2024年Q1國內網(wǎng)絡安全領域重要政策及標準速覽
Q1重要政策及標準速覽
隨著我國網(wǎng)絡安全政策法規(guī)不斷健全,網(wǎng)絡安全工作機制也日漸成熟,各項工作已穩(wěn)步步入法治化的軌道,與此同時,網(wǎng)絡安全標準體系逐步清晰,安全防線日益堅固,為國家的網(wǎng)絡安全建設提供了堅實的基礎。小編為大家整理了2024年第一季度國內網(wǎng)絡安全相關重要政策文件和標準,供大家參考。
第一部分:政策
1. 2024年1月3日,交通運輸部發(fā)布《鐵路關鍵信息基礎設施安全保護管理辦法》(中華人民共和國交通運輸部令2023年第20號)
《管理辦法》圍繞鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監(jiān)督等方面提出安全管理要求,其中,規(guī)定運營者應建立鐵路關鍵信息基礎設施全過程保護制度,要求安全保護措施與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用,并明確規(guī)定了運營者在機構設置、人員配備、經(jīng)費保障、產品和服務采購、數(shù)據(jù)保護、密碼應用等方面的責任和義務。
2. 2024年1月4日,國家數(shù)據(jù)局、中央網(wǎng)信辦、科技部、工信部、中國人民銀行等十七部門聯(lián)合發(fā)布《“數(shù)據(jù)要素×”三年行動計劃(2024—2026年)》(國數(shù)政策〔2023〕11號)
《行動計劃》提出到2026年底,數(shù)據(jù)要素應用廣度和深度大幅拓展,在經(jīng)濟發(fā)展領域數(shù)據(jù)要素乘數(shù)效應得到顯現(xiàn),打造300個以上示范性強、顯示度高、帶動性廣的典型應用場景,數(shù)據(jù)產業(yè)年均增速超過20%,場內交易與場外交易協(xié)調發(fā)展,數(shù)據(jù)交易規(guī)模倍增,并從應用場景出發(fā),明確提出了12項“數(shù)據(jù)要素×”重點行動。
3. 2024年1月11日,財政部發(fā)布《關于加強數(shù)據(jù)資產管理的指導意見》(財資〔2023〕141號)
《指導意見》要求數(shù)據(jù)資產各權利主體均應落實數(shù)據(jù)資產安全管理責任,按照分類分級原則,在網(wǎng)絡安全等級保護制度的基礎上,落實數(shù)據(jù)安全保護制度,把安全貫徹數(shù)據(jù)資產開發(fā)、流通、使用全過程,提升數(shù)據(jù)資產安全保障能力。
4. 2024年1月12日,工信部、中央網(wǎng)信辦、國標委聯(lián)合發(fā)布《區(qū)塊鏈和分布式記賬技術標準體系建設指南》(工信部聯(lián)科〔2023〕260號)
《建設指南》提出到2025年,初步形成支撐區(qū)塊鏈發(fā)展的標準體系,制定30項以上區(qū)塊鏈相關標準,基本滿足我國區(qū)塊鏈標準化需求,并明確區(qū)塊鏈和分布式記賬技術標準體系結構包括“A基礎”、“B技術和平臺”、“C應用和服務”、“D開發(fā)運營”、“E安全保障”五個部分。其中,“E安全保障”標準包括EA應用服務安全、EB系統(tǒng)設計安全、EC基礎組件安全,用于提升區(qū)塊鏈的安全防護能力。
5. 2024年1月30日,工信部發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》(工信部網(wǎng)安〔2024〕14號)
《防護指南》圍繞安全管理、技術防護、安全運營、責任落實四方面提出安全防護要求,一是聚焦安全風險管控,突出管理重點對象,提升工業(yè)企業(yè)工控安全管理能力;二是聚焦安全薄弱關鍵環(huán)節(jié),強化技術應對策略,提升工業(yè)企業(yè)工控安全防護能力;三是聚焦易發(fā)網(wǎng)絡安全風險,增強威脅發(fā)現(xiàn)及處置能力,提升工業(yè)企業(yè)安全運營能力;四是聚焦工業(yè)企業(yè)資源保障,堅持統(tǒng)籌發(fā)展和安全,督促企業(yè)落實網(wǎng)絡安全責任。
6. 2024年2月1日,國家郵政局就《寄遞服務用戶個人信息安全管理辦法(征求意見稿)》公開征求意見
《管理辦法》規(guī)定寄遞企業(yè)應當根據(jù)用戶個人信息的處理目的、處理方式、個人信息的種類,以及對用戶個人權益的影響、可能存在的安全風險等,制定內部安全管理制度,采取必要的技術措施,確保用戶個人信息處理活動合法合規(guī),防止未經(jīng)授權的訪問以及用戶個人信息泄露、丟失等風險發(fā)生。
7. 2024年2月19日,國家數(shù)據(jù)局、中央網(wǎng)信辦、工業(yè)和信息化部、公安部聯(lián)合發(fā)布《關于開展全國數(shù)據(jù)資源調查的通知》(國數(shù)綜資源〔2024〕5號)
《通知》明確了數(shù)據(jù)資源調查的對象包括省級數(shù)據(jù)管理機構、工業(yè)和信息化主管部門、公安廳(局);各省重點數(shù)據(jù)采集和存儲設備商、消費互聯(lián)網(wǎng)平臺和工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、大數(shù)據(jù)和人工智能技術企業(yè)、應用企業(yè)、數(shù)據(jù)交易所、國家實驗室等單位;中央企業(yè);行業(yè)協(xié)會商會和國家信息中心,并明確了調查內容和方式,給出了相應的調查表。
8. 2024年2月26日,工業(yè)和信息化部發(fā)布《工業(yè)領域數(shù)據(jù)安全能力提升實施方案(2024-2026年)》(工信部網(wǎng)安〔2024〕34號)
《實施方案》一是明確了指導思想、基本原則和總體目標,在總體目標中細化了各項關鍵任務指標;二是圍繞提升工業(yè)企業(yè)數(shù)據(jù)保護、數(shù)據(jù)安全監(jiān)管、數(shù)據(jù)安全產業(yè)支撐三類能力,明確提出11項任務;三是圍繞《實施方案》落地實施的保障需求,提出了加強組織協(xié)調、加大資源保障、強化成效評估、做好宣傳引導4項工作。
9. 2024年2月27日,中華人民共和國第十四屆全國人民代表大會常務委員會第八次會議修訂通過《中華人民共和國保守國家秘密法》(中華人民共和國主席令第20號)
《保密法》是我國保密領域的基礎性、綜合性法律,1988年制定、2010年第一次修訂、2024年第二次修訂。本次保密法的修訂從法律制度上明確了進一步加強黨對保密工作的領導,高度重視保密科技創(chuàng)新和科技防護,并完善了網(wǎng)絡信息、數(shù)據(jù)保密管理,此外,還加強了與《數(shù)據(jù)安全法》的協(xié)同銜接,新增涉密數(shù)據(jù)管理及匯聚、關聯(lián)后涉及國家秘密數(shù)據(jù)管理的原則規(guī)定。
10. 2024年3月11日,中國民航局就《民航數(shù)據(jù)管理辦法(征求意見稿)》《民航數(shù)據(jù)共享管理辦法(征求意見稿)》公開征求意見
《民航數(shù)據(jù)管理辦法》給出了民航數(shù)據(jù)管理工作的職責與分工、數(shù)據(jù)資源目錄管理方式,并提出了數(shù)據(jù)采集與治理、數(shù)據(jù)共享、數(shù)據(jù)應用、數(shù)據(jù)安全等方面要求。其中,明確民航數(shù)據(jù)處理主體對數(shù)據(jù)處理活動負安全主體責任,應建立覆蓋數(shù)據(jù)采集、傳輸、存儲、使用、共享以及銷毀等數(shù)據(jù)全生命周期的安全保護機制,并鼓勵通過加密、脫敏、隱私計算、溯源認證等技術手段加強數(shù)據(jù)安全保護。
《民航數(shù)據(jù)共享管理辦法》明確了民航數(shù)據(jù)共享類型、目錄管理、數(shù)據(jù)歸集、數(shù)據(jù)獲取與使用等方面的要求。其中,規(guī)定數(shù)據(jù)平臺方應建立和完善數(shù)據(jù)安全管理制度,采取數(shù)據(jù)安全保護、安全服務和安全監(jiān)測等技術措施,確保平臺運行正常和數(shù)據(jù)安全。
11. 2024年3月22日,國家金融監(jiān)督管理總局就《銀行保險機構數(shù)據(jù)安全管理辦法(征求意見稿)》公開征求意見
《管理辦法》包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術保護、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置、監(jiān)督管理及附則。其中,明確銀行保險機構應建立數(shù)據(jù)安全責任制,制定數(shù)據(jù)分類分級保護制度,按照國家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制,并建立數(shù)據(jù)安全技術架構,明確數(shù)據(jù)保護策略方法,采取技術手段保障數(shù)據(jù)安全。
12. 2024年3月22日,國家網(wǎng)信辦發(fā)布《數(shù)據(jù)出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》
兩項指南分別對申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明,對數(shù)據(jù)處理者需要提交的相關材料進行了優(yōu)化簡化,指導和幫助數(shù)據(jù)處理者規(guī)范有序申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同。
13. 2024年3月22日,國家網(wǎng)信辦發(fā)布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》(國家互聯(lián)網(wǎng)信息辦公室令 第16號)
《規(guī)定》對數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證等數(shù)據(jù)出境制度作出了優(yōu)化調整,其中,明確了重要數(shù)據(jù)出境安全評估申報標準,規(guī)定了免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數(shù)據(jù)出境活動條件,同時,還明確了應當申報數(shù)據(jù)出境安全評估的兩類數(shù)據(jù)出境活動條件。
14. 2024年3月22日,自然資源部發(fā)布《自然資源領域數(shù)據(jù)安全管理辦法》(自然資發(fā)〔2024〕57號)
《管理辦法》分別從數(shù)據(jù)分類分級管理、數(shù)據(jù)全生命周期安全管理、數(shù)據(jù)安全監(jiān)測預警與應急管理等方面提出明確要求。其中,規(guī)定了數(shù)據(jù)處理者應當對數(shù)據(jù)處理活動安全負主體責任,對各類數(shù)據(jù)實行分級防護,并且在數(shù)據(jù)全生命周期處理過程中,應記錄數(shù)據(jù)處理、權限管理、人員操作等日志,采用商用密碼技術保護日志的完整性。
第二部分:標準
一、國家標準
1. 2024年3月15日,國家標準GB/T 43697-2024《數(shù)據(jù)安全技術 數(shù)據(jù)分類分級規(guī)則》發(fā)布
本標準規(guī)定了數(shù)據(jù)分類分級的基本原則、框架、方法和流程。在數(shù)據(jù)分類部分,提出先按行業(yè)領域再按業(yè)務屬性進行數(shù)據(jù)分類的思路,并給出了具體的分類方法;在數(shù)據(jù)分級部分,提出了確定分級對象、分級要素識別、數(shù)據(jù)影響分析、綜合確定級別的分級方法,并對各環(huán)節(jié)進行了詳細闡述;在分類分級流程部分,分別給出行業(yè)領域數(shù)據(jù)和處理者數(shù)據(jù)的分類分級流程;標準還在規(guī)范性附錄中給出了重要數(shù)據(jù)的識別指南。
2. 2024年3月15日,國家標準GB/T 15843.4-2024《信息技術 安全技術 實體鑒別 第4部分:采用密碼校驗函數(shù)的機制》發(fā)布
本標準修改采用國際標準ISO/IEC 9798-4:1999(Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function),規(guī)定了采用密碼校驗函數(shù)的實體鑒別機制,包括單向鑒別和雙向鑒別兩種鑒別機制。
3. 2024年3月15日,國家標準GB/T 17903.1-2024《信息技術 安全技術 抗抵賴 第1部分:概述》發(fā)布
本標準修改采用國際標準ISO/IEC 13888-1:2020(Information security - Non-repudiation - Part 1: General),給出了抗抵賴機制的一般模型,作為GB/T 17903的其它部分中規(guī)定的使用密碼技術的抗抵賴機制的一般模型。
4. 2024年3月15日,國家標準GB/T 17903.3-2024《信息技術 安全技術 抗抵賴 第3部分:采用非對稱技術的機制》發(fā)布
本標準修改采用國際標準SO/IEC 13888-3:2020(Information security - Non-repudiation - Part 3: Mechanisms using asymmetric techniques),確立了若干特定的抗抵賴機制,用于提供原發(fā)抗抵賴、交付抗抵賴、傳輸抗抵賴和提交抗抵賴。
5. 2024年3月15日,國家標準GB/T 31497-2024《信息技術 安全技術 信息安全管理 監(jiān)視、測量、分析和評價》發(fā)布
本標準等同采用國際標準ISO/IEC 27004:2016(Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation),規(guī)定了信息安全績效的監(jiān)視和測量、ISMS(包括其過程和控制措施)有效性的監(jiān)視和測量、以及監(jiān)視和測量結果的分析和評價。
二、行業(yè)標準
1. 2024年1月15日,金融行業(yè)標準JR/T 0285-2024《基于數(shù)字證書的移動終端金融安全身份認證規(guī)范》發(fā)布
本標準規(guī)定了基于數(shù)字證書的移動終端金融安全身份認證的服務描述、移動終端生命周期管理、服務生命周期管理、密鑰管理、安全及功能、風險控制和運營管理的要求。
2. 2024年1月15日,3項金融行業(yè)標準JR/T 0289-2024《金融業(yè)開源技術 術語》、JR/T 0290-2024《金融業(yè)開源軟件應用 管理指南》、JR/T 0291-2024《金融業(yè)開源軟件應用 評估規(guī)范》發(fā)布
《術語》統(tǒng)一了金融機構對開源技術相同名詞的表述;《管理指南》提供了金融機構在應用開源軟件時的全流程管理指南,對開源軟件的使用和管理提供了配套組織架構、配套管理規(guī)章制度、生命周期流程管理、風險管理、存量管理、工具化管理等方面的指導;《評估規(guī)范》規(guī)定了金融機構在應用開源軟件時的評估要求,對開源軟件的引入、維護和退出提出了實現(xiàn)要求、評估方法和判定準則。
3. 2024年1月15日,金融行業(yè)標準JR/T 0299-2024《個人征信電子授權安全技術指南》發(fā)布
本標準提供了個人征信電子授權安全技術指南,包括個人征信電子授權機制、線上有效鑒別個人身份、簽發(fā)數(shù)字證書、簽署有效征信授權電子協(xié)議、存證有效征信授權電子數(shù)據(jù)、數(shù)據(jù)安全、個人信息保護等內容。
在互聯(lián)網(wǎng)無處不在、社會信息化快速發(fā)展的時代條件下,網(wǎng)絡既是人們生產生活的重要空間,也是黨和政府服務群眾、了解民意、治理社會的重要平臺。 “健全網(wǎng)絡綜合治理體系,推動形成良好網(wǎng)絡生態(tài)”是黨的二十大報告對網(wǎng)絡生態(tài)治理工作提出的指導性意見。網(wǎng)絡安全工作正向有法可依、有據(jù)可查大步邁進,天融信將持續(xù)關注國家政策,積極參與標準研制,為網(wǎng)絡安全產業(yè)發(fā)展和建設貢獻力量。
