网络安全政策与标准动态(第6期)

2025-01-02

序言

《网络安全政策与标准动态》由中国网络安全产业联盟联合安天科技集团股份有限公司共同推出,聚焦网络安全产业发展新举措,跟踪网络安全标准研制新进展,可为掌握产业发展趋势和最新政策提供参考。

本期为第6期,主要内容如下:

  • 政策发文方面,选取了2024年10月以来网络安全领域较受关注的6项产业政策信息和14项地方政策信息。

  • 标准规范方面,梳理统计了网络安全领域最新发布的6项国际标准、21项国家标准、56项行业标准和7项地方标准,以及44项标准项目计划和4项标准征求意见信息。



网络安全政策发文

产业政策

国家金融监督管理总局印发《银行保险机构数据安全管理办法》

2024年12月27日,国家金融监督管理总局印发《银行保险机构数据安全管理办法》,旨在规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益。该办法共9章81条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理、附则等。

(来源:金融监管总局



国家发展改革委印发《电力监控系统安全防护规定》

2024年11月21日,国家发展改革委印发《电力监控系统安全防护规定》,旨在强化电力监控系统安全防护,保障电力系统安全稳定运行。该规定进一步明确电力监控系统安全防护应当落实国家网络安全等级保护和关键信息基础设施安全保护等制度,坚持“安全分区、网络专用、横向隔离、纵向认证”结构安全原则,强化安全免疫、态势感知、动态评估和备用应急措施,构建持续发展完善的防护体系。

(来源:国家发改委


国家数据局印发《可信数据空间发展行动计划(2024—2028年)》

2024年11月21日,国家数据局印发《可信数据空间发展行动计划(2024—2028年)》,旨在引导和支持可信数据空间发展,促进数据要素规模化流通共享使用,加快构建以数据为关键要素的数字经济。该行动计划主要包括三大行动:一是实施可信数据空间能力建设行动,通过构建可信管控能力,提高资源交互能力,强化价值共创能力,打造可信数据空间的核心能力体系;二是开展可信数据空间培育推广行动,主要是布局企业、行业、城市、个人、跨境五类可信数据空间建设和应用推广,探索各类数据空间的场景创新、模式创新、机制创新;三是推进可信数据空间筑基行动,围绕制订关键标准、攻关核心技术、完善基础服务、强化规范管理、拓展国际合作五个方面,全面夯实可信数据空间发展基础

(来源:国家数据局


工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》
2024年10月31日,工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》,旨在建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力。该预案明确了以下内容:一是构建工业和信息化领域数据安全事件应急处置工作组织体系,明确工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构等各方职责范围,建立权责一致的工作机制;二是细化数据安全事件应急处置事前、事中、事后全流程各环节要求,提出分级预警、响应、处置、上报等各类机制,建立衔接有序、高效运行的工作闭环;三是根据数据安全事件应急处置工作的需要,明确相关预防措施和保障措施

(来源:工信部


国家发改委等部门印发《国家数据标准体系建设指南》
2024年10月8日,国家发展改革委、国家数据局、中央网信办等六部门印发《国家数据标准体系建设指南》,旨在充分发挥标准在激活数据要素潜能、做强做优做大数字经济等方面的规范和引领作用。该指南围绕数据标准体系结构和框架提出建设思路,包含基础通用、数据基础设施、数据资源、数据技术、数据流通、融合应用、安全保障7个部分。其中安全保障标准建设内容主要包括数据基础设施安全标准、数据要素市场安全标准、数据流通安全标准等

(来源:国家发改委


国务院发布《网络数据安全管理条例》
2024年9月24日,国务院总理李强签署国务院令,公布《网络数据安全管理条例》,自2025年1月1日起施行。该条例旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。该条例共9章64条,主要规定了以下内容:一是提出网络数据安全管理总体要求和一般规定;二是细化个人信息保护规定;三是完善重要数据安全制度;四是优化网络数据跨境安全管理规定;五是明确网络平台服务提供者义务

(来源:国务院


地方政策

2024年10月以来,各地相继出台了多项涉及网络安全、数据安全以及新一代信息技术相关的地方政策,以加强网络安全和数据保护,促进数字经济发展。

网络安全领域

辽宁省工业领域数据安全能力提升实施方案 (2024-2026年)// 辽宁省工业和信息化厅,2024-10-30


信息基础设施建设
河南省算力基础设施发展规划(2024—2026年)// 河南省人民政府办公厅,2024-11-14

四川省算力基础设施高质量发展行动方案(2024—2027年)// 四川省发展和改革委员会,2024-11-21

辽宁省“算力强基 注智赋能”行动计划(2024—2026年)// 辽宁省通信管理局等,2024-12-06


新技术应用领域
河南省推动“人工智能 ”行动计划(2024—2026年)// 河南省人民政府办公厅,2024-10-29

关于人工智能“模塑申城”的实施方案// 上海市人民政府办公厅,2024-12-27


数字经济发展

关于加快推进数据要素市场化配置改革的实施意见 // 山东省人民政府办公厅,2024-10-11

数字广州建设总体规划 // 广州市人民政府,2024-10-18

山东省数据交易管理办法(试行)// 山东省大数据局,2024-11-21

济南市数字经济促进条例 // 济南市人大常委会,2024-11-21

烟台市数字经济促进条例 // 烟台市人大常委会,2024-11-21

关于加快数字经济高质量发展的实施意见 // 四川省人民政府,2024-11-28

海南自由贸易港数字经济促进条例 // 海南省人大常委会,2024-11-29

黑龙江省数字经济促进条例 // 黑龙江省人大常委会,2024-12-19



网络安全标准规范
最新发布标准
国际标准

2024年10月以来,ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)共发布6项国际标准。

标准编号:ISO/IEC 23264-2:2024

英文名称:Information security — Redaction of authentic data — Part 2: Redactable signature schemes based on asymmetric mechanisms

中文名称:信息安全 可靠数据的编校 第2部分:基于非对称机制的可编辑签名方案


标准编号:ISO/IEC 27019:2024

英文名称:Information security, cybersecurity and privacy protection — Information security controls for the energy utility industry

中文名称:信息安全 网络安全和隐私保护 能源公共行业信息安全控制


标准编号:ISO/IEC 27562:2024

英文名称:Information technology — Security techniques — Privacy guidelines for fintech services

中文名称:信息技术 安全技术 金融科技服务隐私保护指南


标准编号:ISO/IEC 27013:2021/Amd 1:2024

英文名称:Information security, cybersecurity and privacy protection — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 — Amendment 1

中文名称:信息安全 网络安全和隐私保护 关于ISO/IEC 27001 和 ISO/IEC 20000-1 综合实施的指南 补篇 1


标准编号:ISO/IEC 20008-3:2024

英文名称:Information security — Anonymous digital signatures — Part 3: Mechanisms using multiple public keys

中文名称:信息安全 匿名数字签名 第3部分:使用多个公钥的机制


标准编号:ISO/IEC 27035-4:2024

英文名称:Information technology — Information security incident management — Part 4: Coordination

中文名称:信息技术 信息安全事件管理 第 4 部分:协同

(来源:ISO



国家标准

2024年10月以来,共有21项网络安全相关国家标准正式发布,其中由全国网络安全标准化技术委员会归口管理的有15项,由全国通信标准化技术委员会(TC485)归口管理的有6项。

标准编号:GB/T 18238.1-2024

标准名称:网络安全技术 杂凑函数 第1部分:总则

该标准规定了杂凑函数的要求和通用模型,描述了杂凑运算的四个步骤,并给出了通用模型的使用方法。该标准包含GB/T 18238(所有部分)所共用的定义、符号和要求


标准编号:GB/T 18238.2-2024

标准名称:网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数

该标准规定了三种采用(n位)分组密码的杂凑函数。第一种杂凑函数提供长度不大于n位的杂凑值,第二种杂凑函数提供2n位的杂凑值,第三种杂凑函数提供3n位的杂凑值。该标准适用于采用分组密码的杂凑函数的设计、开发和检测


标准编号:GB/T 18238.3-2024

标准名称:网络安全技术 杂凑函数 第3部分:专门设计的杂凑函数

该标准规定了专门设计的杂凑函数的要求和模型。该标准适用于专门设计的杂凑函数的设计、开发和检测


标准编号:GB/T 15843.2-2024

标准名称:网络安全技术 实体鉴别 第2部分:采用鉴别式加密的机制

该标准规定了两类(共六种)采用遵循GB/T 36624的鉴别式加密实现实体鉴别的机制。第一类不引入在线可信第三方,包含两种单向鉴别机制和两种相互鉴别机制。第二类引入一个在线可信第三方,包含两种单向或相互的实体鉴别机制。该标准适用于指导基于鉴别式加密实现的实体鉴别系统、产品或服务的设计、开发和测试等


标准编号:GB/T 15852.2-2024

标准名称:网络安全技术 消息鉴别码 第2部分:采用专门设计的杂凑函数的机制

该标准规定了采用专门设计的杂凑函数的消息鉴别码(MAC)的用户使用要求,提供了3种采用专门设计的杂凑函数的消息鉴别码算法。该标准适用于安全体系结构、过程及应用的安全服务


标准编号:GB/T 20279-2024

标准名称:网络安全技术 网络和终端隔离产品技术规范

该标准规定了网络和终端隔离产品的分类、级别划分、安全技术要求及测评方法。该标准适用于网络和终端隔离产品的设计、开发与测试


标准编号:GB/T 29240-2024

标准名称:网络安全技术 终端计算机通用安全技术规范

该标准规定了终端计算机的通用安全技术要求,并描述了测试评价方法。该标准适用于指导终端计算机通用安全功能的设计、开发、测试和评价


标准编号:GB/T 29244-2024

标准名称:网络安全技术 办公设备安全规范

该标准规定了办公设备的安全功能要求、安全保障要求和测评方法。该标准适用于办公设备的采购、测评、维护和管理,也适用于办公设备的安全设计、实现和运行


标准编号:GB/T 30278-2024

标准名称:网络安全技术 政务计算机终端核心配置规范

该标准明确了政务计算机终端核心配置对象和配置范围,规定了配置要求、自动化部署及监测要求,提供了配置要求和自动化部署及监测要求的证实方法。该标准适用于政务计算机终端的核心配置技术实施和测试验证工作


标准编号:GB/T 44602-2024

标准名称:网络安全技术 智能门锁网络安全技术规范

该标准给出了智能门锁的组成结构,规定了智能门锁终端、接入网关、管理平台、控制端的网络安全技术要求以及安全等级划分,描述了相应的测评方法。该标准适用于智能门锁的网络安全设计、开发、测试和评价


标准编号:GB/T 44886.1-2024

标准名称:网络安全技术 网络安全产品互联互通 第1部分:框架

该标准确立了网络安全产品互联互通框架,给出了互联互通功能和互联互通信息。该标准适用于指导网络安全产品的设计、开发和应用


标准编号:GB/T 22081-2024

标准名称:网络安全技术 信息安全控制

该标准提供了一套通用信息安全控制参考集,包括实施指南。该标准适用于:a)组织ISO/IEC 27001实施信息安全管理体系(ISMS);b)组织基于国际公认最佳实践实施信息安全控制;c)组织编制其自身的信息安全管理指南


标准编号:GB/T 31500-2024

标准名称:网络安全技术 存储介质数据恢复服务安全规范

该标准提出了存储介质数据恢复服务的安全原则、规定了安全管理要求和过程安全要求,并提供了满足安全管理要求和提供了安全实施要求的评价方法。该标准适用于指导存储介质数据恢复服务机构针对非涉及国家秘密的数据恢复服务的实施和管理、存储介质数据恢复服务机构的自评价和第三方监督评审,以及存储服务使用单位采购数据恢复服务的评价


标准编号:GB/T 44862-2024

标准名称:网络安全技术 网络弹性评价准则

该标准规定了网络弹性评价准则,提出了网络弹性评价指标体系和评价方法。该标准适用于组织对网络弹性的自评价,网络安全服务机构对网络弹性的第三方评价,也适用于组织的网络弹性设计、建设和提升


标准编号:GB/T 44588-2024

标准名称:数据安全技术 互联网平台及产品服务个人信息处理规则

该标准规定了互联网平台及产品服务个人信息处理规则的基本要求、编制程序、规则内容、发布形式,以及个人信息处理规则争议纠纷解决等方面的要求。该标准适用于规范互联网平台及产品服务的运营者制定、发布个人信息处理规则的过程,也适用于对个人信息处理规则进行监督、管理和评估


标准编号:GB/T 44462.1-2024

标准名称:工业互联网企业网络安全 第1部分:应用工业互联网的工业企业防护要求

该标准规定了应用工业互联网的工业企业在设备、控制、网络、应用平台软件、管理以及物理环境等方面不同级别的网络安全防护要求。该标准适用于指导应用工业互联网的工业企业开展网络安全分类分级防护工作


标准编号:GB/T 44462.2-2024

标准名称:工业互联网企业网络安全 第2部分:平台企业防护要求

该标准规定了工业互联网平台企业在接入层、基础设施层、平台层、应用层、管理以及物理环境等方面不同级别的网络安全防护要求。该标准适用于指导工业互联网平台企业开展网络安全分类分级防护工作


标准编号:GB/T 44462.3-2024

标准名称:工业互联网企业网络安全 第3部分:标识解析企业防护要求

该标准规定了工业互联网标识解析企业在设备和系统、网络、业务和应用、管理以及物理环境等方面不同级别的网络安全防护要求。该标准适用于指导工业互联网标识解析企业开展网络安全分类分级防护工作


标准编号:GB/T 44810.1-2024

标准名称:IPv6网络安全设备技术要求 第1部分:防火墙

该标准规定了支持IPv6的防火墙设备的安全技术要求,包括功能性、性能、兼容性、可靠性和自身安全性。该标准适用于支持IPv6的防火墙设备的设计、开发、部署、使用、维护与测试


标准编号:GB/T 44810.2-2024

标准名称:IPv6网络安全设备技术要求 第2部分:Web应用防护系统(WAF)

该标准规定了支持IPv6的Web应用防护系统(WAF)的技术要求,包括功能性、性能、兼容性、可靠性和自身安全性。该标准适用于支持IPv6的Web应用防护系统(WAF)的设计、开发、部署、使用、维护与测试


标准编号:GB/T 44810.3-2024

标准名称:IPv6网络安全设备技术要求 第3部分:入侵防御系统(IPS)

该标准规定了支持IPv6的入侵防御系统的安全技术要求,包括功能性、性能、兼容性、可靠性和自身安全性。该标准适用于支持IPv6的入侵防御系统的设计、开发、部署、使用、维护与测试

(来源:全国标准信息公共服务平台


行业标准

2024年11月,工信部批准发布多项通信行业标准,其中56项为网络安全相关标准。

图片

(来源:工信部)


地方标准

2024年10月以来,广州、黑龙江、山东等多个省市共发布了7项网络安全相关的地方标准。

图片

(来源:地方标准信息服务平台)


其他标准

2024年10月以来,全国网络安全标准化技术委员会发布了3项网络安全标准实践指南。

标准名称:网络安全标准实践指南——一键停止收集车外数据指引

主要内容:该实践指南给出了在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能的指引。


标准名称:网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求

主要内容:该实践指南规定了粤港澳大湾区(内地、香港)个人信息处理者或者接收方,在大湾区内内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求。


标准名称:网络安全标准实践指南——敏感个人信息识别指南

主要内容:该实践指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。


标准研制动态
标准项目计划

2024年11月,全国网络安全标准化技术委员会发布了44项网络安全国家标准项目立项通知。

图片

(来源:全国网安标委


标准征求意见

2024年12月,全国网络安全标准化技术委员会发布了2项网络安全国家标准征求意见稿和2项网络安全标准实践指南征求意见稿,面向社会公开征求意见。

标准名称:网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则

主要内容:该标准给出了基于互联网电子政务的参考模型、网络安全技术体系、体系实施原则以及两种安全体系实施架构。该标准主要用于在地市级(含以下)基于互联网开展不涉及国家秘密的电子政务网络安全建设,为管理人员、工程技术人员进行网络安全建设提供参考。


标准名称:信息技术 安全技术 网络安全 第6部分:无线网络访问安全

主要内容:该标准描述了与无线网络相关的威胁、安全要求、安全控制和设计技术,为使用无线网络进行安全通信提供所需的技术选择、实施和监控指导。该标准适用于选择涉及使用及设计无线网络技术安全架构选项,在满足GB/T 25068.2的基础上,为负责实施和维护安全无线网络的用户和实施者提供指导。


标准名称:网络安全标准实践指南——移动互联网未成年人模式技术要求

主要内容:该指南规定了移动互联网未成年人模式的技术要求,包括移动智能终端、应用程序、移动应用程序分发平台未成年人模式技术要求以及模式联动技术要求。


标准名称:网络安全标准实践指南——生成式人工智能服务安全应急响应指

主要内容:该指南给出了生成式人工智能服务安全事件的分类、分级建议和生成式人工智能服务安全应急响应过程的管理措施和技术方法等内容,适用于生成式人工智能服务提供者开展安全应急响应活动。

(来源:全国网安标委)
联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号