2024-06-17
《网络安全政策与标准动态》由中国网络安全产业联盟联合安天科技集团股份有限公司共同推出,聚焦网络安全产业发展新举措,跟踪网络安全标准研制新进展,可为掌握产业发展趋势和最新政策提供参考。
本期为第4期,主要内容如下:
政策发文方面,选取了2024年3月以来网络安全领域较受关注的6项产业政策信息和27项地方政策信息。
标准规范方面,梳理统计了网络安全领域最新发布的5项国际标准、21项国家标准、37项行业标准和14项团体标准,以及74项标准项目计划和10项标准征求意见信息。
2024年3月22日,国家互联网信息办公室发布《促进和规范数据跨境流动规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接做出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。该规定主要对下列内容进行规定:一是明确重要数据出境安全评估申报标准;二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;三是设立自由贸易试验区负面清单制度;四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;五是延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。
(来源:国家网信办)
2024年3月22日,自然资源部印发《自然资源领域数据安全管理办法》,旨在规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用。该办法要求自然资源部、国家林业和草原局及地方行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”的原则,落实本行业本地区本领域数据安全指导监管责任。该办法主要对数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、监督检查等内容进行规定。
(来源:自然资源部)
财政部与国家网信办联合印发《会计师事务所数据安全管理暂行办法》
2024年4月15日,财政部、国家互联网信息办公室联合印发《会计师事务所数据安全管理暂行办法》,旨在加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。该办法主要包括五部分内容,一是总则,主要明确制定依据、适用对象、责任主体;二是数据管理,主要包括总体责任、责任人员、数据分类分级、日志管理、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、数据出境等内容;三是网络管理,主要包括网络管理制度、资源投入、访问控制、系统账户管理等内容;四是监督检查,主要包括信息共享、日常检查、重点检查对象、安全审查、行政监管措施、行政处罚等内容;五是附则。
(来源:财政部)
(来源:中央网信办)
(来源:工信部)
(来源:中央网信办)
2024年3月以来,各地相继出台了多项涉及网络安全、数据安全以及新一代信息技术相关的地方政策,以加强网络安全和数据保护,促进数字经济发展。
网络安全领域河北省工业领域数据安全能力提升工作方案(2024-2026年) // 河北省工业和信息化厅,2024-05-
上海市智能算力基础设施高质量发展“算力浦江”智算行动实施方案(2024-2025年) // 上海市通信管理局等,2024-03-21
甘肃算力基础设施高质量发展三年行动计划(2024—2026年) // 甘肃省通信管理局等,2024-03-26
关于推进工业互联网平台高质量发展的若干措施 // 江苏省工业和信息化厅等,2024-04-08
江苏省算力基础设施发展专项规划 // 江苏省通信管理局等,2024-04-22
北京市算力基础设施建设实施方案(2024—2027年) // 北京市经济和信息化局等,2024-04-24
湖北工业互联网标识解析“贯通”行动计划落实方案(2024-2026年) // 湖北省通信管理局等,2024-05-11
甘肃省工业互联网标识解析体系创新发展实施方案(2024-2026年) // 甘肃省工业和信息化厅等,2024-05-21
浙江省运力提升行动方案(2024—2027年) // 浙江省通信管理局,2024-05-21
江苏省机器人产业创新发展行动方案 // 江苏省工业和信息化厅等,2024-04-17
关于进一步优化算力布局推动人工智能产业创新发展的意见 // 河北省人民政府办公厅,2024-05-08
甘肃省加快推动工业领域“智改数转网联”三年行动计划(2024—2026) // 甘肃省工业和信息化厅等,2024-03-26
北京市加快建设信息软件产业创新发展高地行动方案 // 北京市经济和信息化局,2024-04-19
厦门市加快数字经济发展行动计划(2024-2025年) // 厦门市数据管理局,2024-04-23
2024年河南省数字化转型战略工作方案 // 河南省制造强省建设领导小组办公室,2024-04-25
2024年数字福建工作要点 // 福建省数字福建建设领导小组,2024-04-30
广州市数字经济高质量发展规划 // 广州市人民政府办公厅,2024-04-30
数字广东建设2024年工作要点 // 广东省政务服务和数据管理局,2024-05-10
最新发布标准
2024年3月以来,ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)共发布5项国际标准。
标准编号:ISO/IEC 4922-2:2024
英文名称:Information security — Secure multiparty computation — Part 2: Mechanisms based on secret sharing
中文名称:信息安全 安全多方计算 第2部分:基于秘密共享的机制
标准编号:ISO/IEC TS 24462:2024
英文名称:Information security, cybersecurity and privacy protection — Ontology building blocks for security and risk assessment
中文名称:信息安全 网络安全和隐私保护 用于安全和风险评估的本体构建块
标准编号:ISO/IEC 27561:2024
英文名称:Information security, cybersecurity and privacy protection — Privacy operationalisation model and method for engineering (POMME)
中文名称:信息安全 网络安全和隐私保护 隐私操作模型和工程方法(POMME)
标准编号:ISO/IEC 27011:2024
英文名称:Information security, cybersecurity and privacy protection — Information security controls based on ISO/IEC 27002 for telecommunications organizations
中文名称:信息安全 网络安全和隐私保护 基于ISO/IEC 27002的电信组织信息安全控制
标准编号:ISO/IEC TR 5891:2024
英文名称:Information security, cybersecurity and privacy protection — Hardware monitoring technology for hardware security assessment
中文名称:信息安全 网络安全和隐私保护 用于硬件安全评估的硬件监控技术
(来源:ISO)
2024年3月以来,全国网络安全标准化技术委员会归口的21项国家标准正式发布。
标准编号:GB/T 15843.4-2024
标准名称:信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制
该标准规定了采用密码校验函数的实体鉴别机制,包括单向鉴别和双向鉴别两种鉴别机制。该标准适用于使用密码校验函数进行实体鉴别的设计、开发、实施、测试等。该标准中规定的机制采用诸如时间戳、序号或随机数等时变参数,目的是防止先前有效的鉴别信息在超过时效后又被接受的问题。
标准编号:GB/T 17903.1-2024
标准名称:信息技术 安全技术 抗抵赖 第1部分:概述
该标准给出了抗抵赖机制的一般模型,作为GB/T 17903的其他部分中规定的使用密码技术的抗抵赖机制的一般模型。GB/T 17903提供的抗抵赖机制用于如下阶段的抗抵赖:a)证据生成;b)证据传输、存储和检索;c)证据验证。该标准适用于信息系统中实现消息抗抵赖相关应用的设计、实现与测试。争议仲裁不适用于该标准。
标准编号:GB/T 17903.3-2024
标准名称:信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制
该标准确立了若干特定的抗抵赖机制,用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖和提交抗抵赖。该标准适用于采用非对称技术实现的消息抗抵赖相关应用的设计、实现与测试。
标准编号:GB/T 43694-2024
标准名称:网络安全技术 证书应用综合服务接口规范
该标准规定了面向证书应用的综合服务接口要求和定义,描述了相应验证方法。该标准适用于公钥密码基础设施应用技术体系下证书应用中间件和证书应用系统的开发,以及密码应用支撑平台的研制和检测。
标准编号:GB/T 43696-2024
标准名称:网络安全技术 零信任参考体系架构
该标准规定了零信任参考体系架构,描述了主体、资源、核心组件和支撑组件以及相互间的关系。该标准适用于采用零信任体系架构的信息系统的规划、设计、开发、应用、评价。
标准编号:GB/T 43779-2024
标准名称:网络安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范
该标准规定了在通信中基于密码令牌传输、验证和显示主叫用户可信身份的技术要求,描述了相应的测试评价方法。该标准适用于指导传输、验证和显示主叫用户可信身份的系统设计、生产和测试。
标准编号:GB/T 18336.1-2024
标准名称:网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型
该标准建立了信息技术安全评估的一般概念和原则,并规定了GB/T 18336各部分所给出的一般评估模型,该模型整体上可作为评估IT产品安全属性的基础。该标准给出了GB/T 18336(所有部分)的总体概述。它描述了GB/T 18336各个部分内容;定义了标准各部分使用的术语及缩略语;建立了评估对象(TOE)的核心概念;描述了评估背景和评估准则所针对的目标读者。该标准还给出了信息技术产品评估所需的基本安全概念。
标准编号:GB/T 18336.2-2024
标准名称:网络安全技术 信息技术安全评估准则 第2部分:安全功能组件
该标准定义了安全功能组件所需的结构和内容,以用于安全评估。它包含了一个安全组件的分类目录,来满足许多IT产品的通用安全功能要求。
标准编号:GB/T 18336.3-2024
标准名称:网络安全技术 信息技术安全评估准则 第3部分:安全保障组件
该标准定义了GB/T 18336的保障要求,包括组成GB/T 18336.5中包含的评估保障级和其他包的各个保障包,以及PP、PP-配置、PP-模块和ST的评估准则。
标准编号:GB/T 18336.4-2024
标准名称:网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架
该标准提供了一个标准框架,用以规定客观的、可重复的和可重现的评估方法和评估活动。该标准未规定如何评估、采用或维持评估方法和评估活动。这方面的内容应由那些在其感兴趣的特定领域内提出评估方法和评估活动的相关方负责。
标准编号:GB/T 18336.5-2024
标准名称:网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包
该标准给标准使用者提供了通用的安全保障包和安全功能要求包。该标准描述了评估保障级(EAL)、组合保障包(CAP)、复合产品包(COMP)、保护轮廓保障(PPA)和安全目标保障(STA)。该标准的读者包括安全信息技术产品的消费者、开发者和评估者。标准编号:GB/T 30270-2024
标准名称:网络安全技术 信息技术安全评估方法
该标准描述了在依据GB/T 18336系列标准中所定义的准则和评估证据进行评估时,评估者应执行的最小行为集。该标准适用于依据GB/T 18336进行的评估活动。标准编号:GB/T 33563-2024
标准名称:网络安全技术 无线局域网客户端安全技术要求
该标准规定了无线局域网客户端的安全功能要求和安全保障要求,给出了无线局域网客户端面临安全问题的说明。该标准适用于无线局域网客户端产品的测试、评估和采购,以及指导该类产品的研制和开发。标准编号:GB/T 33565-2024
标准名称:网络安全技术 无线局域网接入系统安全技术要求
该标准规定了无线局域网接入系统的安全功能要求和安全保障要求,给出了无线局域网接入系统面临安全问题的说明。该标准适用于无线局域网接入系统的测试、评估和采购,以及指导该类产品的研制和开发。标准编号:GB/T 43848-2024
标准名称:网络安全技术 软件产品开源代码安全评价方法
该标准规定了软件产品中的开源代码成分安全评价要素和评价流程。该标准适用于对软件产品包含的开源代码成分进行静态安全评价,为各单位对于软件产品中的开源代码成分进行安全性自评价提供依据,为第三方机构开展此类工作提供参考。
标准编号:GB/T 43844-2024
标准名称:IPv6地址分配和编码规则 接口标识符
该标准规定了IPv6地址接口标识符的编码规则。该标准适用于互联网接入服务商、应用基础设施服务商、自用网络运营者、网络终端厂商、网络设备厂商等进行网络动态分配IPv6地址时的接口标识符编码与分配。
标准编号:GB/T 31497-2024
标准名称:信息技术 安全技术 信息安全管理 监视、测量、分析和评价
该标准提供了旨在协助组织评价信息安全绩效和ISMS(信息安全管理体系)有效性,以满足GB/T 22080-2016中9.1要求的指南。该标准规定了:a) 信息安全绩效的监视和测量;b) ISMS(包括其过程和控制)有效性的监视和测量;c) 监视和测量结果的分析和评价。
标准编号:GB/T 43698-2024
标准名称:网络安全技术 软件供应链安全要求
该标准确立了软件供应链安全目标,规定了软件供应链安全风险管理要求、供需双方的组织管理和供应活动管理安全要求。该标准适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,也可为主管监管部门提供参考。
标准编号:GB/T 43741-2024
标准名称:网络安全技术 网络安全众测服务要求
该标准描述了网络安全众测服务的角色及其职责,服务流程,以及安全风险,规定了服务要求。该标准适用于网络安全众测服务活动。
标准编号:GB/T 43697-2024
标准名称:数据安全技术 数据分类分级规则
该标准规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。该标准适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。该标准不适用于涉及国家秘密的数据和军事数据。
标准编号:GB/T 43739-2024
标准名称:数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南
该标准给出了应用商店运营者对移动互联网应用程序(App)个人信息处理规范性审核与管理指南。该标准适用于指导应用商店运营者开展App个人信息安全审核与管理,也为监管部门及第三方机构对应用商店运营者审核与管理App个人信息处理活动的能力开展评估提供参考。(来源:全国网安标委)
2024年3月以来,工信部批准发布多项通信行业标准,其中37项为网络安全相关标准。
(来源:工信部)
2024年3月以来,有2家社会团体发布了14项网络安全相关的团体标准。
团体名称:
中国通信标准化协会
公布的标准:
T/CCSA 483-2024 工业互联网企业网络安全定级方法 第1部分:应用工业互联网的工业企业
T/CCSA 484-2024 工业互联网企业网络安全定级方法 第2部分:平台企业
T/CCSA 485-2024 工业互联网企业网络安全定级方法 第3部分:标识解析企业
T/CCSA 509-2024 云计算服务安全要求 第1部分:通用安全要求
T/CCSA 510-2024 云计算服务安全要求 第2部分:SaaS安全能力要求
T/CCSA 526-2024 钢铁行业应用工业互联网的工业企业网络安全分级防护要求
T/CCSA 527-2024 工业互联网企业网络安全分类分级评估方法
团体名称:
中国基本建设优化研究会公布的标准:
T/COSOCC 006-2024 信息安全技术 电子数据收集提取技术要求
T/COSOCC 007-2024 信息安全技术 网络空间资产测绘安全要求
T/COSOCC 008-2024 信息安全技术 数据安全交换产品安全技术要求
T/COSOCC 009-2024 信息安全技术 网络弹性评价指南
T/COSOCC 0010-2024 信息安全技术 面向服务架构类应用安全要求
T/COSOCC 0012-2024 信息技术应用创新 基于人工智能的入侵检测产品技术要求
T/COSOCC 0013-2024 信息技术应用创新 数据安全通用技术要求
(来源:全国团体标准信息平台)
2024年3月以来,全国网络安全标准化技术委员会发布了2项网络安全标准实践指南。
标准名称:网络安全标准实践指南——车外画面局部轮廓化处理效果验证
主要内容:该实践指南给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证指标,可为汽车数据处理者及有关机构验证车外画面局部轮廓化处理效果提供参考。
标准名称:网络安全标准实践指南——网络安全产品互联互通 资产信息格式
主要内容:该实践指南给出了网络安全产品互联互通时资产信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。
2024年3月以来,国家标准化管理委员会下达的推荐性国家标准计划中,由全国网络安全标准化技术委员会归口的国家标准项目共计17项。
(来源:全国网安标委)
2024年3月以来,工信部发布的行业标准制修订计划中,网络安全相关通信行业标准项目共计57项。
(来源:工信部)
2024年3月以来,全国网络安全标准化技术委员会发布了10项网络安全国家标准征求意见稿面向社会公开征求意见。
标准名称:网络安全技术 关键信息基础设施边界确定方法
主要内容:该标准给出了关键信息基础设施边界确定的方法,包括基本信息梳理、关键信息基础设施功能识别、关键业务链与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设施要素识别和边界确定的流程、步骤等内容。该标准适用于指导关键信息基础设施运营者确定关键信息基础设施边界,也可为关键信息基础设施安全保护的其他相关方使用。
标准名称:网络安全技术 生成式人工智能服务安全基本要求
主要内容:该标准规定了生成式人工智能服务在安全方面的基本要求,包括训练数据安全、模型安全、安全措施等,并给出了安全评估参考要点。该标准适用于服务提供者开展安全评估,也可为相关主管部门提供参考。
标准名称:网络安全技术 软件物料清单数据格式
主要内容:该标准规定了软件物料清单数据格式,包括软件物料清单组成、软件物料清单文件格式要求和软件物料清单元素,以及软件物料清单中各元素的属性和属性值格式等信息。该标准适用于指导软件供应链相关方之间进行软件物料清单信息的生成、共享和使用。
标准名称:网络安全技术 网络安全运维实施指南
主要内容:该标准提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型,给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容。该标准适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导,也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。
标准名称:数据安全技术 政务数据处理安全要求
主要内容:该标准规定了政务数据处理的安全要求,明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。该标准适用于指导政务部门及其技术支撑单位规范政务数据处理活动,也可为监管部门、第三方机构进行监督管理和评估提供参考。
标准名称:网络安全技术 信息系统灾难恢复规范
主要内容:该标准确立了信息系统灾难恢复工作原则,提出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法。该标准适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划实施、安全建设和运行管理等工作。
标准名称:数据安全技术 基于个人请求的个人信息转移要求
主要内容:该标准规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。该标准适用于个人信息处理者响应个人信息主体转移信息请求的全流程,也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。
标准名称:网络安全技术 生成式人工智能数据标注安全规范
主要内容:该标准规定了生成式人工智能训练的数据标注基础安全要求、数据标注规则安全要求、标注人员要求、数据标注核验要求和标注安全测试方法。该标准适用于生成式人工智能数据标注方开展训练数据标注活动,也可为生成式人工智能数据需求方对于数据标注进行检查、验收或第三方机构对数据标注进行安全性评估提供参考。
标准名称:网络安全技术 生成式人工智能预训练和优化训练数据安全规范
主要内容:该标准规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求,描述了对应的评价方法。该标准适用于指导生成式人工智能服务提供者开展预训练和优化训练数据处理活动以及开展与训练预训练和优化训练数据安全自评价,也可为监管评估提供参考。
标准名称:数据安全技术 数字水印技术实现指南
主要内容:该标准提出了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议,并给出了常见数字水印算法、典型安全场景等相关信息。该标准适用于数字水印技术的设计、开发、应用和测试。
微信公众号