2022年第一季度转瞬即逝,期间,国家各部委、地方政府、各标准化委员会陆续发布了多项网络安全政策及相关安全标准,主要涉及数字经济、工业和信息化、金融、政务等领域。总体来看,保障网络与数据安全是上述领域发展的基石,伴随着网络安全顶层设计的日趋完善,相信网安产业必将迈向更高的发展阶段。
2022 q1 政策盘点
1. 2022年1月6日,国务院办公厅发布《要素市场化配置综合改革试点总体方案》(国办发〔2021〕51号)
《方案》旨在深入贯彻落实《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》,以综合改革试点为牵引,更好统筹发展和安全。《方案》明确提出要探索建立数据要素流通规则,要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。
2. 2022年1月7日,工信部、网信办等十二部门发布《关于开展网络安全技术应用试点示范工作的通知》(工信厅联网安函〔2022〕2号)
《通知》以新型基础设施安全、数字化应用场景安全、安全基础能力提升为主线,面向公共通信和信息服务、能源、交通、水利、应急管理、金融、医疗、广播电视等重要行业领域网络安全保障需求,开展网络安全技术应用试点示范工作。试点示范覆盖9个重点方向,包括云安全、人工智能安全、大数据安全、车联网安全、物联网安全、智慧城市安全、网络安全共性技术、网络安全创新服务、网络安全“高精尖”技术创新平台。
3. 2022年1月10日,中国银保监会发布《关于银行业保险业数字化转型的指导意见》(银保监办发〔2022〕2号)
《意见》从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范等方面提出要求,并提出到2025年,银行业保险业数字化转型取得明显成效,数字化经营管理体系基本建成,数据治理更加健全,科技能力大幅提升,网络安全、数据安全和风险管理水平全面提升。
4. 2022年1月12日,国务院发布《“十四五”数字经济发展规划》(国发〔2021〕29号)
《规划》部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,并系统阐述了网络安全对于数字经济的独特作用及重要性。
5. 2022年1月18日,发改委、网信办、市场监管总局、工信部等九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》(发改高技〔2021〕1872号)
《意见》聚焦平台经济发展面临的突出问题,提出要强化数据和算法安全监管,要求切实贯彻收集、使用个人信息的合法、正当、必要原则,严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为;强化数据安全管理工作;推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。
6. 2022年2月8日,中国人民银行、市场监管总局、银保监会、证监会联合发布《金融标准化“十四五”发展规划》(银发〔2022〕18号)
《规划》明确了七个方面的重点任务,在标准化引领金融业数字生态建设方面,要求稳步推进金融科技标准建设、系统完善金融数据要素标准、健全金融信息基础设施标准、强化金融网络安全标准防护、推进金融业信息化核心技术安全可控标准建设、稳妥推进法定数字货币标准研制,并且要求加快完善金融数据资源产权、交易流通、跨境传输和安全保护等标准规范。
7. 2022年2月10日,工信部发布《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)再次公开征集意见
《意见》是根据此前《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)收到的公开意见进行了修改完善,再次面向社会征求意见。此次发布的征求意见稿对数据定义、监管机构、重要数据和核心数据目录备案、主体责任、数据出境等诸多条款进行了调整。
8. 2022年2月21日,工信部发布《工业和信息化部办公厅关于做好工业领域数据安全管理试点工作的通知》(工信厅网安函〔2022〕24号)
《通知》要求试点地区工业和信息化主管部门加快提升行政执法能力,强化政策支持和资金投入,加强数据安全监测、风险报送、事件处置等技术能力建设,全面提升本地区数据安全监管能力。其中必选试点内容为数据安全管理、安全防护和安全评估,可选试点内容包括数据安全产品应用推广、数据安全监测、数据出境安全管理。
9. 2022年2月22日,最高人民法院发布《人民法院在线运行规则》(法发〔2022〕8号)
《规则》明确规定各级人民法院应当开展与等级保护标准相符合的信息系统安全保障建设和测评以及密码应用安全评估;应当确保智慧法院信息系统相关数据全生命周期安全,制定数据分类分级保护、数据安全应急处理和数据安全审查等制度;应当制定应急计划,及时有效处理人民法院在线运行过程中出现的停电、断线、技术故障、遭受网络攻击、数据安全漏洞等突发事件。
10. 2022年2月22日,国务院办公厅发布《加快推进电子证照扩大应用领域和全国互通互认的意见》(国办发〔2022〕3号)
《意见》要求全面提升电子证照应用支撑能力。其中明确了加强电子证照应用安全管理和监管。加强电子证照签发、归集、存储、使用等各环节安全管理,严格落实网络安全等级保护制度等要求,强化密码应用安全性评估,探索运用区块链、新兴密码技术、隐私计算等手段提升电子证照安全防护、追踪溯源和精准授权等能力。
11. 2022年3月5日,国务院总理李克强向第十三届全国人民代表大会第五次会议作《2022年政府工作报告》
《报告》指出,2022年,国务院将强化网络安全、数据安全和个人信息保护。促进数字经济发展;加强数字中国建设整体布局;建设数字信息基础设施,逐步构建全国一体化大数据中心体系,推进5g规模化应用,促进产业数字化转型,发展智慧城市、数字乡村;加快发展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力。
12. 2022年3月7日,工信部发布《车联网网络安全和数据安全标准体系建设指南》(工信厅科〔2022〕5号)
《指南》提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,支撑车联网产业安全健康发展。
13. 2022年3月25日,新疆维吾尔自治区第十三届人民代表大会常务委员会第三十二次会议通过《新疆维吾尔自治区关键信息基础设施安全保护条例》(第58号)
《条例》明确关键信息基础设施安全保护工作执行网络安全等级保护制度、重点保护制度和安全审查制度,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏;鼓励网络安全服务机构开展关键信息基础设施规划设计、建设实施、运行维护、安全咨询、安全防护、安全检查、风险评估和应急响应等技术服务。
14. 2022年3月30日,重庆市第五届人民代表大会常务委员会第三十三次会议通过《重庆市数据条例》(〔五届〕第177号)
《条例》分为总则、数据处理和安全、数据资源、数据要素市场、发展应用、区域协同、法律责任等部分,在数据安全方面,条例在《数据安全法》等上位法的框架下,结合重庆实际,对数据处理规则和数据安全体系进行建立健全,明确了建立数据分类分级保护制度和数据安全风险评估、报告、信息共享、监测预警、应急处置机制,按国家要求编制本地区重要数据目录,对列入目录的数据进行重点保护。
2022 q1 标准盘点
1. 2022年3月9日,国家标准gb/t 25069-2022《信息安全技术 术语》发布
本标准界定了信息安全技术领域中基本或通用概念的术语和定义,并对这些条目进行分类,是信息安全领域的重要基础性标准,也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。
2. 2022年3月9日,国家标准gb/t 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》发布
本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法,其中安全技术要求分为基础级和增强级,内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。
3. 2022年3月9日,国家标准gb/z 41290-2022《信息安全技术 移动互联网安全审计指南》发布
本标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容,给出了安全审计活动的框架、功能任务以及各功能任务的具体指南。
4. 2022年3月9日,国家标准gb/z 41288-2022《信息安全技术重要工业控制系统网络安全防护导则》发布
本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。
5. 2022年3月25日,团体标准t/ccia 001-2022《面向网络安全保险的风险评估指引》发布
本标准给出了网络安全保险投保阶段的网络安全风险评估实施过程,提出了网络安全保险通用场景和数据安全、网络勒索和业务连续性中断三类典型场景的风险计算方法。
以国家网络安全为己任,天融信始终不忘初心,一直以来都是网络安全政策的践行者,网络安全标准的贡献者。未来,天融信将持续关注国家政策,积极参与标准研制,为网络安全产业发展和建设贡献力量。