2024-09-12
《网络安全政策与标准动态》由中国网络安全产业联盟联合安天科技集团股份有限公司共同推出,聚焦网络安全产业发展新举措,跟踪网络安全标准研制新进展,可为掌握产业发展趋势和最新政策提供参考。
本期为第5期,主要内容如下:
政策发文方面,选取了2024年6月以来网络安全领域较受关注的4项产业政策信息和20项地方政策信息。
标准规范方面,梳理统计了网络安全领域最新发布的5项国际标准、40项行业标准和12项地方标准,以及6项标准项目计划和7项标准征求意见信息。
2024年7月3日,工业和信息化部、中央网络安全和信息化委员会办公室、国家发展和改革委员会、国家标准化管理委员会联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》。该指南提出到2026年,新制定国家标准和行业标准50项以上,参与制定国际标准20项以上,开展标准宣贯和实施推广的企业超过1000家,推动人工智能产业高质量发展和全球化发展。该指南围绕人工智能标准体系结构和框架提出建设思路,对基础共性标准、基础支撑标准、关键技术标准、智能产品与服务标准、赋能新型工业化标准、行业应用标准、安全/治理标准等7个重点方向进行部署。其中的安全标准主要规范人工智能技术、产品、系统、应用、服务等全生命周期的安全要求,包括基础安全,数据、算法和模型安全,网络、技术和系统安全,安全管理和服务,安全测试评估,安全标注,内容标识,产品和应用安全等标准。
(来源:工信部,查阅全文)
2024年7月25日,国家发改委发布了《电力监控系统安全防护规定》(公开征求意见稿),旨在完善电力监控系统网络安全技术防护体系,提升电力监控系统安全防护水平。该规定是对国家发改委2014年第14号令的修订,修订主要内容包括:一是明确电力监控系统的对象和业务范畴,将电力监控系统的范围由罗列典型系统名称改为按系统功能描述的形式进行列举,同时明确电力监控系统运营者等相关适用对象;二是优化安全分区要求,调整安全区名称,细化分区保护粒度,强化安全接入区设置及防护要求;三是深化技术防护原则与策略,补充了业务横纵向交互、设备选型、安全加固、态势感知等技术要求,以及应急备用等管理措施;四是强化供应链管理,明确电力监控系统专用安全产品的管理机制;五是进一步优化技术监督管理,明确电力监控系统运营者和电力调度机构的技术监督要求,增加技术监督风险管控措施;六是细化了罚则。
(来源:国家发改委,查阅全文)
(来源:自然资源部,查阅全文)
(来源:国家网信办,查阅全文)
2024年6月以来,各地相继出台了多项涉及网络安全、数据安全以及新一代信息技术相关的地方政策,以加强网络安全和数据保护,促进数字经济发展。
江西省工业领域数据安全能力提升实施方案(2024-2026年)// 江西省工业和信息化厅,2024-06-07
广西促进工业领域数据安全能力提升实施方案(2024—2026年)// 广西壮族自治区工业和信息化厅,2024-07-24
山西省促进先进算力与人工智能融合发展的若干措施 // 山西省人民政府办公厅,2024-06-25
天津市算力产业发展实施方案(2024—2026年)// 天津市人民政府办公厅,2024-07-01
湖北算网协同高质量发展行动计划(2024-2026年)// 湖北省通信管理局等,2024-07-15
关于加快大模型产业高质量发展的指导意见 // 山东省工业和信息化厅,2024-06-14
广东省工业互联网标识解析体系“千标通粤”贯通行动计划(2024-2026年)// 广东省通信管理局等,2024-06-28
四川省高新技术产业开发(园)区推动人工智能产业率先突破发展行动方案(2024—2026年)// 四川省经济和信息化厅,2024-07-03
内蒙古自治区数字经济促进条例 // 内蒙古自治区人民代表大会常务委员会,2024-06-03
成都市数据条例 // 成都市人民代表大会常务委员会,2024-06-04
山西省数据工作管理办法 // 山西省人民政府,2024-06-25
关于高标准建设“中国数谷”促进数据要素流通的实施意见// 杭州市人民政府办公厅,2024-07-12
加快推进数字经济高质量发展行动方案(2024—2026年)// 安徽省委办公厅,2024-07-29
贵州省数据流通交易促进条例 // 贵州省人民代表大会常务委员会,2024-07-31
2024年6月以来,ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)共发布3项国际标准。
标准编号:ISO/IEC 27403:2024
英文名称:Cybersecurity — IoT security and privacy — Guidelines for IoT-domotics
中文名称:网络安全 物联网安全和隐私 物联网家庭自动化指南
标准编号:ISO/IEC 14888-4:2024
英文名称:Information security — Digital signatures with appendix — Part 4: Stateful hash-based mechanisms
中文名称:信息安全 带附录的数字签名 第4部分:基于状态哈希的机制
标准编号:ISO/IEC 27554:2024
英文名称:Information security, cybersecurity and privacy protection — Application of ISO 31000 for assessment of identity-related risk
中文名称:信息安全 网络安全和隐私保护 ISO 31000 在身份相关风险评估中的应用
(来源:ISO)
2024年7月以来,工信部批准发布多项通信行业标准,其中40项为网络安全相关标准。
(来源:工信部,查阅原文)
2024年6月以来,北京、上海、黑龙江等多个省市共发布了12项网络安全相关的地方标准。
(来源:地方标准信息服务平台)
2024年6月以来,全国网络安全标准化技术委员会发布了1项网络安全标准实践指南。
标准名称:网络安全标准实践指南——大型互联网平台网络安全评估指南
主要内容:该实践指南从影响或者可能影响社会稳定和公共利益的角度,提出了对大型互联网平台开展网络安全评估的内容和方法,可用于指导大型互联网平台开展网络安全评估活动。【查阅全文】
2024年6月以来,国家标准化管理委员会下达的国家标准制修订计划中,包括5项由全国网络安全标准化技术委员会归口的推荐性国家标准项目和1项委托全国网络安全标准化技术委员会制定的强制性国家标准项目。
(来源:全国网安标委,查阅原文)
2024年6月以来,全国网络安全标准化技术委员会发布了5项网络安全国家标准征求意见稿和2项网络安全标准实践指南征求意见稿,面向社会公开征求意见。
标准名称:数据安全技术 数据安全和个人信息保护社会责任指南
主要内容:该标准为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南。该标准适用于处理数据的组织,还适用于评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构。【查阅全文】
标准名称:网络安全技术 关键信息基础设施安全保护能力指标体系
主要内容:该标准规定了关键信息基础设施安全保护能力指标体系,包括基本保护级、强化保护级、战略保护级的安全保护能力指标。该标准适用于指导关键信息基础设施运营者对关键信息基础设施安全保护能力的建设,也可为保护工作部门、国家监管部门以及第三方评估机构等提供参考。【查阅全文】
标准名称:数据安全技术 个人信息保护合规审计要求
主要内容:该标准提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的实施要求。该标准适用于个人信息处理者开展个人信息保护合规审计工作,也可为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考。【查阅全文】
标准名称:网络安全技术 标识密码认证系统密码及其相关安全技术要求
主要内容:该标准规定了标识密码认证系统的系统组成架构,及其密钥生成、管理以及公开参数查询等服务的技术要求。该标准适用于标识密码认证系统的设计、开发、使用和检测。【查阅全文】
标准名称:数据安全技术 数据接口安全风险监测方法
主要内容:该标准给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点。该标准适用于指导各类组织开展的数据接口安全风险监测活动。【查阅全文】
标准名称:网络安全标准实践指南— 一键停止收集车外数据指引
主要内容:该实践指南给出了在装有车载摄像头、雷达等传感器的汽车上设置一键停止收集车外数据功能的指引。该实践指南适用于汽车制造企业以及相关零部件或服务提供商设计、开发、制造具有车外数据收集功能的汽车,不适用于主驾无人的高级别自动驾驶汽车。【查阅全文】
标准名称:网络安全标准实践指南—敏感个人信息识别指南
主要内容:该指南提出了敏感个人信息识别方法,给出了常见敏感个人信息的类别和示例。该指南可用于指导各组织识别敏感个人信息范围,也可为敏感个人信息处理、出境和保护工作提供参考。【查阅全文】
微信公众号