要求審計,在開展個人信息保護合規審計的對象及頻次方面,明確處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規審計,其他個人信息處理者應當每兩年至少開展一次個人信息保護合規審計,并以附件的形式提出個人信息保護合規審計參考要點。
9. 2023年8月8日,國家網信辦發布《人臉識別技術應用安全管理規定(試行)(征求意見稿)》公開征求意見
《辦法》對相關組織或個人如何規范使用人臉識別技術提出了具體安全要求,明確了人臉識別技術應用的“最小使用原則”、“告知-同意原則”和“最小存儲原則”,并規定人臉識別技術使用者處理人臉信息,應當事前進行個人信息保護影響評估,以及每年對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估,并根據檢測評估情況改進安全策略,調整置信度閾值,采取有效措施保護圖像采集設備、個人身份識別設備免受攻擊、侵入、干擾和破壞。
10. 2023年8月10日,國家認監委發布《關于修訂網絡關鍵設備和網絡安全專用產品安全認證實施規則的公告》(2023年第14號)
《公告》發布之后,《關于發布網絡關鍵設備和網絡安全專用產品安全認證實施規則的公告》(國家認監委2018年第28號公告)同時廢止,此前已經頒發的有效安全認證證書可繼續使用,證書轉換工作采取到期換證、產品變更、標準換版等自然過渡的方式完成。
11. 2023年9月28日,國家網信辦發布《規范和促進數據跨境流動規定(征求意見稿)》公開征求意見
《規定》圍繞申報數據出境安全評估義務、個人信息出境標準合同簽署與備案義務、開展個人信息保護認證義務的全新觸發條件展開,其中對數據跨境給出了更為明確的定義與界定,以及對于何時、在哪些情境下需要進行數據出境安全評估,以及何時可以豁免等,都提供了更加明確的指引。
標準
第二部分
一、國家標準
1. 2023年8月6日,國家標準GB/T 35274-2023《信息安全技術 大數據服務安全能力要求》發布
本標準規定了大數據服務提供者的大數據服務安全能力要求,包括大數據組織管理安全能力、大數據處理安全能力和大數據服務安全風險管理能力的要求。
2. 2023年8月6日,國家標準GB/T 42884-2023《信息安全技術 移動互聯網應用程序(App)生命周期安全管理指南》發布
本標準提供了移動互聯網應用程序(App)生命周期階段管理過程和風險監測管理過程的安全管理指南,并給出了App存在的安全問題分類及描述。
3. 2023年8月6日,國家標準GB/T 42888-2023《信息安全技術 機器學習算法安全評估規范》發布
本標準規定了機器學習算法技術和服務的安全要求和評估方法,以及機器學習算法安全評估流程,并給出了算法推薦服務安全要求和評估方法。
4. 2023年8月6日,國家標準GB/Z 42885-2023《信息安全技術 網絡安全信息共享指南》發布
本標準確立了網絡安全信息共享活動要素和基本原則,描述了共享活動的范圍和過程,并給出了網絡安全信息共享活動和模式的示例。
5. 2023年8月6日,國家標準GB/T 42926-2023《金融信息系統網絡安全風險評估規范》發布
本標準確立了金融信息系統網絡安全風險評估工作的要點、原則、要素和原理,規定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。
6. 2023年8月6日,國家標準GB/T 42708-2023《金融網絡安全威脅信息共享指南》發布
本標準給出了金融網絡安全威脅信息的共享框架、共享原則、共享方式、共享流程、質量管理、保障機制、安全管理等方面的建議。
7. 2023年8月6日,國家標準GB/T 42775-2023《證券期貨業數據安全風險防控 數據分類分級指引》發布
本標準提供了證券期貨業數據分類分級的適用數據范圍、保障措施、數據分類分級的原則和方法、數據分類分級中的關鍵問題處理的建議。
8. 2023年8月6日,國家標準GB/T 42929-2023《互聯網金融智能風險防控技術要求》發布
本標準規定了互聯網金融場景下智能風險防控技術所需滿足的技術框架、功能要求、技術要求、實現的安全要求以及運行要求等。
9. 2023年8月6日,國家標準GB/T 42930-2023《互聯網金融 個人身份識別技術要求》發布
本標準規定了應用于互聯網金融服務的個人身份識別技術要求,包括技術框架、憑據技術要求、身份識別技術要求以及安全要求。
10. 2023年9月7日,國家標準GB/T 32914-2023《信息安全技術 網絡安全服務能力要求》發布
本標準規定了網絡安全服務機構開展網絡安全服務應具備的能力要求。適用于指導網絡安全服務機構開展網絡安全服務,以及評價網絡安全服務機構的能力水平,也可為網絡安全服務需求方選擇網絡安全服務機構時提供參考。
11. 2023年9月7日,國家標準GB/T 32916-2023《信息安全技術 信息安全控制評估指南》發布
本標準等同采用國際標準ISO/IEC TS 27008:2019《Information technology-Security techniques-Guidelines for the assessment of information security controls》, 為GB/T 22080中所給出的信息安全管理過程、確定的相關信息安全控制措施及要求,如何建設組織適用、有效且高效的信息安全控制措施提供了實施指南。
12. 2023年9月7日,國家標準GB/T 43206-2023《信息安全技術 信息系統密碼應用測評要求》發布
本標準規定了信息系統第一級到第四級密碼應用的通用測評要求、技術測評要求、管理測評要求,并給出了整體測評要求、風險分析和評價、測評結論的要求,其中,信息系統密碼應用等級與GB/T 39786-2021規定的密碼應用等級一致。
13. 2023年9月7日,國家標準GB/T 43207-2023《信息安全技術 信息系統密碼應用設計指南》發布
本標準給出了信息系統密碼應用方案設計技術指南,為商用密碼應用“三同步一評估”過程中規劃、建設、運行、密評等工作提供了重要指導和參考建議。
二、行業標準
1. 2023年7月28日,行業標準YD/T 4207-2023《基于容器的平臺安全能力要求》發布
本標準規定了基于容器的平臺基礎級、增強級和先進級的安全能力要求,該標準內容包括基礎設施安全能力要求、軟件供應鏈安全能力要求、容器運行時安全能力要求以及日志管理能力要求。
2. 2023年7月28日,行業標準YD/T 4208-2023《面向云計算的安全運營中心能力要求》發布
本標準規定了面向云計算的安全運營中心的能力要求,分為安全運營中心技術平臺能力要求、運營流程管控能力要求及人員服務能力要求三大部分,從平臺、人員、運營三方面對于面向云計算的安全運營中心能力進行規范。
3. 2023年7月28日,行業標準YD/T 4323-2023《物聯網管理平臺安全防護要求》發布
本標準規定了物聯網管理平臺分安全保護等級的安全防護要求,涉及到業務數據安全、業務及應用安全、網絡安全、設備及軟件系統安全、接入終端安全、物理安全和管理安全。
4. 2023年7月28日,行業標準YD/T 4324-2023《無人機管理(服務)平臺安全防護要求》發布
本標準規定了無人機管理(服務)平臺按安全保護等級的安全防護要求,涉及業務應用安全、網絡安全、設備安全、物理環境安全和管理安全。
5. 2023年7月28日,行業標準YD/T 4325-2023《電信網和互聯網安全防護要求及檢測方法 存儲設備》發布
本標準規定了電信網和互聯網中所使用的存儲設備應具備的安全能力要求,及存儲設備供應商在設計開發存儲設備時應滿足的過程要求,以保障電信網和互聯網業務安全可靠的運行。
6. 2023年7月28日,行業標準YD/T 4326-2023《物聯網業務安全態勢感知系統技術要求》發布
本標準規定了物聯網業務安全態勢感知系統的總體技術架構、功能要求、數據要求和性能要求等,適用于基礎電信企業及物聯網平臺企業的物聯網業務安全態勢感知系統的設計與開發。
7. 2023年7月28日,行業標準YD/T 4327-2023《物聯網終端安全態勢感知系統技術要求》發布
本標準規定了物聯網終端安全態勢感知系統的總體技術架構、功能要求、安全要求和性能要求等,適用于基礎電信企業及物聯網平臺企業的物聯網終端安全態勢感知系統的設計與開發。
8. 2023年7月28日,行業標準YD/T 4338-2023《面向電信網的安全威脅信息分析系統技術要求》發布
本標準規定了基礎電信企業安全威脅信息分析系統的組網架構、功能架構、功能要求,以及可靠性、可擴展性等非功能性要求,適用于基礎電信網絡安全威脅信息分析系統的開發及檢測。
9. 2023年7月28日,行業標準YD/T 2387-2023《網絡安全監測系統技術要求》發布
本標準規定了網絡安全監測系統的功能要求、性能要求、技術要求以及接口要求,適用于計算機網絡應急響應組織的網絡安全監測系統,也可供其他相關部門參考使用。
以制度建設不斷提高國家網絡安全保障能力,天融信將堅定不移爭做網絡安全政策的踐行者、網絡安全標準的貢獻者,持續關注國家政策,積極參與標準研制,為網絡安全產業發展和建設貢獻力量。
- 關鍵詞標簽:
- 天融信 網絡安全政策及標準