网络安全政策与标准动态(第3期)

2024-03-22

序言

《网络安全政策与标准动态》由中国网络安全产业联盟联合安天科技集团股份有限公司共同推出,聚焦网络安全产业发展新举措,跟踪网络安全标准研制新进展,可为掌握产业发展趋势和最新政策提供参考。

本期为第3期,主要内容如下:

  • 政策发文方面,选取了2024年1月以来网络安全领域较受关注的6项产业政策信息和21项地方政策信息。

  • 标准规范方面,梳理统计了网络安全领域最新发布的6项国际标准、5项国家标准、45项行业标准和15项团体标准,以及7项标准项目计划和5项标准征求意见信息。



网络安全政策发文
产业政策
交通运输部公布《铁路关键信息基础设施安全保护管理办法》
2024年1月3日,交通运输部公布《铁路关键信息基础设施安全保护管理办法》,自2024年2月1日起施行,旨在全面贯彻落实党中央、国务院关于加强关键信息基础设施安全保护的决策部署,细化落实《关键信息基础设施安全保护条例》规定,以全面保障铁路关键信息基础设施的安全运行。该办法共6章30条,主要包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任等内容

(来源:交通运输部


财政部印发《关于加强数据资产管理的指导意见》

2024年1月11日,财政部发布《关于加强数据资产管理的指导意见》,明确了数据的资产属性,提出依法合规推动数据资产化,平等保护各类主体数据资产合法权益,鼓励公共服务机构将依法合规持有或控制的、具有资产属性的公共数据资源纳入资产管理范畴,进一步创新数据资产管理方式方法,加强数据资产全流程管理,严防数据资产应用风险等,更好促进数字经济高质量发展

(来源:财政部


工信部等七部门联合印发《关于推动未来产业创新发展的实施意见》
2024年1月29日,工信部、教育部、科技部等七部门联合印发《关于推动未来产业创新发展的实施意见》。提出到2025年,我国未来产业技术创新、产业培育、安全治理等全面发展,部分领域达到国际先进水平,产业规模稳步提升。建设一批未来产业孵化器和先导区,突破百项前沿关键核心技术,形成百项标志性产品,初步形成符合我国实际的未来产业发展模式。到2027年,未来产业综合实力显著提升,部分领域实现全球引领。关键核心技术取得重大突破,一批新技术、新产品、新业态、新模式得到普遍应用,形成可持续发展的长效机制,成为世界未来产业重要策源地

(来源:工信部


工信部印发《工业控制系统网络安全防护指南》
2024年1月30日,工信部印发《工业控制系统网络安全防护指南》,旨在进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基。该指南定位于面向工业企业做好网络安全防护的指导性文件,围绕安全管理、技术防护、安全运营、责任落实四方面,提出资产管理、配置管理、供应链安全、宣传教育、主机与终端安全等33项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题

(来源:工信部


工信部等十二部门联合印发《工业互联网标识解析体系“贯通”行动计划(2024-2026年)》
2024年1月31日,工信部、教育部、科技部等十二部门印发《工业互联网标识解析体系“贯通”行动计划(2024—2026年)》,提出到 2026 年,我国建成自主可控的标识解析体系,在制造业及经济社会重点领域初步实现规模应用,对推动企业数字化转型、畅通产业链供应链、促进大中小企业和一二三产业融通发展的支撑作用不断增强。该行动计划部署7项重点任务,包括贯通产业链供应链、全面赋能消费品“三品”战略、促进数字医疗整合、在完善绿色低碳管理、提升安全管理水平等,并从增强基础设施能力、完善技术创新体系、构建产品服务体系、提升数据流通水平、强化标识安全保障5个方面提出支撑举措

(来源:工信部


工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》
2024年2月26日,工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》。该方案以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出11项任务

(来源:工信部


地方政

2024年1月以来,各地相继出台了多项涉及网络安全、数据安全以及新一代信息技术相关的地方政策,以加强网络安全和数据保护,促进数字经济发展。

数据安全领域

江苏省关于促进数据安全产业发展的实施意见 // 江苏省工业和信息化厅等,2024-03-04


信息基础设施建设
山西省算力基础设施高质量发展实施方案 // 山西省通信管理局等,2024-01-0202

上海市推进IPv6技术演进“智网上海”行动计划(2024-2025)// 上海市通信管理局等,2024-01-09

贵州省算力基础设施高质量发展行动计划(2024-2025年)// 贵州省通信管理局等,2024-02-02


人工智能领域

广东省加快数字政府领域通用人工智能应用工作方案  // 广东省政务服务数据管理局,2024-01-02

关于加快人工智能产业发展的指导意见 // 浙江省人民政府办公厅,2024-01-10

内蒙古自治区促进通用人工智能发展若干措施 // 内蒙古自治区政务服务与数据管理局等,2024-02-07


数字经济发展
四川省关于推进数据要素市场化配置综合改革的实施方案 // 四川省大数据中心等,2024-01-0202

吉林省大数据条例 // 吉林省人民代表大会常务委员会,2024-01-04

关于加快数字经济高质量发展的意见 // 山东省委、山东省人民政府,2024-01-09

关于推进数据基础制度建设更好发挥数据要素作用的实施意见 // 江苏省委、江苏省人民政府,2024-01-17

江苏省数据知识产权登记管理办法(试行)// 江苏省知识产权局等,2024-01-22

关于加快推进数字经济创新发展的若干措施 // 山东省科学技术厅等,2024-01-23

关于推动数字经济高质量发展的政策措施 // 陕西省委、陕西省人民政府,2024-01-26

广西数据交易管理暂行办法 // 广西壮族自治区人民政府办公厅,2024-01-30

天津市公共数据授权运营试点管理暂行办法 // 天津市政府办公厅,2024-01-30

加快推进数字经济高质量发展行动方案(2024—2026年)// 安徽省委办公厅、省政府办公厅,2024-02-29


数字政府规划

山西省数字政府建设规划(2023-2025年) // 山西省人民政府办公厅 ,2024-01-05

贵州省关于加强数字政府建设实施方案 // 贵州省人民政府 ,2024-01-08

贵州省工业领域数字化转型行动方案 // 贵州省工业和信息化厅,2024-02-02

全省规上工业企业数字化转型工作方案(2024-2026年)// 山东省工业和信息化厅,2024-02-19


网络安全标准规范
最新发布标
国际标准

2024年1月以来,ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)共发布6项国际标准。

标准编号:ISO/IEC 17825:2024

英文名称:Information technology — Security techniques — Testing methods for the mitigation of non-invasive attack classes against cryptographic modules

中文名称:信息技术 安全技术 缓解针对加密模块的非侵入性攻击类的测试方法


标准编号:ISO/IEC 27001:2022/Amd 1:2024

英文名称:Information security, cybersecurity and privacy protection — Information security management systems — Requirements — Amendment 1: Climate action changes 

中文名称:信息安全 网络安全和隐私保护 信息安全管理系统 要求 补篇1:气候行动变化


标准编号:ISO/IEC 27006-1:2024

英文名称:Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General

中文名称:信息安全 网络安全和隐私保护 信息安全管理体系审计和认证机构要求 第 1 部分:总则


标准编号:ISO/IEC 27040:2024

英文名称:Information technology — Security techniques — Storage security

中文名称:信息技术 安全技术 存储安全


标准编号:ISO/IEC 29100:2024

英文名称:Information technology — Security techniques — Privacy framework

中文名称:信息技术 安全技术 隐私框架


标准编号:ISO/IEC 29146:2024

英文名称:Information technology — Security techniques — A framework for access management

中文名称:信息技术 安全技术 访问管理框架

(来源:ISO


国家标准

2024年1月3日,全国网络安全标准化技术委员会归口的5项国家标准正式发布,自2024年7月1日起实施。

标准编号:GB/T 29246-2023

标准名称:信息安全技术 信息安全管理体系 概述和词汇

该标准给出了信息安全管理体系(ISMS)概述,界定了ISMS标准族中常用的术语和定义。该标准适用于所有类型和规模的组织(例如,商业企业、政府机构、非营利组织)


标准编号:GB/T 35290-2023

标准名称:信息安全技术 射频识别(RFID)系统安全技术规范

该标准规定了射频识别(RFID)系统安全技术要求,包括电子标签、阅读器/读写器、空中接口通信链路、网络传输通信链路管理单元等的安全要求,给出了测试条件和测试评价方法。该标准适用于RFID系统的安全功能设计、开发、使用、测试和评估,不适用于5.8GHz频段的RFID系统


标准编号:GB/T 43557-2023

标准名称:信息安全技术 网络安全信息报送指南

该标准给出了网络安全信息报送的信息类型和要素,以及网络安全信息报送活动的要素和关系、基本流程、报送方式等。该标准适用于各类组织间的网络安全信息报送活动


标准编号:GB/T 43577.1-2023

标准名称:信息安全技术 电子发现 第1部分:概述和概念

电子发现是指由参与调查、诉讼或类似程序的一方或多方发现相关电子留存信息(ESI)或数据的过程。该标准概述了电子发现,定义了相关术语,描述了相关概念,包括但不限于ESI的识别、保全、收集、处理、评审、分析和产出。该标准还确认了其他相关标准(如ISO/IEC 27037)及其与电子发现活动的关系和相互作用。该标准适用于参与部分或全部电子发现活动的非技术人员和技术人员。


标准编号:GB/T 43578-2023

标准名称:信息安全技术 通用密码服务接口规范

该标准规定了通用密码服务接口的数据结构、接口描述、函数定义要求,描述了相应验证方法。该标准适用于公开密钥应用技术体系下密码应用服务的开发,密码应用支撑平台的研制及检测,密码设备的应用系统的开发

(来源:全国网安标委


行业标准

2024年1月,工信部已发布多项通信行业标准,其中45项为网络安全相关标准。

图片

(来源:工信部)


团体标准

2024年1月以来,有5家社会团体发布了15项网络安全相关的团体标准。

团体名称:

中关村无线网络安全产业联盟

公布的标准:

T/WAPIA 024-2024 信息安全技术 三元可扩展鉴别协议消息封装扩展要求

T/WAPIA 013.2-2024 信息安全技术 数字证书管理 第2部分:证书存储和使用

T/WAPIA 013.5-2024 信息安全技术_数字证书管理_第5部分:证书格式


团体名称:

中国出入境检验检疫协会

公布的标准:

T/CIQA 75-2024 网络安全检测人员能力要求

T/CIQA 76-2024 检验检测行业数据安全工作指南

T/CIQA 77-2024 检验检测行业网络安全等级保护实施指南


团体名称:

中国通信企业协会

公布的标准:

T/CAICI 80-2024 存储介质数据销毁安全要求和测试方法


团体名称:

中国通信学会

公布的标准:

T/ZGTXXH 086-2024 软件定义广域网络(SD-WAN) 2.0 总体技术要求

T/ZGTXXH 088-2024 算网安全通用技术要求
T/ZGTXXH 090-2024 面向算网安全的溯源审计技术要求

T/ZGTXXH 091-2024 面向算网安全的隐私计算技术要求


团体名称:

电信终端产业协会

公布的标准:

T/TAF 216-2024 网络设备密码应用技术要求 存储设备

T/TAF 217-2024 网络设备密码应用技术要求 防火墙设备  

T/TAF 218-2024 网络设备密码应用技术要求 服务器设备  

T/TAF 219-2024 网络设备密码应用技术要求 入侵检测设备

(来源:全国团体标准信息平台)


其他标准

2024年2月29日,全国网络安全标准化技术委员会发布了技术文件《生成式人工智能服务安全基本要求》(TC260-003)。该文件规定了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施等,并给出了安全评估要求。该文件适用于服务提供者开展安全评估、提高安全水平,也可为相关主管部门评判生成式人工智能服务安全水平提供参考。

(来源:全国网安标委


标准研制动态

标准项目计划

2024年1月12日,国家标准化管理委员会下达的推荐性国家标准计划中,由全国网络安全标准化技术委员会归口的标准项目共计7项。

图片

(来源:全国网安标委


标准征求意见

2024年1月以来,全国网络安全标准化技术委员会发布了5项网络安全国家标准征求意见稿面向社会公开征求意见。

标准名称:信息安全技术 网络安全产品互联互通告警信息格式

主要内容:该标准规定了网络安全产品互联互通时告警信息的描述格式;适用于网络安全产品互联互通的设计、开发、应用和测试。


标准名称:信息安全技术 网络安全产品互联互通 资产信息格式

主要内容:该标准规定了网络安全产品互联互通资产信息的描述格式;适用于网络安全产品的设计、开发、应用和测试。


标准名称:信息安全技术 信息安全管理体系 要求

主要内容:该标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求,以及根据组织需求所剪裁的信息安全风险评估和处置的要求;适用于各种类型、规模或性质的组织。


标准名称:信息安全技术 信息安全风险管理指导

主要内容:该标准提供了信息安全风险管理指导,以帮助组织满足 GB/T22080-xxxx有关应对信息安全风险活动的要求;实施信息安全风险管理活动,特别是信息安全风险评估和处置。该标准适用于所有组织,无论其类型、规模或领域。

(来源:全国网安标委


标准名称:信息安全技术 云计算服务安全能力评估方法

主要内容:该标准给出了依据GB/T 31168-2023《信息安全技术 云计算服务安全能力要求》开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法;适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商在进行自评估时也可参考。

(来源:全国网安标委
联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号