2024年Q1國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)域重要政策及標(biāo)準(zhǔn)速覽
Q1重要政策及標(biāo)準(zhǔn)速覽
隨著我國(guó)網(wǎng)絡(luò)安全政策法規(guī)不斷健全,網(wǎng)絡(luò)安全工作機(jī)制也日漸成熟,各項(xiàng)工作已穩(wěn)步步入法治化的軌道,與此同時(shí),網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系逐步清晰,安全防線日益堅(jiān)固,為國(guó)家的網(wǎng)絡(luò)安全建設(shè)提供了堅(jiān)實(shí)的基礎(chǔ)。小編為大家整理了2024年第一季度國(guó)內(nèi)網(wǎng)絡(luò)安全相關(guān)重要政策文件和標(biāo)準(zhǔn),供大家參考。
第一部分:政策
1. 2024年1月3日,交通運(yùn)輸部發(fā)布《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》(中華人民共和國(guó)交通運(yùn)輸部令2023年第20號(hào))
《管理辦法》圍繞鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運(yùn)營(yíng)者責(zé)任和義務(wù)、保障和監(jiān)督等方面提出安全管理要求,其中,規(guī)定運(yùn)營(yíng)者應(yīng)建立鐵路關(guān)鍵信息基礎(chǔ)設(shè)施全過(guò)程保護(hù)制度,要求安全保護(hù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用,并明確規(guī)定了運(yùn)營(yíng)者在機(jī)構(gòu)設(shè)置、人員配備、經(jīng)費(fèi)保障、產(chǎn)品和服務(wù)采購(gòu)、數(shù)據(jù)保護(hù)、密碼應(yīng)用等方面的責(zé)任和義務(wù)。
2. 2024年1月4日,國(guó)家數(shù)據(jù)局、中央網(wǎng)信辦、科技部、工信部、中國(guó)人民銀行等十七部門(mén)聯(lián)合發(fā)布《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃(2024—2026年)》(國(guó)數(shù)政策〔2023〕11號(hào))
《行動(dòng)計(jì)劃》提出到2026年底,數(shù)據(jù)要素應(yīng)用廣度和深度大幅拓展,在經(jīng)濟(jì)發(fā)展領(lǐng)域數(shù)據(jù)要素乘數(shù)效應(yīng)得到顯現(xiàn),打造300個(gè)以上示范性強(qiáng)、顯示度高、帶動(dòng)性廣的典型應(yīng)用場(chǎng)景,數(shù)據(jù)產(chǎn)業(yè)年均增速超過(guò)20%,場(chǎng)內(nèi)交易與場(chǎng)外交易協(xié)調(diào)發(fā)展,數(shù)據(jù)交易規(guī)模倍增,并從應(yīng)用場(chǎng)景出發(fā),明確提出了12項(xiàng)“數(shù)據(jù)要素×”重點(diǎn)行動(dòng)。
3. 2024年1月11日,財(cái)政部發(fā)布《關(guān)于加強(qiáng)數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見(jiàn)》(財(cái)資〔2023〕141號(hào))
《指導(dǎo)意見(jiàn)》要求數(shù)據(jù)資產(chǎn)各權(quán)利主體均應(yīng)落實(shí)數(shù)據(jù)資產(chǎn)安全管理責(zé)任,按照分類(lèi)分級(jí)原則,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,落實(shí)數(shù)據(jù)安全保護(hù)制度,把安全貫徹?cái)?shù)據(jù)資產(chǎn)開(kāi)發(fā)、流通、使用全過(guò)程,提升數(shù)據(jù)資產(chǎn)安全保障能力。
4. 2024年1月12日,工信部、中央網(wǎng)信辦、國(guó)標(biāo)委聯(lián)合發(fā)布《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》(工信部聯(lián)科〔2023〕260號(hào))
《建設(shè)指南》提出到2025年,初步形成支撐區(qū)塊鏈發(fā)展的標(biāo)準(zhǔn)體系,制定30項(xiàng)以上區(qū)塊鏈相關(guān)標(biāo)準(zhǔn),基本滿(mǎn)足我國(guó)區(qū)塊鏈標(biāo)準(zhǔn)化需求,并明確區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系結(jié)構(gòu)包括“A基礎(chǔ)”、“B技術(shù)和平臺(tái)”、“C應(yīng)用和服務(wù)”、“D開(kāi)發(fā)運(yùn)營(yíng)”、“E安全保障”五個(gè)部分。其中,“E安全保障”標(biāo)準(zhǔn)包括EA應(yīng)用服務(wù)安全、EB系統(tǒng)設(shè)計(jì)安全、EC基礎(chǔ)組件安全,用于提升區(qū)塊鏈的安全防護(hù)能力。
5. 2024年1月30日,工信部發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》(工信部網(wǎng)安〔2024〕14號(hào))
《防護(hù)指南》圍繞安全管理、技術(shù)防護(hù)、安全運(yùn)營(yíng)、責(zé)任落實(shí)四方面提出安全防護(hù)要求,一是聚焦安全風(fēng)險(xiǎn)管控,突出管理重點(diǎn)對(duì)象,提升工業(yè)企業(yè)工控安全管理能力;二是聚焦安全薄弱關(guān)鍵環(huán)節(jié),強(qiáng)化技術(shù)應(yīng)對(duì)策略,提升工業(yè)企業(yè)工控安全防護(hù)能力;三是聚焦易發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),增強(qiáng)威脅發(fā)現(xiàn)及處置能力,提升工業(yè)企業(yè)安全運(yùn)營(yíng)能力;四是聚焦工業(yè)企業(yè)資源保障,堅(jiān)持統(tǒng)籌發(fā)展和安全,督促企業(yè)落實(shí)網(wǎng)絡(luò)安全責(zé)任。
6. 2024年2月1日,國(guó)家郵政局就《寄遞服務(wù)用戶(hù)個(gè)人信息安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)
《管理辦法》規(guī)定寄遞企業(yè)應(yīng)當(dāng)根據(jù)用戶(hù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi),以及對(duì)用戶(hù)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等,制定內(nèi)部安全管理制度,采取必要的技術(shù)措施,確保用戶(hù)個(gè)人信息處理活動(dòng)合法合規(guī),防止未經(jīng)授權(quán)的訪問(wèn)以及用戶(hù)個(gè)人信息泄露、丟失等風(fēng)險(xiǎn)發(fā)生。
7. 2024年2月19日,國(guó)家數(shù)據(jù)局、中央網(wǎng)信辦、工業(yè)和信息化部、公安部聯(lián)合發(fā)布《關(guān)于開(kāi)展全國(guó)數(shù)據(jù)資源調(diào)查的通知》(國(guó)數(shù)綜資源〔2024〕5號(hào))
《通知》明確了數(shù)據(jù)資源調(diào)查的對(duì)象包括省級(jí)數(shù)據(jù)管理機(jī)構(gòu)、工業(yè)和信息化主管部門(mén)、公安廳(局);各省重點(diǎn)數(shù)據(jù)采集和存儲(chǔ)設(shè)備商、消費(fèi)互聯(lián)網(wǎng)平臺(tái)和工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、大數(shù)據(jù)和人工智能技術(shù)企業(yè)、應(yīng)用企業(yè)、數(shù)據(jù)交易所、國(guó)家實(shí)驗(yàn)室等單位;中央企業(yè);行業(yè)協(xié)會(huì)商會(huì)和國(guó)家信息中心,并明確了調(diào)查內(nèi)容和方式,給出了相應(yīng)的調(diào)查表。
8. 2024年2月26日,工業(yè)和信息化部發(fā)布《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案(2024-2026年)》(工信部網(wǎng)安〔2024〕34號(hào))
《實(shí)施方案》一是明確了指導(dǎo)思想、基本原則和總體目標(biāo),在總體目標(biāo)中細(xì)化了各項(xiàng)關(guān)鍵任務(wù)指標(biāo);二是圍繞提升工業(yè)企業(yè)數(shù)據(jù)保護(hù)、數(shù)據(jù)安全監(jiān)管、數(shù)據(jù)安全產(chǎn)業(yè)支撐三類(lèi)能力,明確提出11項(xiàng)任務(wù);三是圍繞《實(shí)施方案》落地實(shí)施的保障需求,提出了加強(qiáng)組織協(xié)調(diào)、加大資源保障、強(qiáng)化成效評(píng)估、做好宣傳引導(dǎo)4項(xiàng)工作。
9. 2024年2月27日,中華人民共和國(guó)第十四屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第八次會(huì)議修訂通過(guò)《中華人民共和國(guó)保守國(guó)家秘密法》(中華人民共和國(guó)主席令第20號(hào))
《保密法》是我國(guó)保密領(lǐng)域的基礎(chǔ)性、綜合性法律,1988年制定、2010年第一次修訂、2024年第二次修訂。本次保密法的修訂從法律制度上明確了進(jìn)一步加強(qiáng)黨對(duì)保密工作的領(lǐng)導(dǎo),高度重視保密科技創(chuàng)新和科技防護(hù),并完善了網(wǎng)絡(luò)信息、數(shù)據(jù)保密管理,此外,還加強(qiáng)了與《數(shù)據(jù)安全法》的協(xié)同銜接,新增涉密數(shù)據(jù)管理及匯聚、關(guān)聯(lián)后涉及國(guó)家秘密數(shù)據(jù)管理的原則規(guī)定。
10. 2024年3月11日,中國(guó)民航局就《民航數(shù)據(jù)管理辦法(征求意見(jiàn)稿)》《民航數(shù)據(jù)共享管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)
《民航數(shù)據(jù)管理辦法》給出了民航數(shù)據(jù)管理工作的職責(zé)與分工、數(shù)據(jù)資源目錄管理方式,并提出了數(shù)據(jù)采集與治理、數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用、數(shù)據(jù)安全等方面要求。其中,明確民航數(shù)據(jù)處理主體對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任,應(yīng)建立覆蓋數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享以及銷(xiāo)毀等數(shù)據(jù)全生命周期的安全保護(hù)機(jī)制,并鼓勵(lì)通過(guò)加密、脫敏、隱私計(jì)算、溯源認(rèn)證等技術(shù)手段加強(qiáng)數(shù)據(jù)安全保護(hù)。
《民航數(shù)據(jù)共享管理辦法》明確了民航數(shù)據(jù)共享類(lèi)型、目錄管理、數(shù)據(jù)歸集、數(shù)據(jù)獲取與使用等方面的要求。其中,規(guī)定數(shù)據(jù)平臺(tái)方應(yīng)建立和完善數(shù)據(jù)安全管理制度,采取數(shù)據(jù)安全保護(hù)、安全服務(wù)和安全監(jiān)測(cè)等技術(shù)措施,確保平臺(tái)運(yùn)行正常和數(shù)據(jù)安全。
11. 2024年3月22日,國(guó)家金融監(jiān)督管理總局就《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)
《管理辦法》包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)、個(gè)人信息保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置、監(jiān)督管理及附則。其中,明確銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全責(zé)任制,制定數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度,按照國(guó)家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機(jī)制,并建立數(shù)據(jù)安全技術(shù)架構(gòu),明確數(shù)據(jù)保護(hù)策略方法,采取技術(shù)手段保障數(shù)據(jù)安全。
12. 2024年3月22日,國(guó)家網(wǎng)信辦發(fā)布《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第二版)》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)》
兩項(xiàng)指南分別對(duì)申報(bào)數(shù)據(jù)出境安全評(píng)估、備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同的方式、流程和材料等具體要求作出了說(shuō)明,對(duì)數(shù)據(jù)處理者需要提交的相關(guān)材料進(jìn)行了優(yōu)化簡(jiǎn)化,指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范有序申報(bào)數(shù)據(jù)出境安全評(píng)估、備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同。
13. 2024年3月22日,國(guó)家網(wǎng)信辦發(fā)布《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》(國(guó)家互聯(lián)網(wǎng)信息辦公室令 第16號(hào))
《規(guī)定》對(duì)數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證等數(shù)據(jù)出境制度作出了優(yōu)化調(diào)整,其中,明確了重要數(shù)據(jù)出境安全評(píng)估申報(bào)標(biāo)準(zhǔn),規(guī)定了免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過(guò)個(gè)人信息保護(hù)認(rèn)證的數(shù)據(jù)出境活動(dòng)條件,同時(shí),還明確了應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的兩類(lèi)數(shù)據(jù)出境活動(dòng)條件。
14. 2024年3月22日,自然資源部發(fā)布《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》(自然資發(fā)〔2024〕57號(hào))
《管理辦法》分別從數(shù)據(jù)分類(lèi)分級(jí)管理、數(shù)據(jù)全生命周期安全管理、數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理等方面提出明確要求。其中,規(guī)定了數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)處理活動(dòng)安全負(fù)主體責(zé)任,對(duì)各類(lèi)數(shù)據(jù)實(shí)行分級(jí)防護(hù),并且在數(shù)據(jù)全生命周期處理過(guò)程中,應(yīng)記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志,采用商用密碼技術(shù)保護(hù)日志的完整性。
第二部分:標(biāo)準(zhǔn)
一、國(guó)家標(biāo)準(zhǔn)
1. 2024年3月15日,國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類(lèi)分級(jí)規(guī)則》發(fā)布
本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)分類(lèi)分級(jí)的基本原則、框架、方法和流程。在數(shù)據(jù)分類(lèi)部分,提出先按行業(yè)領(lǐng)域再按業(yè)務(wù)屬性進(jìn)行數(shù)據(jù)分類(lèi)的思路,并給出了具體的分類(lèi)方法;在數(shù)據(jù)分級(jí)部分,提出了確定分級(jí)對(duì)象、分級(jí)要素識(shí)別、數(shù)據(jù)影響分析、綜合確定級(jí)別的分級(jí)方法,并對(duì)各環(huán)節(jié)進(jìn)行了詳細(xì)闡述;在分類(lèi)分級(jí)流程部分,分別給出行業(yè)領(lǐng)域數(shù)據(jù)和處理者數(shù)據(jù)的分類(lèi)分級(jí)流程;標(biāo)準(zhǔn)還在規(guī)范性附錄中給出了重要數(shù)據(jù)的識(shí)別指南。
2. 2024年3月15日,國(guó)家標(biāo)準(zhǔn)GB/T 15843.4-2024《信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第4部分:采用密碼校驗(yàn)函數(shù)的機(jī)制》發(fā)布
本標(biāo)準(zhǔn)修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 9798-4:1999(Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function),規(guī)定了采用密碼校驗(yàn)函數(shù)的實(shí)體鑒別機(jī)制,包括單向鑒別和雙向鑒別兩種鑒別機(jī)制。
3. 2024年3月15日,國(guó)家標(biāo)準(zhǔn)GB/T 17903.1-2024《信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第1部分:概述》發(fā)布
本標(biāo)準(zhǔn)修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 13888-1:2020(Information security - Non-repudiation - Part 1: General),給出了抗抵賴(lài)機(jī)制的一般模型,作為GB/T 17903的其它部分中規(guī)定的使用密碼技術(shù)的抗抵賴(lài)機(jī)制的一般模型。
4. 2024年3月15日,國(guó)家標(biāo)準(zhǔn)GB/T 17903.3-2024《信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第3部分:采用非對(duì)稱(chēng)技術(shù)的機(jī)制》發(fā)布
本標(biāo)準(zhǔn)修改采用國(guó)際標(biāo)準(zhǔn)SO/IEC 13888-3:2020(Information security - Non-repudiation - Part 3: Mechanisms using asymmetric techniques),確立了若干特定的抗抵賴(lài)機(jī)制,用于提供原發(fā)抗抵賴(lài)、交付抗抵賴(lài)、傳輸抗抵賴(lài)和提交抗抵賴(lài)。
5. 2024年3月15日,國(guó)家標(biāo)準(zhǔn)GB/T 31497-2024《信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測(cè)量、分析和評(píng)價(jià)》發(fā)布
本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 27004:2016(Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation),規(guī)定了信息安全績(jī)效的監(jiān)視和測(cè)量、ISMS(包括其過(guò)程和控制措施)有效性的監(jiān)視和測(cè)量、以及監(jiān)視和測(cè)量結(jié)果的分析和評(píng)價(jià)。
二、行業(yè)標(biāo)準(zhǔn)
1. 2024年1月15日,金融行業(yè)標(biāo)準(zhǔn)JR/T 0285-2024《基于數(shù)字證書(shū)的移動(dòng)終端金融安全身份認(rèn)證規(guī)范》發(fā)布
本標(biāo)準(zhǔn)規(guī)定了基于數(shù)字證書(shū)的移動(dòng)終端金融安全身份認(rèn)證的服務(wù)描述、移動(dòng)終端生命周期管理、服務(wù)生命周期管理、密鑰管理、安全及功能、風(fēng)險(xiǎn)控制和運(yùn)營(yíng)管理的要求。
2. 2024年1月15日,3項(xiàng)金融行業(yè)標(biāo)準(zhǔn)JR/T 0289-2024《金融業(yè)開(kāi)源技術(shù) 術(shù)語(yǔ)》、JR/T 0290-2024《金融業(yè)開(kāi)源軟件應(yīng)用 管理指南》、JR/T 0291-2024《金融業(yè)開(kāi)源軟件應(yīng)用 評(píng)估規(guī)范》發(fā)布
《術(shù)語(yǔ)》統(tǒng)一了金融機(jī)構(gòu)對(duì)開(kāi)源技術(shù)相同名詞的表述;《管理指南》提供了金融機(jī)構(gòu)在應(yīng)用開(kāi)源軟件時(shí)的全流程管理指南,對(duì)開(kāi)源軟件的使用和管理提供了配套組織架構(gòu)、配套管理規(guī)章制度、生命周期流程管理、風(fēng)險(xiǎn)管理、存量管理、工具化管理等方面的指導(dǎo);《評(píng)估規(guī)范》規(guī)定了金融機(jī)構(gòu)在應(yīng)用開(kāi)源軟件時(shí)的評(píng)估要求,對(duì)開(kāi)源軟件的引入、維護(hù)和退出提出了實(shí)現(xiàn)要求、評(píng)估方法和判定準(zhǔn)則。
3. 2024年1月15日,金融行業(yè)標(biāo)準(zhǔn)JR/T 0299-2024《個(gè)人征信電子授權(quán)安全技術(shù)指南》發(fā)布
本標(biāo)準(zhǔn)提供了個(gè)人征信電子授權(quán)安全技術(shù)指南,包括個(gè)人征信電子授權(quán)機(jī)制、線上有效鑒別個(gè)人身份、簽發(fā)數(shù)字證書(shū)、簽署有效征信授權(quán)電子協(xié)議、存證有效征信授權(quán)電子數(shù)據(jù)、數(shù)據(jù)安全、個(gè)人信息保護(hù)等內(nèi)容。
在互聯(lián)網(wǎng)無(wú)處不在、社會(huì)信息化快速發(fā)展的時(shí)代條件下,網(wǎng)絡(luò)既是人們生產(chǎn)生活的重要空間,也是黨和政府服務(wù)群眾、了解民意、治理社會(huì)的重要平臺(tái)。 “健全網(wǎng)絡(luò)綜合治理體系,推動(dòng)形成良好網(wǎng)絡(luò)生態(tài)”是黨的二十大報(bào)告對(duì)網(wǎng)絡(luò)生態(tài)治理工作提出的指導(dǎo)性意見(jiàn)。網(wǎng)絡(luò)安全工作正向有法可依、有據(jù)可查大步邁進(jìn),天融信將持續(xù)關(guān)注國(guó)家政策,積極參與標(biāo)準(zhǔn)研制,為網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展和建設(shè)貢獻(xiàn)力量。
