网络安全政策与标准动态(第2期)

2023-12-28

序言

《网络安全政策与标准动态》由中国网络安全产业联盟联合安天科技集团股份有限公司共同推出,聚焦网络安全产业发展新举措,跟踪网络安全标准研制新进展,可为掌握产业发展趋势和最新政策提供参考。

本期为第2期,主要内容如下:

  • 政策发文方面,选取了2023年11月以来网络安全领域较受关注的10项产业政策信息和22项地方政策信息。

  • 标准规范方面,梳理统计了2023年11月以来网络安全领域最新发布的3项国际标准、3项国家标准、26项行业标准和9项团体标准,以及30项标准项目计划和4项标准征求意见信息。


网络安全政策发文
产业政策

财政部对《会计师事务所数据安全管理暂行办法(征求意见稿)》公开征求意见

2023年11月13日,财政部、国家网信办联合起草的《会计师事务所数据安全管理暂行办法(征求意见稿)》公开征求意见。该办法旨在加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,在注册会计师行业对国家数据安全管理制度进行细化,对数据传输、数据加密、数据备份等事项做出具体规定,对数据管理技术手段、数据存储方式、日志管理等提出具体要求。

(来源:财政部


工信部等四部门部署开展智能网联汽车准入和上路通行试点工作

2023年11月17日,工业和信息化部、公安部、住房和城乡建设部和交通运输部联合印发通知,部署开展智能网联汽车准入和上路通行试点工作。试点工作要求在智能网联汽车道路测试与示范应用工作基础上,工业和信息化部等四部门遴选具备量产条件的搭载自动驾驶功能的智能网联汽车产品,开展准入试点;对取得准入的智能网联汽车产品,在限定区域内开展上路通行试点,车辆用于运输经营的需满足交通运输主管部门运营资质和运营管理要求。针对试点工作,四部门制定了《智能网联汽车准入和上路通行试点实施指南(试行)》,包括智能网联汽车准入、使用主体、上路通行、试点暂停与退出四个部分的内容

(来源:工信部


工信部对《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》公开征求意见

2023年11月23日,工业和信息化部网络安全管理局起草的《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》公开征求意见。该指引旨在进一步衔接细化《数据安全法》相关罚则规定,构建行业数据安全行政处罚职权体系,统一数据安全行政处罚尺度,指导行业监管部门开展数据安全行政处罚工作,有效提升数据安全监管执法能力。该指引由正文及附件裁量基准组成,主要对行政裁量管辖、行政处罚情形、行政处罚裁量权适用规则等内容进行规定

(来源:工信部


国家互联网信息办公室对《网络安全事件报告管理办法(征求意见稿)》公开征求意见
2023年12月8日,国家互联网信息办公室起草的《网络安全事件报告管理办法(征求意见稿)》公开征求意见。该办法旨在规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,对网络安全事件报告流程、报告内容、报告时限等方面做出规定

(来源:国家网信办


国家互联网信息办公室与香港创新科技及工业局共同发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
2023年12月13日,国家互联网信息办公室与香港创新科技及工业局共同发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,旨在落实《关于促进粤港澳大湾区数据跨境流动的合作备忘录》中“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展

(来源:国家网信办


工信部对《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》公开征求意见
2023年12月15日,工业和信息化部网络安全管理局起草的《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》公开征求意见。该应急预案旨在推动工业和信息化领域数据安全事件应急处置工作规范化、制度化开展,共八章三十九条,主要包括总则、组织体系、监测与预警、事件应急响应处置、预防措施和保障措施,并附有工业和信息化领域数据安全事件分级、上报模板、应急处置工作总结报告、应急处置流程图等内容

(来源:工信部


国家数据局对《“数据要素*”三年行动计划(2024—2026年)(征求意见稿)》公开征求意见
2023年12月15日,国家数据局起草的《“数据要素*”三年行动计划(2024—2026年)(征求意见稿)》公开征求意见。该计划旨在发挥数据要素乘数效应,促进我国数据基础资源优势转化为经济发展新优势,对智能制造、智慧农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、智慧城市、绿色低碳等行业和领域部署“数据要素*”重点行动,提出了提升数据供给水平、优化数据流通环境、加强数据安全保障等强化支撑措施

(来源:国家数据局


工信部等十四部门办公厅部署开展网络安全技术应用试点示范工作
2023年12月18日,工业和信息化部等十四部门办公厅(办公室、秘书局、综合司)联合印发通知,部署开展网络安全技术应用试点示范工作,旨在加强网络安全先进技术应用引导,推动网络安全产业高质量发展。试点工作面向公共通信和信息服务、人力资源社会保障、水利、卫生健康、应急管理、广播电视、金融、交通运输、邮政等行业领域,涉及基础网络安全、云计算安全、人工智能安全、大数据安全、信创安全、商用密码、车联网安全、物联网安全、中小企业数字化转型安全、网络安全共性技术、网络安全创新服务、教育技术产业融合发展联合体、网络安全“高精尖”创新平台等13个重点方向

(来源:工信部


工信部办公厅组织开展网络安全保险服务试点工作
2023年12月21日,工业和信息化部办公厅印发通知,组织开展网络安全保险服务试点工作,旨在加快推进网络安全保险新模式落地应用,促进企业提升网络安全风险应对能力,建立健全网络安全保险流程机制。本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类,试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品,以及网络安全服务类保险

(来源:工信部


财政部和工信部发布七项信息类产品政府采购需求标准
2023年12月26日,财政部、工业和信息化部联合发布了七项信息类产品政府采购需求标准(2023年版),包括台式计算机、便携式计算机、一体式计算机、工作站、通用服务器、操作系统和数据库,旨在提高政府采购需求管理的科学化、规范化水平,进一步落实政府采购公平竞争原则,优化营商环境,营造良好的产业生态七项需求标准均包括了指标分类、一级指标、二级指标、是否可以作为评分因素、指标要求、指标使用说明等内容,其中指标分类主要包括产品规格、性能要求、功能要求、可靠性要求、兼容要求、包装及运输要求、服务要求、供应保障要求和安全要求等类别。

(来源:财政部


地方政

2023年11月以来,各地相继出台了多项涉及网络安全、数据安全以及新一代信息技术相关的地方政策,以加强网络安全和数据保护,促进数字经济发展。

关于促进全国一体化算力网络国家(贵州)枢纽节点建设的若干激励政策 // 贵州省大数据局等8部门,2023-11-01

打造通用人工智能产业创新和应用高地若干政策 // 安徽省人民政府,2023-11-02

浙江省汽车数据处理管理规定 // 浙江省委网信办等5部门,2023-11-04

上海市推动人工智能大模型创新发展若干措施(2023-2025年)// 上海市经济和信息化委员会,2023-11-07

广西数据要素市场化发展管理暂行办法 // 广西壮族自治区人民政府办公厅 ,2023-11-13

广东省人民政府关于加快建设通用人工智能产业创新引领地的实施意见 // 广东省人民政府 ,2023-11-13

山东省数字基础设施建设行动方案(2024—2025年)// 山东数字强省建设领导小组办公室,2023-11-14

“数字湾区”建设三年行动方案 // 广东省人民政府办公厅,2023-11-21

广东省政务服务数字化条例 // 广东省人民代表大会常务委员会,2023-11-23

浙江省虚拟现实与行业应用融合发展行动计划(2023-2027年)// 浙江省经济和信息化厅,2023-11-29

江西省数据应用条例 // 江西省人民代表大会常务委员会,2023-12-01

关于更好发挥数据要素作用推动广州高质量发展的实施意见 // 中共广州市委全面深化改革委员会,2023-12-01

深圳市算力基础设施高质量发展行动计划(2024-2025)// 深圳市工业和信息化局,2023-12-05

海南省培育数据要素市场三年行动计划(2024—2026)// 海南省人民政府办公厅,2023-12-06

安徽省智能算力基础设施建设方案(2023—2025年)// 安徽省发展和改革委员会,2023-12-06

青岛市数据要素市场化配置改革三年行动方案 // 数字青岛建设领导小组办公室,2023-12-06

加快推进吉林省数字经济高质量发展实施方案(2023-2025年)// 吉林省人民政府办公厅,2023-12-06

北京市关于促进网络安全保险规范健康发展的实施方案 // 北京市经济和信息化局,2023-12-08

香港促进数据流通及保障数据安全的政策宣言 // 香港特区政府创新科技及工业局,2023-12-08

北京市公共数据专区授权运营管理办法(试行)// 北京市经济和信息化局,2023-12-08

云南省公共数据管理办法(试行)// 云南省人民政府,2023-12-10

安徽省数字基础设施建设发展三年行动方案(2023—2025年)// 安徽省数据资源管理局等6部门,2023-12-15


网络安全标准规范
最新发布标准
国际标准

2023年11月以来,ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)共发布3项国际标准。

标准编号:ISO/IEC TS 9569:2023

英文名称:Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Patch Management Extension for the ISO/IEC 15408 series and ISO/IEC 18045

中文名称:信息安全 网络安全和隐私保护 IT安全评估准则 ISO/IEC 15408 系列和 ISO/IEC 18045 的补丁管理扩展


标准编号:ISO/IEC 27033-7:2023

英文名称:Information technology – Network security — Part 7: Guidelines for network virtualization security

中文名称:信息技术 网络安全第7部分:网络虚拟化安全指南


标准号:ISO/IEC 27402:2023

英文名称:Cybersecurity — IoT security and privacy — Device baseline requirements

中文名称:网络安全 物联网安全和隐私 设备基线要求

(来源:ISO


国家标准

2023年11月27日,全国信息安全标准化技术委员会归口的3项国家标准正式发布,自2024年6月1日起实施。

标准编号:GB/T 43269-2023

标准名称:信息安全技术 网络安全应急能力评估准则

该标准立足于各行业、各地区、各系统网络安全应急响应工作,规定了网络安全应急能力要求,给出了相应评估流程。该标准适用于各类组织进行网络安全应急能力建设与评估。


标准编号:GB/T 43435-2023

标准名称:信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求

该标准规定了移动互联网应用程序(App)软件开发工具包(SDK)设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求。该标准适用于SDK开发、运营,并供SDK安全检测和评估参考使用。


标准编号:GB/T 43445-2023

标准名称:信息安全技术 移动智能终端预置应用软件基本安全要求

该标准规定了移动智能终端预置应用软件的基本安全要求。该标准适用于移动智能终端的设计、开发、生产和测试,也适用于主管监管部门、第三方评估机构对移动智能终端进行监督、管理和评估。该标准不适用于工业终端、车载终端等面向特定行业和用途的数据终端,也不适用于未接入公众移动通信网络的智能终端产品。

(来源:全国信安标委


行业标准

2023年12月6日,中国民用航空局发布1项网络安全相关标准,国家密码管理局发布25密码行业标准。

行业分类:

民用航空

标准编号及名称:

MH/T 3035-2023  民用航空生产运行工业控制系统网络安全防护技术要求


行业分类:

密码

标准编号及名称:

GM/T 0006-2023  密码应用标识规范

GM/T 0009-2023  SM2密码算法使用规范

GM/T 0010-2023  SM2密码算法加密签名消息语法规范

GM/T 0011-2023  可信计算 可信密码支撑平台功能与接口规范

GM/T 0014-2023  数字证书认证系统密码协议规范

GM/T 0015-2023  数字证书格式

GM/T 0016-2023  智能密码钥匙密码应用接口规范

GM/T 0017-2023  智能密码钥匙密码应用接口数据格式规范

GM/T 0018-2023  密码设备应用接口规范

GM/T 0019-2023  通用密码服务接口规范

GM/T 0020-2023  证书应用综合服务接口规范

GM/T 0021-2023  动态口令密码应用技术规范

GM/T 0022-2023  IPSec VPN技术规范

GM/T 0023-2023  IPSec VPN网关产品规范

GM/T 0024-2023  SSL VPN技术规范

GM/T 0025-2023  SSL VPN网关产品规范

GM/T 0026-2023  安全认证网关产品规范

GM/T 0033-2023  时间戳接口规范

GM/T 0126-2023  HTML密码应用置标语法

GM/T 0127-2023  移动终端密码模块应用接口规范

GM/T 0128-2023  数据报传输层密码协议规范

GM/T 0129-2023  SSH密码协议规范

GM/T 0130-2023  基于SM2算法的无证书及隐式证书公钥机制

GM/T 0131-2023  电子签章应用接口规范

GM/T 0132-2023  信息系统密码应用实施指南

(来源:国家密码管理局、中国民用航空局)


团体标准

2023年11月以来,有5家社会团体发布了9项网络安全相关的团体标准。

团体名称:

中国互联网金融协会

公布的标准:

T/NIFA 21—2023 金融数据安全技术防护规范

T/NIFA 22—2023 金融数据安全应急响应和处置指引

T/NIFA 28—2023 网上银行服务 应用安全规范


团体名称:

全国城市工业品贸易中心联合会

公布的标准:

T/QGCML 2131—2023 数据安全风险评估规范

T/QGCML 2169—2023 网络安全威胁检测分析系统

T/QGCML 2102—2023 智能网络安全攻防演练系统


团体名称:

山东省大数据协会

公布的标准:

T/SDBDA 51—2023 大数据平台 网络安全等级划分指南


团体名称:

四川省技术市场协会

公布的标准:

T/STMA 011—2023 城市网络安全综合防控平台设计指南


团体名称:

上海市闵行区中小企业协会

公布的标准:

T/SHMHZQ 016—2023 数据安全管理评价指标管理规范

(来源:全国团体标准信息平台)


其他标准

2023年11月28日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》。该实践指南给出了网络安全产品互联互通时告警信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

(来源:全国信安标委


标准研制动态

标准项目计划

2023年12月6日,国家标准化管理委员会下达2023年第三批推荐性国家标准计划,涉及4项网络安全相关的标准项目,其中1项由全国信息安全标准化技术委员会(TC260)归口管理,另外3项由全国通信标准化技术委员会(TC485)归口管理。

图片

(来源:国家标准委


2023年11月14日,工信部发布《2023年第三批行业标准制修订和外文版项目计划》,其中网络安全相关行业标准项目有26项,涉及新兴技术和业务安全、有线网络安全、安全管理、数据安全等领域。

图片

(来源:工信部



标准征求意见

2023年12月4日,全国信息安全标准化技术委员会发布了1项网络安全国家标准征求意见稿面向社会公开征求意见,截止日期为2024年2月3日。

标准名称:信息安全技术 政务计算机终端核心配置规范

主要内容:该标准规定了政务计算机终端核心配置对象、配置范围、配置要求、基线配置描述文件的格式规范、配置的自动化实现方法、实施流程,描述了配置要求对应的证实方法。该标准参考网络安全等级保护基本要求的第三级要求提出核心配置基线制作规范,对于等级保护二级、四级要求,可适当裁剪、降低或增加、增强配置基线内容。该标准适用于政务部门开展计算机终端的核心配置工作。


2023年11月以来,全国信息安全标准化技术委员会发布了3项网络安全实践指南征求意见稿面向社会公开征求意见。

文件名称:网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求

主要内容:该实践指南规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求。该实践指南适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。


文件名称:网络安全标准实践指南——网络安全产品互联互通 资产信息格式

主要内容:该实践指南规定了网络安全产品互联互通资产信息的描述格式。该实践指南适用于网络安全产品互联互通的设计、开发、应用和测试。


文件名称:网络安全标准实践指南——大型互联网平台网络安全评估指南

主要内容:该实践指南从影响或者可能影响社会稳定和公共利益的角度,给出了开展大型互联网平台网络安全评估的评估内容和评估方法。

(来源:全国信安标委)

联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号