网络安全政策与标准动态(第1期)

2023-11-21

序言

《网络安全政策与标准动态》由中国网络安全产业联盟联合安天科技集团股份有限公司共同推出,聚焦网络安全产业发展新举措,跟踪网络安全标准研制新进展,为掌握产业发展趋势和最新政策提供参考。

本期为第1期,主要内容如下:

  • 政策发文方面,选取了2023年10月较受关注的10余项网络安全领域政策信息。

  • 标准规范方面,梳理统计了2023年10月网络安全领域最新发布的2项国际标准、2项行业标准和6项团体标准,以及处于报批公示阶段的20项通信行业标准。


网络安全政策发文

行政法规
《未成年人网络保护条例》发布

2023年10月16日,国务院总理李强签署第766号国务院令,公布《未成年人网络保护条例》,自2024年1月1日起施行。该条例进一步细化《未成年人保护法》、《网络安全法》、《个人信息保护法》相关要求,从网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治等方面设置相应制度,明确网络产品和服务提供者等主体的未成年人网络保护义务,规范了相关管理要求。

(来源:国务院)


部门规章
国家密码管理局印发《商用密码检测机构管理办法》

2023年10月7日,国家密码管理局公布《商用密码检测机构管理办法》(国家密码管理局令第2号),自2023年11月1日起施行,旨在加强商用密码检测机构管理,规范商用密码检测活动。该办法共29条,主要内容包括总体要求、资质认定条件和程序、从业规范、监督检查及法律责任等。

(来源:国家密码管理局)


国家密码管理局印发《商用密码应用安全性评估管理办法》
    2023年10月7日,国家密码管理局公布《商用密码应用安全性评估管理办法》(国家密码管理局令第3号),自2023年11月1日起施行,旨在规范商用密码应用安全性评估工作,加强和规范商用密码应用。该办法共21条,主要内容包括总体要求、程序及内容要求、实施规范、监督检查及法律责任等。

(来源:国家密码管理局)


产业政策

工信部等六部门印发《算力基础设施高质量发展行动计划》
    2023年10月8日,工业和信息化部、中央网信办、教育部、国家卫生健康委、中国人民银行、国务院国资委六部门联合印发《算力基础设施高质量发展行动计划》,提出了完善算力综合供给体系、提升算力高效运载能力、强化存力高效灵活保障、深化算力赋能行业应用、促进绿色低碳算力发展、加强安全保障能力建设等六方面重点任务,旨在加强计算、网络、存储和应用协同创新,推进算力基础设施高质量发展,充分发挥算力对数字经济的驱动作用。该计划在加强安全保障能力建设方面,从提升网络安全、强化数据安全、推荐供应链安全等方面进行部署。

(来源:工信部)


科技部等十部门印发《科技伦理审查办法(试行)》
    2023年10月8日,科技部会同教育部、工业和信息化部等10部门印发了《科技伦理审查办法(试行)》。该办法要求,涉及数据和算法的科技活动,数据的收集、存储、加工、使用等处理活动以及研究开发数据新技术等符合国家数据安全和个人信息保护等有关规定,数据安全风险监测及应急处理方案得当;算法、模型和系统的设计、实现、应用等遵守公平、公正、透明、可靠、可控等原则,符合国家有关要求,伦理风险评估审核和应急处置方案合理,用户权益保护措施全面得当。

(来源:科技部)


工信部对《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》公开征求意见

    2023年10月9日,工信部公开征求对《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》的意见。该细则共十七条,适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。

(来源:工信部)


中央网信办发布《全球人工智能治理倡议》
    2023年10月18日,中央网信办发布《全球人工智能治理倡议》,围绕人工智能发展、安全、治理三方面系统阐述了人工智能治理的中国方案。该倡议核心内容包括:坚持以人为本、智能向善,引导人工智能朝着有利于人类文明进步的方向发展;坚持相互尊重、平等互利,反对以意识形态划线或构建排他性集团,恶意阻挠他国人工智能发展;主张建立人工智能风险等级测试评估体系,不断提升人工智能技术的安全性、可靠性、可控性、公平性;支持在充分尊重各国政策和实践基础上,形成具有广泛共识的全球人工智能治理框架和标准规范,支持在联合国框架下讨论成立国际人工智能治理机构;加强面向发展中国家的国际合作与援助,弥合智能鸿沟和治理差距等。

(来源:中央网信办)


工信部对《工业互联网安全分类分级管理办法(公开征求意见稿)》公开征求意见

2023年10月24日,工信部公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见。该办法旨在加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理。该办法主要对工业互联网企业分类、自主定级、定级核查、分级防护、符合性测评,以及网络安全管理制度、监测预警和信息通报、应急处置和演练等内容进行规定。

(来源:工信部


地方政策

2023年10月发布网络安全要求及新一代信息技术相关的地方政策如下:

广东省一体化行政执法平台管理办法 // 广东省人民政府,2023-10-08
福建省一体化公共数据体系建设方案 // 福建省人民政府办公厅,2023-10-10
厦门市公共数据授权运营管理暂行办法(征求意见稿)// 厦门市工业和信息化局,2023-10-10
“郑州链”建设实施方案(2023—2025年)// 郑州市人民政府办公厅,2023-10-12

江苏省政务“一朵云”建设总体方案 // 江苏省人民政府办公厅,2023-10-12

内蒙古自治区推动数字经济高质量发展工作方案(2023—2025年)// 内蒙古自治区人民政府办公厅,2023-10-17
上海市进一步推进新型基础设施建设行动方案(2023—2026年)// 上海市人民政府,2023-10-19
上海数据交易所数据交易安全合规指引 // 上海数据交易所,2023-10-19
山东省大数据局支持推进全省数字经济高质量发展的若干措施 // 山东省大数据局,2023-10-25

江苏省元宇宙产业发展行动计划(2024—2026年) // 江苏省人民政府办公厅,2023-10-31


网络安全标准规范
最新发布标准
国际标准

ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)在2023年10月共发布2项国际标准。


标准号:ISO/IEC TR 6114:2023 

英文名称:Cybersecurity — Security considerations throughout the product life cycle 

中文名称:网络安全 贯穿整个产品生命周期的安全注意事项


标准号:ISO/IEC 23837-2:2023

英文名称:Information security — Security requirements, test and evaluation methods for quantum key distribution — Part 2: Evaluation and testing methods

中文名称:信息安全 量子密钥分发的安全要求、测试和评估方法 第 2 部分:评估和测试方法

(来源:ISO)

行业标准

2023年10月,金融行业和能源行业各发布1项网络安全相关标准。

行业分类金融

标准号:JR/T 0295-2023

标准名称:证券期货业信息安全运营管理指南

该标准提供了开展信息安全运营管理中安全管理、基础安全管理、信息资产管理、漏洞管理、开发安全管理、数据安全管理、集中监控与响应管理以及持续改进管理的指导思路及方法。该标准适用于证券期货行业的核心机构和经营机构在完成基础的信息安全建设后开展的信息安全运营管理工作。


行业分类:能源

标准号:NB/T 11302-2023

标准名称:电动汽车充电设施及运营平台信息安全技术规范

该标准给出了充电桩运营平台网络安全防护架构,包括安全分区、网络专用、横向隔离、纵向认证,规定了电动汽车充电设施及运营平台的安全防护技术要求。标准适用于与电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。

*注:行业标准查询:https://hbba.sacinfo.org.cn/stdList


团体标准

2023年10月,有2家社会团体共发布6项网络安全相关的团体标准。

团体名称:中国通信标准化协会

标准号:T/CCSA 472-2023

标准名称:隐私计算应用 面向金融场景的应用要求

该标准规定了面向金融场景的隐私计算产品在易用性、金融场景支持、算法能力与安全性、场景应用方面必要的能力要求。该标准适用于金融机构开展隐私计算金融应用的研发、测试、应用和验收。


团体名称:中国通信标准化协会

标准号:T/CCSA 473-2023

标准名称:隐私计算应用 面向政务场景的应用要求

该标准规定了隐私计算产品面向政务场景在基础能力、场景应用方面的能力要求。该标准适用于政府部门或者单位开展隐私计算政务场景应用的研发、测试、应用和验收。也可作为隐私计算技术厂商的开发指南。


团体名称:中国通信标准化协会

标准号:T/CCSA 480-2023

标准名称:车联网在线升级(OAT)安全技术要求与测试方法

该标准规定了车联网中在线升级 (OTA) 安全技术要求与测试方法,包括 OTA 服务平台、通信链路、OTA 应用的安全技术要求与测试方法。该标准适用于指导 OTA 平台服务商、基础电信企业、互联网企业、智能网联汽车生产企业等,开展 OTA 服务平台、通信链路和 OTA 应用的安全设计、研发、测试和运行。


团体名称:中国通信标准化协会

标准号:T/CCSA 481-2023

标准名称:车联网应用软件通用安全技术规范

该标准规定了车联网应用软件的通用安全技术规范,为不同端车联网应用软件提供通用的安全防护指导,包含安全技术要求与测试评价方法两部分。该标准适用于指导整车厂商、软件供应商、车联网服务提供商、汽车零部件供应商等企业和第三方评估机构、主管机构等单位开展车联网应用软件的开发测试、运行维护等生存周期过程的安全防护与测试评估工作。


团体名称:天津市软件行业协会

标准号:T/TSIA 004-2023

标准名称:互联网软件运营安全管理规范

该标准规定了联网软件网络运营的安全人员、管理制度、网络运行、个人信息安全和安全评估要求。该标准提出的安全管理和技术措施的相关要点和方法,可用于网络安全相关监管部门以及网络安全第三方服务机构开展网络安全监督管理与评估等工作,可作为“联网软件”的网络运营者开展安全自查的参考依据。


团体名称:天津市软件行业协会

标准号:T/TSIA 005-2023

标准名称:网络安全第三方服务机构管理规范

该标准规定了网络安全第三方服务机构的资格要求、规模与业绩要求、人员能力要求、管理要求、技术服务能力要求、设备及环境要求和监督审查要求。该标准适用于从事网络安全行业的服务机构,包括网络安全威胁评估机构、网络安全检测监测机构以及提供网络安全工程的相关机构。

(来源:中国通信标准化协会、团标信息平台)


标准研制动态

报批公示

2023年10月10日,工信部公示了81项通信行业标准报批稿,其中网络安全相关标准20项。

图片

(来源:工信部

联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号