在网络强国战略思想指引下,我国网络安全工作取得了积极进展,网络安全政策法规体系不断健全,网络安全工作体制机制日益完善,各项工作走上法治化轨道,网络安全防线也越织越密、越织越牢。小编为大家整理了2023年第三季度国内网络安全相关政策文件和安全标准,供大家参考。
政策
第一部分
1. 2023年7月3日,网信办发布关于调整《网络关键设备和网络安全专用产品目录》的公告(2023年第2号)
《目录》给出了4类网络关键设备和34类网络安全专用产品的名单。2017年发布的网络关键设备和网络安全专用产品目录(第一批)同步废止,本次目录的调整主要针对网络安全专用产品,从第一批目录的15款产品类别增加到34款产品类别,包括虚拟专用网产品、防病毒网关、统一威胁管理产品、病毒防治产品、网络安全态势感知产品、负载均衡产品等。
2. 2023年7月13日,国家网信办、国家发改委、教育部、科技部等七部门联合发布《生成式人工智能服务管理暂行办法》(令 第15号)
《办法》提出了促进生成式人工智能技术发展的具体措施,明确了训练数据处理活动和数据标注等要求,规定了生成式人工智能服务规范,明确生成式人工智能服务提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务,涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务,此外,还规定了安全评估、算法备案、投诉举报等制度,明确了法律责任。
3. 2023年7月17日,工信部、国家金融监督管理总局联合发布《两部门关于促进网络安全保险规范健康发展的意见》(工信部联网安〔2023〕95号)
《意见》是我国网络安全保险领域的首份政策文件,围绕完善政策标准、创新产品服务、强化凯发官网入口首页的技术支持、促进需求释放、培育产业生态等提出意见。一是聚焦提升行业认知、完善行业规范,健全完善网络安全保险支持政策;二是聚焦丰富网络安全保险产品类型、创新保险服务模式,全方位加强网络安全保险产品服务创新;三是聚焦提升风险量化评估能力、加强全生命周期风险监测,强化网络安全技术赋能保险发展;四是聚焦推进网络安全保险落地应用、促进企业网络安全能力提升,撬动网络安全产业需求释放;五是聚焦培育网络安全保险优质企业、加强网络安全保险推广,培育网络安全保险发展生态。
4.2023年7月18日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见
《管理办法》围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督等方面提出安全管理要求,其中,规定运营者应当在国家网络安全等级保护制度的基础上,突出保护重点,落实防护措施,加强全生命周期管理,保障铁路关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。此外,从机构设置、人员配备、工作职责、供应链安全、数据安全、风险评估、监测预警和应急响应等方面给出规范。
5. 2023年7月24日,中国人民银行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见
《管理办法》主要提出了数据分类分级要求、数据安全保护总体要求,明确压实数据处理活动全流程安全合规底线,以及细化风险监测、评估审计、事件处置等合规要求,并明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。
6. 2023年7月24日,北京市通信管理局发布《北京地区电信领域数据安全管理实施细则》
《实施细则》规定电信领域数据处理者应当每年至少开展一次数据梳理工作,并根据实际工作需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,加强权限审批管理,定期开展数据安全审计和数据安全风险监测,对数据处理活动负安全主体责任,建立健全全流程数据安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。
7. 2023年7月26日,工信部、国标委联合发布《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》(工信部联科〔2023〕109号)
《建设指南》提出到2025年,系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系,制修订100项以上智能网联汽车相关标准;到2030年,全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系,制修订140项以上智能网联汽车相关标准并建立实施效果评估和动态完善机制。标准体系涵盖组合驾驶辅助、自动驾驶关键系统、网联基础功能及操作系统、高性能计算芯片及数据应用等标准,并贯穿功能安全、预期功能安全、网络安全和数据安全等安全标准,充分发挥标准对车联网产业关键技术、核心产品和功能应用的引领作用。
8. 2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见
《管理办法》指出个人信息处理者开展合规审计的情形分为两种,一是自行定期开展审计,二是应监管要求审计,在开展个人信息保护合规审计的对象及频次方面,明确处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计,其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计,并以附件的形式提出个人信息保护合规审计参考要点。
9. 2023年8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》公开征求意见
《办法》对相关组织或个人如何规范使用人脸识别技术提出了具体安全要求,明确了人脸识别技术应用的“最小使用原则”、“告知-同意原则”和“最小存储原则”,并规定人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,以及每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
10. 2023年8月10日,国家认监委发布《关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告》(2023年第14号)
《公告》发布之后,《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》(国家认监委2018年第28号公告)同时废止,此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。
11. 2023年9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见
《规定》围绕申报数据出境安全评估义务、个人信息出境标准合同签署与备案义务、开展个人信息保护认证义务的全新触发条件展开,其中对数据跨境给出了更为明确的定义与界定,以及对于何时、在哪些情境下需要进行数据出境安全评估,以及何时可以豁免等,都提供了更加明确的指引。
标准
第二部分
一、国家标准
1. 2023年8月6日,国家标准gb/t 35274-2023《信息安全技术 大数据服务安全能力要求》发布
本标准规定了大数据服务提供者的大数据服务安全能力要求,包括大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力的要求。
2. 2023年8月6日,国家标准gb/t 42884-2023《信息安全技术 移动互联网应用程序(app)生命周期安全管理指南》发布
本标准提供了移动互联网应用程序(app)生命周期阶段管理过程和风险监测管理过程的安全管理指南,并给出了app存在的安全问题分类及描述。
3. 2023年8月6日,国家标准gb/t 42888-2023《信息安全技术 机器学习算法安全评估规范》发布
本标准规定了机器学习算法技术和服务的安全要求和评估方法,以及机器学习算法安全评估流程,并给出了算法推荐服务安全要求和评估方法。
4. 2023年8月6日,国家标准gb/z 42885-2023《信息安全技术 网络安全信息共享指南》发布
本标准确立了网络安全信息共享活动要素和基本原则,描述了共享活动的范围和过程,并给出了网络安全信息共享活动和模式的示例。
5. 2023年8月6日,国家标准gb/t 42926-2023《金融信息系统网络安全风险评估规范》发布
本标准确立了金融信息系统网络安全风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。
6. 2023年8月6日,国家标准gb/t 42708-2023《金融网络安全威胁信息共享指南》发布
本标准给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。
7. 2023年8月6日,国家标准gb/t 42775-2023《证券期货业数据安全风险防控 数据分类分级指引》发布
本标准提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。
8. 2023年8月6日,国家标准gb/t 42929-2023《互联网金融智能风险防控技术要求》发布
本标准规定了互联网金融场景下智能风险防控技术所需满足的技术框架、功能要求、技术要求、实现的安全要求以及运行要求等。
9. 2023年8月6日,国家标准gb/t 42930-2023《互联网金融 个人身份识别技术要求》发布
本标准规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身份识别技术要求以及安全要求。
10. 2023年9月7日,国家标准gb/t 32914-2023《信息安全技术 网络安全服务能力要求》发布
本标准规定了网络安全服务机构开展网络安全服务应具备的能力要求。适用于指导网络安全服务机构开展网络安全服务,以及评价网络安全服务机构的能力水平,也可为网络安全服务需求方选择网络安全服务机构时提供参考。
11. 2023年9月7日,国家标准gb/t 32916-2023《信息安全技术 信息安全控制评估指南》发布
本标准等同采用国际标准iso/iec ts 27008:2019《information technology-security techniques-guidelines for the assessment of information security controls》, 为gb/t 22080中所给出的信息安全管理过程、确定的相关信息安全控制措施及要求,如何建设组织适用、有效且高效的信息安全控制措施提供了实施指南。
12. 2023年9月7日,国家标准gb/t 43206-2023《信息安全技术 信息系统密码应用测评要求》发布
本标准规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求,并给出了整体测评要求、风险分析和评价、测评结论的要求,其中,信息系统密码应用等级与gb/t 39786-2021规定的密码应用等级一致。
13. 2023年9月7日,国家标准gb/t 43207-2023《信息安全技术 信息系统密码应用设计指南》发布
本标准给出了信息系统密码应用方案设计技术指南,为商用密码应用“三同步一评估”过程中规划、建设、运行、密评等工作提供了重要指导和参考建议。
二、行业标准
1. 2023年7月28日,行业标准yd/t 4207-2023《基于容器的平台安全能力要求》发布
本标准规定了基于容器的平台基础级、增强级和先进级的安全能力要求,该标准内容包括基础设施安全能力要求、软件供应链安全能力要求、容器运行时安全能力要求以及日志管理能力要求。
2. 2023年7月28日,行业标准yd/t 4208-2023《面向云计算的安全运营中心能力要求》发布
本标准规定了面向云计算的安全运营中心的能力要求,分为安全运营中心技术平台能力要求、运营流程管控能力要求及人员服务能力要求三大部分,从平台、人员、运营三方面对于面向云计算的安全运营中心能力进行规范。
3. 2023年7月28日,行业标准yd/t 4323-2023《物联网管理平台安全防护要求》发布
本标准规定了物联网管理平台分安全保护等级的安全防护要求,涉及到业务数据安全、业务及应用安全、网络安全、设备及软件系统安全、接入终端安全、物理安全和管理安全。
4. 2023年7月28日,行业标准yd/t 4324-2023《无人机管理(服务)平台安全防护要求》发布
本标准规定了无人机管理(服务)平台按安全保护等级的安全防护要求,涉及业务应用安全、网络安全、设备安全、物理环境安全和管理安全。
5. 2023年7月28日,行业标准yd/t 4325-2023《电信网和互联网安全防护要求及检测方法 存储设备》发布
本标准规定了电信网和互联网中所使用的存储设备应具备的安全能力要求,及存储设备供应商在设计开发存储设备时应满足的过程要求,以保障电信网和互联网业务安全可靠的运行。
6. 2023年7月28日,行业标准yd/t 4326-2023《物联网业务安全态势感知系统技术要求》发布
本标准规定了物联网业务安全态势感知系统的总体技术架构、功能要求、数据要求和性能要求等,适用于基础电信企业及物联网平台企业的物联网业务安全态势感知系统的设计与开发。
7. 2023年7月28日,行业标准yd/t 4327-2023《物联网终端安全态势感知系统技术要求》发布
本标准规定了物联网终端安全态势感知系统的总体技术架构、功能要求、安全要求和性能要求等,适用于基础电信企业及物联网平台企业的物联网终端安全态势感知系统的设计与开发。
8. 2023年7月28日,行业标准yd/t 4338-2023《面向电信网的安全威胁信息分析系统技术要求》发布
本标准规定了基础电信企业安全威胁信息分析系统的组网架构、功能架构、功能要求,以及可靠性、可扩展性等非功能性要求,适用于基础电信网络安全威胁信息分析系统的开发及检测。
9. 2023年7月28日,行业标准yd/t 2387-2023《网络安全监测系统技术要求》发布
本标准规定了网络安全监测系统的功能要求、性能要求、技术要求以及接口要求,适用于计算机网络应急响应组织的网络安全监测系统,也可供其他相关部门参考使用。
以制度建设不断提高国家网络安全保障能力,天融信将坚定不移争做网络安全政策的践行者、网络安全标准的贡献者,持续关注国家政策,积极参与标准研制,为网络安全产业发展和建设贡献力量。
- 关键词标签:
- 天融信 网络安全政策及标准