随着我国网络安全政策法规不断健全,网络安全工作机制也日渐成熟,各项工作已稳步步入法治化的轨道,与此同时,网络安全标准体系逐步清晰,安全防线日益坚固,为国家的网络安全建设提供了坚实的基础。小编为大家整理了2024年第一季度国内网络安全相关重要政策文件和标准,供大家参考。
第一部分:政策
《管理办法》围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督等方面提出安全管理要求,其中,规定运营者应建立铁路关键信息基础设施全过程保护制度,要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,并明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、密码应用等方面的责任和义务。
《行动计划》提出到2026年底,数据要素应用广度和深度大幅拓展,在经济发展领域数据要素乘数效应得到显现,打造300个以上示范性强、显示度高、带动性广的典型应用场景,数据产业年均增速超过20%,场内交易与场外交易协调发展,数据交易规模倍增,并从应用场景出发,明确提出了12项“数据要素×”重点行动。
《指导意见》要求数据资产各权利主体均应落实数据资产安全管理责任,按照分类分级原则,在网络安全等级保护制度的基础上,落实数据安全保护制度,把安全贯彻数据资产开发、流通、使用全过程,提升数据资产安全保障能力。
《建设指南》提出到2025年,初步形成支撑区块链发展的标准体系,制定30项以上区块链相关标准,基本满足我国区块链标准化需求,并明确区块链和分布式记账技术标准体系结构包括“A基础”、“B技术和平台”、“C应用和服务”、“D开发运营”、“E安全保障”五个部分。其中,“E安全保障”标准包括EA应用服务安全、EB系统设计安全、EC基础组件安全,用于提升区块链的安全防护能力。
《防护指南》围绕安全管理、技术防护、安全运营、责任落实四方面提出安全防护要求,一是聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力;二是聚焦安全薄弱关键环节,强化技术应对策略,提升工业企业工控安全防护能力;三是聚焦易发网络安全风险,增强威胁发现及处置能力,提升工业企业安全运营能力;四是聚焦工业企业资源保障,坚持统筹发展和安全,督促企业落实网络安全责任。
《管理办法》规定寄递企业应当根据用户个人信息的处理目的、处理方式、个人信息的种类,以及对用户个人权益的影响、可能存在的安全风险等,制定内部安全管理制度,采取必要的技术措施,确保用户个人信息处理活动合法合规,防止未经授权的访问以及用户个人信息泄露、丢失等风险发生。
《通知》明确了数据资源调查的对象包括省级数据管理机构、工业和信息化主管部门、公安厅(局);各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位;中央企业;行业协会商会和国家信息中心,并明确了调查内容和方式,给出了相应的调查表。
《实施方案》一是明确了指导思想、基本原则和总体目标,在总体目标中细化了各项关键任务指标;二是围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出11项任务;三是围绕《实施方案》落地实施的保障需求,提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。
《保密法》是我国保密领域的基础性、综合性法律,1988年制定、2010年第一次修订、2024年第二次修订。本次保密法的修订从法律制度上明确了进一步加强党对保密工作的领导,高度重视保密科技创新和科技防护,并完善了网络信息、数据保密管理,此外,还加强了与《数据安全法》的协同衔接,新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。
《民航数据管理办法》给出了民航数据管理工作的职责与分工、数据资源目录管理方式,并提出了数据采集与治理、数据共享、数据应用、数据安全等方面要求。其中,明确民航数据处理主体对数据处理活动负安全主体责任,应建立覆盖数据采集、传输、存储、使用、共享以及销毁等数据全生命周期的安全保护机制,并鼓励通过加密、脱敏、隐私计算、溯源认证等技术手段加强数据安全保护。
《民航数据共享管理办法》明确了民航数据共享类型、目录管理、数据归集、数据获取与使用等方面的要求。其中,规定数据平台方应建立和完善数据安全管理制度,采取数据安全保护、安全服务和安全监测等技术措施,确保平台运行正常和数据安全。
《管理办法》包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。其中,明确银行保险机构应建立数据安全责任制,制定数据分类分级保护制度,按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,并建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。
两项指南分别对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化,指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。
《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出了优化调整,其中,明确了重要数据出境安全评估申报标准,规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,同时,还明确了应当申报数据出境安全评估的两类数据出境活动条件。
《管理办法》分别从数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理等方面提出明确要求。其中,规定了数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,并且在数据全生命周期处理过程中,应记录数据处理、权限管理、人员操作等日志,采用商用密码技术保护日志的完整性。
第二部分:标准
一、国家标准
本标准规定了数据分类分级的基本原则、框架、方法和流程。在数据分类部分,提出先按行业领域再按业务属性进行数据分类的思路,并给出了具体的分类方法;在数据分级部分,提出了确定分级对象、分级要素识别、数据影响分析、综合确定级别的分级方法,并对各环节进行了详细阐述;在分类分级流程部分,分别给出行业领域数据和处理者数据的分类分级流程;标准还在规范性附录中给出了重要数据的识别指南。
本标准修改采用国际标准ISO/IEC 9798-4:1999(Information technology – Security techniques – Entity authentication – Part 4: Mechanisms using a cryptographic check function),规定了采用密码校验函数的实体鉴别机制,包括单向鉴别和双向鉴别两种鉴别机制。
本标准修改采用国际标准ISO/IEC 13888-1:2020(Information security – Non-repudiation – Part 1: General),给出了抗抵赖机制的一般模型,作为GB/T 17903的其它部分中规定的使用密码技术的抗抵赖机制的一般模型。
本标准修改采用国际标准SO/IEC 13888-3:2020(Information security – Non-repudiation – Part 3: Mechanisms using asymmetric techniques),确立了若干特定的抗抵赖机制,用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖和提交抗抵赖。
本标准等同采用国际标准ISO/IEC 27004:2016(Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation),规定了信息安全绩效的监视和测量、ISMS(包括其过程和控制措施)有效性的监视和测量、以及监视和测量结果的分析和评价。
二、行业标准
本标准规定了基于数字证书的移动终端金融安全身份认证的服务描述、移动终端生命周期管理、服务生命周期管理、密钥管理、安全及功能、风险控制和运营管理的要求。
《术语》统一了金融机构对开源技术相同名词的表述;《管理指南》提供了金融机构在应用开源软件时的全流程管理指南,对开源软件的使用和管理提供了配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导;《评估规范》规定了金融机构在应用开源软件时的评估要求,对开源软件的引入、维护和退出提出了实现要求、评估方法和判定准则。
本标准提供了个人征信电子授权安全技术指南,包括个人征信电子授权机制、线上有效鉴别个人身份、签发数字证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保护等内容。
声明:本文来自信息安全研究,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
