网络安全政策的出台对于维护国家安全与社会稳定、保护公民权益、促进经济发展具有重要意义和积极作用,同时也为构建安全、稳定、可信的网络环境提供了有力保障。当前我国网络安全政策体系正在逐步成熟,已覆盖数据安全、个人信息保护、人工智能、网络安全专用产品、商用密码等领域。今天,小编为大家整理了2023全年国内网络安全领域发布的重要政策文件,供大家参考。
国家政策
1. 2023年1月13日,工信部、国家网信办、发改委、公安部等十六部门联合发布《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》(工信部联网安〔2022〕182号)
《意见》聚焦数据安全保护及相关数据资源开发利用需求:一是提出促进数据安全产业发展的总体要求,并按2025年、2035年两个阶段提出产业发展目标,其中,到2025年,数据安全产业规模超过1500亿元,年复合增长率超过30%;到2035年,数据安全产业进入繁荣成熟期;二是明确促进数据安全产业发展的七项重点任务;三是提出加强组织协调、加大政策支撑和优化产业发展环境三方面保障措施。
2. 2023年2月24日,国家网信办发布《个人信息出境标准合同办法》(国家互联网信息办公室令 第13号)
《办法》明确通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。
3. 2023年2月27日,中共中央、国务院发布《数字中国建设整体布局规划》
《规划》指出要强化数字中国关键能力。一是构筑自立自强的数字技术创新体系;二是筑牢可信可控的数字安全屏障,主要提到切实维护网络安全,完善网络安全法律法规和政策体系,增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
4. 2023年3月28日,市场监管总局、中央网信办、工信部、公安部发布《关于开展网络安全服务认证工作的实施意见》(国市监认证规〔2023〕3号)
《意见》旨在推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量。其中,明确提出现阶段网络安全服务认证目录包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。
5. 2023年4月17日,国家网信办、工信部等5部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)
《公告》提出,自2023年7月1日起,网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供,停止颁发《计算机信息系统安全专用产品销售许可证》。
6. 2023年4月23日,工信部、中央网信办、发改委等8部门联合发布《关于推进ipv6技术演进和应用创新发展的实施意见》(工信部联通信〔2023〕45号)
《实施意见》从5个方面部署了15项重点任务。其中,提升安全保障能力方面,坚持同步推进网络安全系统规划、建设、运行的原则,从强化ipv6网络安全防护、加快ipv6安全技术创新、推动ipv6安全应用三个方面进行了规划部署,为ipv6高质量发展提供安全保障。
7. 2023年4月27日,中央网信办、发改委、工信部联合印发《深入推进ipv6规模部署和应用2023年工作安排》
《工作安排》明确了2023年工作目标,部署了十一个方面重点任务,其中,强化安全保障方面,要求加快ipv6安全关键技术研发和应用、提升ipv6网络安全防护和监测预警能力、加强ipv6网络安全管理和监督检查。
8. 2023年5月24日,国务院发布《商用密码管理条例》(中华人民共和国国务院令第273号)
《条例》重点规定了六方面内容。一是完善了商用密码管理体制;二是促进商用密码科技创新与标准化建设;三是健全商用密码检测认证体系;四是加强电子认证服务使用密码和电子政务电子认证服务活动管理;五是规范商用密码进出口管理;六是促进商用密码应用,明确关键信息基础设施的商用密码使用要求和国家安全审查要求。
9. 2023年5月30日,国家网信办发布《个人信息出境标准合同备案指南(第一版)》
《指南》对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明,并明确个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。
10. 2023年7月3日,国家网信办发布关于调整《网络关键设备和网络安全专用产品目录》的公告(2023年第2号)
《目录》给出了4类网络关键设备和34类网络安全专用产品的名单。2017年发布的网络关键设备和网络安全专用产品目录(第一批)同步废止,本次目录的调整主要针对网络安全专用产品,从第一批目录的15款产品类别增加到34款产品类别,包括虚拟专用网产品、防病毒网关、统一威胁管理产品、病毒防治产品、网络安全态势感知产品、负载均衡产品等。
11. 2023年7月13日,国家网信办、国家发改委、教育部、科技部等七部门联合发布《生成式人工智能服务管理暂行办法》(15号令)
《办法》提出了促进生成式人工智能技术发展的具体措施,明确了训练数据处理活动和数据标注等要求,规定了生成式人工智能服务规范,明确生成式人工智能服务提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务,涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务,此外,还规定了安全评估、算法备案、投诉举报等制度,明确了法律责任。
12. 2023年7月17日,工信部、国家金融监督管理总局联合发布《两部门关于促进网络安全保险规范健康发展的意见》(工信部联网安〔2023〕95号)
《意见》是我国网络安全保险领域的首份政策文件,围绕完善政策标准、创新产品服务、强化凯发官网入口首页的技术支持、促进需求释放、培育产业生态等提出意见。一是聚焦提升行业认知、完善行业规范,健全完善网络安全保险支持政策;二是聚焦丰富网络安全保险产品类型、创新保险服务模式,全方位加强网络安全保险产品服务创新;三是聚焦提升风险量化评估能力、加强全生命周期风险监测,强化网络安全技术赋能保险发展;四是聚焦推进网络安全保险落地应用、促进企业网络安全能力提升,撬动网络安全产业需求释放;五是聚焦培育网络安全保险优质企业、加强网络安全保险推广,培育网络安全保险发展生态。
13. 2023年7月26日,工信部、国标委联合发布《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》(工信部联科〔2023〕109号)
《建设指南》提出到2025年,系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系,制修订100项以上智能网联汽车相关标准;到2030年,全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系,制修订140项以上智能网联汽车相关标准并建立实施效果评估和动态完善机制。
14. 2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见
《管理办法》指出个人信息处理者开展合规审计的情形分为两种,一是自行定期开展审计,二是应监管要求审计,在开展个人信息保护合规审计的对象及频次方面,明确处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计,其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计,并以附件的形式提出个人信息保护合规审计参考要点。
15. 2023年8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》公开征求意见
《办法》对相关组织或个人如何规范使用人脸识别技术提出了具体安全要求,明确了人脸识别技术应用的“最小使用原则”、“告知-同意原则”和“最小存储原则”,并规定人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,以及每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
16. 2023年8月10日,国家认监委发布《关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告》(2023年第14号)
《公告》发布之后,《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》(国家认监委2018年第28号公告)同时废止,此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。
17. 2023年9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见
《规定》围绕申报数据出境安全评估义务、个人信息出境标准合同签署与备案义务、开展个人信息保护认证义务的全新触发条件展开,其中对数据跨境给出了更为明确的定义与界定,以及对于何时、在哪些情境下需要进行数据出境安全评估,以及何时可以豁免等,都提供了更加明确的指引。
18. 2023年10月7日,国家密码管理局发布《商用密码应用安全性评估管理办法》(国家密码管理局令 第3号)
《管理办法》明确法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
19. 2023年10月7日,国家密码管理局发布《商用密码检测机构管理办法》(国家密码管理局令 第2号)
《管理办法》明确从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
20. 2023年10月9日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》公开征求意见
《实施细则》给出了数据安全风险评估的工作原则、评估内容、评估期限、评估方式、委托评估、风险控制、评估报送等内容,包括明确了工业和信息化领域重要数据和核心数据处理者应对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素。
21. 2023年10月24日,国务院发布《未成年人网络保护条例》(中华人民共和国国务院令第766号)
《条例》是我国出台的第一部专门性的未成年人网络保护综合立法,主要明确了未成年人网络保护的原则要求和监督管理体制、未成年人网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治等制度。其中要求网络产品和服务提供者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
22. 2023年10月24日,工信部发布《工业互联网安全分类分级管理办法(公开征求意见稿)》公开征求意见
《管理办法》指出工业互联网安全分类分级管理以工业互联网企业为对象,工业互联网企业应承担本企业网络安全主体责任,企业主要负责人为本企业网络安全第一责任人,应建立健全企业内部网络安全管理制度,积极将网络安全纳入企业发展规划和工作考核,加大网络安全投入,加强网络安全防护能力建设,有效防范化解网络安全风险,企业应当配合工业和信息化部、地方主管部门的监督管理。
23. 2023年11月23日,工信部发布《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》公开征求意见
《裁量指引》明确了行政处罚裁量权概念、各级行政处罚机关职责和工作原则,并以《数据安全法》为基准,提出不履行数据安全保护义务、向境外非法提供数据、不配合监管等三类违法行为的触发条件;综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素,对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。
24. 2023年12月8日,国家网信办发布《网络安全事件报告管理办法(征求意见稿)》公开征求意见
《管理办法》规定了运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告,并在事件处置结束后,运营者还应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
25. 2023年12月13日,国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(国家互联网信息办公室 香港创新科技及工业局 公告2023年3号)
《实施指引》明确提出粤港澳大湾区个人信息处理者及接收方按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动,双方应当履行标准合同所列明的义务和责任。在提供个人信息前,应当开展个人信息保护影响评估。
26. 2023年12月15日,国家数据局发布《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》公开征求意见
《行动计划》从激活数据要素潜能、总体要求、重点行动、强化保障支撑、做好组织实施等五方面提出要求。其中,明确到2026年底,打造300个以上示范性强、显示度高、带动性广的典型应用场景,数据产业年均增速超过20%,数据交易规模增长1倍等;并提出安全有序,开放融合原则,坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线,以及明确了12项“数据要素×”任务。
27.2023年12月15日,工信部发布《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》公开征求意见
《应急预案》明确了数据安全事件定义和分级方法,要求数据处理者应当制定本单位数据安全事件应急预案。在监测与预警方面,应加强数据安全风险监测、研判和上报;在事件响应方面,对自判为较大以上事件的,应立即向地方行业监管部门报告;在预防方面,应建设数据安全应急技术手段,定期进行数据安全风险评估和自查自纠。
28. 2023年12月29日,工信部发布《工业领域数据安全标准体系建设指南(2023版)》(工信部联科〔2023〕250号)
《建设指南》提出到2024年,初步建立工业领域数据安全标准体系,研制数据安全国家、行业或团体标准30项以上,到2026年,形成较为完备的工业领域数据安全标准体系,研制数据安全国家、行业或团体标准100项以上,并明确了工业领域数据安全标准体系框架,包括基础共性、安全管理、技术和产品、安全评估与产业评价、新兴融合领域、工业细分行业六个子体系内容。
行业政策
1. 2023年3月3日,中国证监会发布《证券期货业网络和信息安全管理办法》(证监会令第218号)
《办法》全面覆盖了包括证券期货业关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,从网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等方面提出要求。
2. 2023年3月14日,国家邮政局修订发布《寄递服务用户个人信息安全管理规定》
《规定》指出邮政管理部门要落实好监管责任,督促寄递企业加强网络安全、数据安全和个人信息保护工作,并针对寄递企业不同工作流程分别提出了相应的用户个人信息保护要求,强化了个人信息安全实时监测能力,严密防范和遏制重大安全风险、事件发生。
3. 2023年5月6日,交通运输部发布《公路水路关键信息基础设施安全保护管理办法》(中华人民共和国交通运输部令2023年第4号)
《管理办法》主要明确了关基设施管理体制,建立了关基设施认定机制,并压实运营者主体责任,规定运营者在机构设置、人员配备、经费保障、产品和服务采购、安全检测和风险评估,以及数据保护、密码应用、保密管理、教育培训等方面的责任和义务,要求加强对关基设施风险隐患的应急处置、强化事前事中事后监管。
4.2023年6月9日,中国期货业协会向期货公司会员发布《期货公司网络和信息安全三年提升计划(2023-2025)》
《提升计划》主要包括导语、总体要求、主要任务和保障措施四方面内容,围绕提升期货公司信息技术治理能力,加强系统运行维护管理,提升网络安全保障水平,培育自主研发能力四方面实际需要,提出了20项工作任务,并配套制定了五方面保障措施。要求广大期货公司以此为指导,进一步明确本公司网络和信息安全工作目标及具体措施,持续加大信息科技投入,努力夯实数字化转型发展的安全基础,为加强科技赋能。
5.2023年6月9日,中国证券业协会向券商发布《证券公司网络和信息安全三年提升计划(2023-2025)》
《提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。其中,在科技投入机制方面,鼓励有条件的公司2023-2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%,其中网络和信息安全投入不低于信息科技投入的7%。
6. 2023年7月18日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见
《管理办法》围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督等方面提出安全管理要求,其中,规定运营者应当在国家网络安全等级保护制度的基础上,突出保护重点,落实防护措施,加强全生命周期管理,保障铁路关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,此外,从机构设置、人员配备、工作职责、供应链安全、数据安全、风险评估、监测预警和应急响应等方面给出规范。
7. 2023年7月24日,中国人民银行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见
《管理办法》主要提出了数据分类分级要求、数据安全保护总体要求,明确压实数据处理活动全流程安全合规底线,以及细化风险监测、评估审计、事件处置等合规要求,并明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。
8. 2023年11月16日,财政部、国家网信办联合发布《会计师事务所数据安全管理暂行办法(征求意见稿)》(财办会〔2023〕26号)公开征求意见
《办法》在数据管理方面,要求会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理,对数据传输、数据加密、数据备份等事项作出了具体规定,并要求会计师事务所应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段加强数据管理。
党的二十大报告提出,健全网络综合治理体系,推动形成良好网络生态。建设网络强国,已经成为中国式现代化的核心内容和战略性问题。网络安全法治体系现代化建设,既是保护网民合法权益和网络经济发展的应有之义,也是维护国家网络主权和国防安全的必要条件。
以制度建设不断提高国家网络安全保障能力,让网络安全工作有法可依,有据可查。在新的一年里,天融信将不忘初心,不断加强网络安全技术研究和产品研发投入,为网络安全产业及数字经济发展保驾护航。
- 关键词标签:
- 天融信 网络安全政策