第一部分：政策

1. 2024年1月3日，交通运输部发布《铁路关键信息基础设施安全保护管理办法》（中华人民共和国交通运输部令2023年第20号）

《管理办法》围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督等方面提出安全管理要求，其中，规定运营者应建立铁路关键信息基础设施全过程保护制度，要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用，并明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、密码应用等方面的责任和义务。

2. 2024年1月4日，国家数据局、中央网信办、科技部、工信部、中国人民银行等十七部门联合发布《“数据要素×”三年行动计划（2024—2026年）》（国数政策〔2023〕11号）

《行动计划》提出到2026年底，数据要素应用广度和深度大幅拓展，在经济发展领域数据要素乘数效应得到显现，打造300个以上示范性强、显示度高、带动性广的典型应用场景，数据产业年均增速超过20%，场内交易与场外交易协调发展，数据交易规模倍增，并从应用场景出发，明确提出了12项“数据要素×”重点行动。

3. 2024年1月11日，财政部发布《关于加强数据资产管理的指导意见》（财资〔2023〕141号）

《指导意见》要求数据资产各权利主体均应落实数据资产安全管理责任，按照分类分级原则，在网络安全等级保护制度的基础上，落实数据安全保护制度，把安全贯彻数据资产开发、流通、使用全过程，提升数据资产安全保障能力。

4. 2024年1月12日，工信部、中央网信办、国标委联合发布《区块链和分布式记账技术标准体系建设指南》（工信部联科〔2023〕260号）

《建设指南》提出到2025年，初步形成支撑区块链发展的标准体系，制定30项以上区块链相关标准，基本满足我国区块链标准化需求，并明确区块链和分布式记账技术标准体系结构包括“A基础”、“B技术和平台”、“C应用和服务”、“D开发运营”、“E安全保障”五个部分。其中，“E安全保障”标准包括EA应用服务安全、EB系统设计安全、EC基础组件安全，用于提升区块链的安全防护能力。

5. 2024年1月30日，工信部发布《工业控制系统网络安全防护指南》（工信部网安〔2024〕14号）

《防护指南》围绕安全管理、技术防护、安全运营、责任落实四方面提出安全防护要求，一是聚焦安全风险管控，突出管理重点对象，提升工业企业工控安全管理能力；二是聚焦安全薄弱关键环节，强化技术应对策略，提升工业企业工控安全防护能力；三是聚焦易发网络安全风险，增强威胁发现及处置能力，提升工业企业安全运营能力；四是聚焦工业企业资源保障，坚持统筹发展和安全，督促企业落实网络安全责任。

6. 2024年2月1日，国家邮政局就《寄递服务用户个人信息安全管理办法（征求意见稿）》公开征求意见

《管理办法》规定寄递企业应当根据用户个人信息的处理目的、处理方式、个人信息的种类，以及对用户个人权益的影响、可能存在的安全风险等，制定内部安全管理制度，采取必要的技术措施，确保用户个人信息处理活动合法合规，防止未经授权的访问以及用户个人信息泄露、丢失等风险发生。

7. 2024年2月19日，国家数据局、中央网信办、工业和信息化部、公安部联合发布《关于开展全国数据资源调查的通知》（国数综资源〔2024〕5号）

《通知》明确了数据资源调查的对象包括省级数据管理机构、工业和信息化主管部门、公安厅（局）；各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位；中央企业；行业协会商会和国家信息中心，并明确了调查内容和方式，给出了相应的调查表。

8. 2024年2月26日，工业和信息化部发布《工业领域数据安全能力提升实施方案（2024-2026年）》（工信部网安〔2024〕34号）

《实施方案》一是明确了指导思想、基本原则和总体目标，在总体目标中细化了各项关键任务指标；二是围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，明确提出11项任务；三是围绕《实施方案》落地实施的保障需求，提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。

9. 2024年2月27日，中华人民共和国第十四届全国人民代表大会常务委员会第八次会议修订通过《中华人民共和国保守国家秘密法》（中华人民共和国主席令第20号）

《保密法》是我国保密领域的基础性、综合性法律，1988年制定、2010年第一次修订、2024年第二次修订。本次保密法的修订从法律制度上明确了进一步加强党对保密工作的领导，高度重视保密科技创新和科技防护，并完善了网络信息、数据保密管理，此外，还加强了与《数据安全法》的协同衔接，新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。

10. 2024年3月11日，中国民航局就《民航数据管理办法（征求意见稿）》《民航数据共享管理办法（征求意见稿）》公开征求意见

《民航数据管理办法》给出了民航数据管理工作的职责与分工、数据资源目录管理方式，并提出了数据采集与治理、数据共享、数据应用、数据安全等方面要求。其中，明确民航数据处理主体对数据处理活动负安全主体责任，应建立覆盖数据采集、传输、存储、使用、共享以及销毁等数据全生命周期的安全保护机制，并鼓励通过加密、脱敏、隐私计算、溯源认证等技术手段加强数据安全保护。

《民航数据共享管理办法》明确了民航数据共享类型、目录管理、数据归集、数据获取与使用等方面的要求。其中，规定数据平台方应建立和完善数据安全管理制度，采取数据安全保护、安全服务和安全监测等技术措施，确保平台运行正常和数据安全。

11. 2024年3月22日，国家金融监督管理总局就《银行保险机构数据安全管理办法（征求意见稿）》公开征求意见

《管理办法》包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。其中，明确银行保险机构应建立数据安全责任制，制定数据分类分级保护制度，按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制，并建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

12. 2024年3月22日，国家网信办发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》

两项指南分别对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化，指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。

13. 2024年3月22日，国家网信办发布《促进和规范数据跨境流动规定》（国家互联网信息办公室令 第16号）

《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出了优化调整，其中，明确了重要数据出境安全评估申报标准，规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件，同时，还明确了应当申报数据出境安全评估的两类数据出境活动条件。

14. 2024年3月22日，自然资源部发布《自然资源领域数据安全管理办法》（自然资发〔2024〕57号）

《管理办法》分别从数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理等方面提出明确要求。其中，规定了数据处理者应当对数据处理活动安全负主体责任，对各类数据实行分级防护，并且在数据全生命周期处理过程中，应记录数据处理、权限管理、人员操作等日志，采用商用密码技术保护日志的完整性。

第二部分：标准

一、国家标准

1. 2024年3月15日，国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》发布

本标准规定了数据分类分级的基本原则、框架、方法和流程。在数据分类部分，提出先按行业领域再按业务属性进行数据分类的思路，并给出了具体的分类方法；在数据分级部分，提出了确定分级对象、分级要素识别、数据影响分析、综合确定级别的分级方法，并对各环节进行了详细阐述；在分类分级流程部分，分别给出行业领域数据和处理者数据的分类分级流程；标准还在规范性附录中给出了重要数据的识别指南。

2. 2024年3月15日，国家标准GB/T 15843.4-2024《信息技术 安全技术 实体鉴别 第4部分：采用密码校验函数的机制》发布

本标准修改采用国际标准ISO/IEC 9798-4:1999（Information technology – Security techniques – Entity authentication – Part 4: Mechanisms using a cryptographic check function），规定了采用密码校验函数的实体鉴别机制，包括单向鉴别和双向鉴别两种鉴别机制。

3. 2024年3月15日，国家标准GB/T 17903.1-2024《信息技术 安全技术 抗抵赖 第1部分：概述》发布

本标准修改采用国际标准ISO/IEC 13888-1:2020（Information security – Non-repudiation – Part 1: General），给出了抗抵赖机制的一般模型，作为GB/T 17903的其它部分中规定的使用密码技术的抗抵赖机制的一般模型。

4. 2024年3月15日，国家标准GB/T 17903.3-2024《信息技术 安全技术 抗抵赖 第3部分：采用非对称技术的机制》发布

本标准修改采用国际标准SO/IEC 13888-3:2020（Information security – Non-repudiation – Part 3: Mechanisms using asymmetric techniques），确立了若干特定的抗抵赖机制，用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖和提交抗抵赖。

5. 2024年3月15日，国家标准GB/T 31497-2024《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》发布

本标准等同采用国际标准ISO/IEC 27004:2016（Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation），规定了信息安全绩效的监视和测量、ISMS（包括其过程和控制措施）有效性的监视和测量、以及监视和测量结果的分析和评价。

二、行业标准

1. 2024年1月15日，金融行业标准JR/T 0285-2024《基于数字证书的移动终端金融安全身份认证规范》发布

本标准规定了基于数字证书的移动终端金融安全身份认证的服务描述、移动终端生命周期管理、服务生命周期管理、密钥管理、安全及功能、风险控制和运营管理的要求。

2. 2024年1月15日，3项金融行业标准JR/T 0289-2024《金融业开源技术 术语》、JR/T 0290-2024《金融业开源软件应用 管理指南》、JR/T 0291-2024《金融业开源软件应用 评估规范》发布

《术语》统一了金融机构对开源技术相同名词的表述；《管理指南》提供了金融机构在应用开源软件时的全流程管理指南，对开源软件的使用和管理提供了配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导；《评估规范》规定了金融机构在应用开源软件时的评估要求，对开源软件的引入、维护和退出提出了实现要求、评估方法和判定准则。

3. 2024年1月15日，金融行业标准JR/T 0299-2024《个人征信电子授权安全技术指南》发布

本标准提供了个人征信电子授权安全技术指南，包括个人征信电子授权机制、线上有效鉴别个人身份、签发数字证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保护等内容。

声明：本文来自信息安全研究，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

网安秘字〔2024〕21号

各有关单位：

为促进网络安全产品互联互通资产信息有效互通和整合，秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》。

本《实践指南》给出了网络安全产品互联互通时资产信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

附件：《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》

全国网络安全标准化技术委员会

秘书处

2024年3月13日

声明：本文来自商密君，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

来 源 | 江苏省国家保密局

工业和信息化部近日印发《工业领域数据安全能力提升实施方案（2024—2026年）》，提出到2026年底，我国工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高，重点企业数据安全主体责任落实到位，重点场景数据保护水平大幅提升，重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。关键指标包括：基本实现各工业行业规上企业数据安全要求宣贯全覆盖；开展数据分类分级保护的企业超4.5万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业；立项研制数据安全国家、行业、团体等标准规范不少于100项；遴选数据安全典型案例不少于200个，覆盖行业不少于10个；数据安全培训覆盖3万人次，培养工业数据安全人才超5000人。

关于印发《工业领域数据安全能力提升实施方案（2024—2026年）》的通知

工信部网安〔2024〕34号

各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，有关行业协会，有关企业，部属有关单位，部属各高校：

现将《工业领域数据安全能力提升实施方案（2024—2026年）》印发给你们，请认真抓好贯彻落实。

工业和信息化部

2024年2月23日

工业领域数据安全能力提升实施方案（2024—2026年）

数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通等各环节，保障数据安全，事关国家安全大局。为贯彻落实习近平总书记关于数据安全的重要指示精神和党中央、国务院决策部署，推动《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法（试行）》等在工业领域落地实施，加快提升工业领域数据安全保护能力，助力工业高质量发展，夯实新型工业化发展的安全基石，制定本方案。

一、总体要求

（一）指导思想

以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大精神，坚定不移贯彻总体国家安全观，坚持统筹发展和安全，坚持底线思维和极限思维，坚持目标导向和问题导向，以构建完善工业领域数据安全保障体系为主线，以落实企业主体责任为核心，以保护重要数据、提升监管能力、强化产业支撑等为重点，提高数据安全治理能力，促进数据要素安全有序流动和价值释放，为加快推进新型工业化，建设制造强国、网络强国和数字中国提供坚实支撑。

（二）基本原则

统筹推进，重点突破。加强顶层谋划，系统推进数据安全组织架构、政策制度、管理机制、标准规范、技术手段建设和产业发展工作。以强化重点行业、重点企业、重要系统平台、重要数据保护为切入点，以点带面促进整体保护水平提升。

政府引导，协同共治。综合运用正向激励和反向约束等方式，选树标杆典型，强化监管执法，压实企业主体责任。充分发挥行业协会、龙头企业、专业机构、高等院校等各方力量，形成数据安全协同治理的良好局面。

场景牵引，分业施策。摸清数据处理重点环节风险易发场景的特点规律，紧贴业务场景数据保护需求，强化科学防控。结合行业特色、数据特征等，差异化指导、精准化施策，加速提升行业数据安全管理水平。

创新驱动，技管结合。不断创新管理模式、技术、产品与服务，适应新时期工业领域数据安全保护新形势、新特点和新需求。注重“以技管数”手段建设和运用，与日常监管形成合力。

（三）总体目标

到2026年底，工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高，重点企业数据安全主体责任落实到位，重点场景数据保护水平大幅提升，重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。

——基本实现各工业行业规上企业数据安全要求宣贯全覆盖。

——开展数据分类分级保护的企业超4.5万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业。

——立项研制数据安全国家、行业、团体等标准规范不少于100项。

——遴选数据安全典型案例不少于200个，覆盖行业不少于10个。

——数据安全培训覆盖3万人次，培养工业数据安全人才超5000人。

二、重点任务

（一）提升工业企业数据保护能力

1.增强数据安全保护意识。加大数据安全法律法规和政策标准宣贯培训力度，提高各行业企业数据安全意识。督促企业依法依规落实数据安全主体责任，压实各单位法定代表人或主要负责人数据安全第一责任，建立健全数据安全管理体系和工作机制，配足数据安全岗位和人员队伍，定期开展数据安全教育培训。引导企业贯彻发展与安全并重原则，将数据安全管理要求融入本单位发展战略和考核机制，加强数据安全工作与业务发展同谋划、同部署、同落实、同考核。

2.开展重要数据安全保护。指导企业建立健全数据分类分级保护等安全管理制度，定期梳理识别重要数据和核心数据，形成目录并及时报备。督促重要数据和核心数据处理者明确数据安全负责人和管理机构，落实数据分级防护要求，每年至少开展一次数据安全风险评估，及时发现整改安全隐患，按要求报送评估报告。指导企业加强重要数据和核心数据安全风险监测与应急处置，及时报告重大风险事件。推动各行业企业加强商用密码应用保护数据安全。

3.强化重点企业数据安全管理。遴选掌握关键核心技术、代表行业发展水平、关系产业链安全稳定或关乎国家安全的企业，滚动编制工业领域数据安全风险防控重点企业名录。将名录内企业作为数据安全监管重点，督促其在落实数据安全要求基础上，着重提升风险监测、态势感知、威胁研判和应急处置等能力。发挥部省两级主管部门作用，统筹各方数据安全监测预警手段和技术力量，加强技术支持，协同做好企业数据安全保护。

4.深化重点场景数据安全保护。指导企业围绕数据汇聚、共享、出境、委托加工等重点数据处理场景，排查数据安全保护薄弱点，实施贴合行业特点的数据保护措施。聚焦供应链上下游协作、服务外包、上云上平台等典型业务场景，厘清多主体数据安全责任界面和衔接模式，建立全链条全方位数据安全保护体系。针对勒索病毒攻击、漏洞后门、人员违规操作、非受控远程运维等易发频发风险场景，加强风险自查自纠，采取精准的管理和防护措施。面向数据要素大规模流通交易典型场景，打造一批安全解决方案。

专栏1 数据安全保护筑基工程

1.夯实数据分类分级基础。分行业分领域研究制定重要数据和核心数据识别细则，形成“1+N”的工业领域数据分类分级规范体系，科学指导各行业落地实施。持续迭代重要数据和核心数据目录，逐步摸清行业重要数据规模、分布、处理等情况，明确行业重点保护数据对象。

2.编制数据保护实践指南。结合重点数据处理场景、典型业务场景、易发频发风险场景等数据安全保护需求和难点，研究制定工业领域数据安全保护实践系列指南，为企业数据保护和风险防范提供实操参考。面向数据出境需求较大的重点行业，分类制定数据出境安全指引，指导企业依法依规开展数据出境安全评估。

3.分业推进数据安全保护能力跃升。在有序推进宣贯培训、分类分级保护等工作基础上，立足钢铁、汽车、纺织、集成电路等行业实际，聚焦重点场景、重点环节、重要系统平台、重要数据等，进一步加强行业数据安全主体责任落实和保护力度，实现行业数据安全保护能力整体跃升。

（二）提升数据安全监管能力

5.完善数据安全政策标准。建立健全工业领域数据安全管理制度，推动出台风险评估实施细则、应急预案、行政处罚裁量指引等政策文件。持续完善重要数据识别、备案、分级防护、风险评估等全流程监管机制，加强监督检查。组建工业领域网络与数据安全行业标准化组织，发布数据安全标准体系建设指南，加快研制重要数据识别、安全防护、风险评估、产品检测、密码应用等亟需标准。鼓励地方参照制定本地区数据安全政策。

6.加强数据安全风险防控。完善工业领域数据安全风险信息报送与共享工作机制，组建数据安全风险分析专家组，动态管理风险直报单位库，协同加强地方力量，常态化开展风险监测、报送、预警、处置等工作。摸排数据安全风险事件特点和规律，建立重大风险事件案例库，加强案例剖析和风险提示。面向重点行业开展“数安护航”专项行动，定期组织“数安铸盾”应急演练，提升事件快速反应、规范处置、协同联动水平。

专栏2 打造数据安全风险防控品牌

1.“数安护航”专项行动。分行业、分批次集中开展数据安全风险排查和防范，聚焦数据泄露、篡改、滥用、违规传输、非法访问、流量异常等突出风险，利用企业自查、远程检测、现场诊断等手段，针对性增强风险应对处置能力。

2.“数安铸盾”应急演练。面向重点行业，模拟勒索病毒攻击、供应链攻击等易发典型数据安全风险事件，组织开展全要素、全流程应急演练，持续优化事件响应流程和机制，锻炼培养一批应急支撑队伍。

7.推进数据安全技术手段建设。统筹建设工业和信息化领域数据安全管理平台，建立工业领域数据安全工具库，形成集数据资源管理、态势感知、风险信息报送与共享、技术测试验证、事件应急响应等功能于一体的技术能力，加强与网络安全技术、密码技术手段协同。推动有条件的地方、行业、企业等加快建立数据安全风险监测与应急处置等技术手段，强化“部-省-企业”技术能力三级联动，不断提升技术保障水平。

专栏3 数据安全技术保障工程

1.统筹建设工业和信息化领域数据安全管理平台。建立完善工业领域数据安全监测、信息报送与共享、应急管理、安全评估等系统功能，强化风险统一汇集、分析、研判和通报，支撑事件应急处置、辅助决策、跟踪追溯等工作，提供风险评估、出境安全评估、防护能力评估等服务，覆盖不少于20个省级（行业级）节点和500个企业节点。

2.建立工业领域数据安全工具库。围绕数据分类分级、安全防护、检测评估、合规检查、应急处置、攻击追溯、密码应用等方面，研发一批规范化、便携式的工具，为高效开展数据安全监管和保护工作提供支撑。

8.锻造数据安全监管执法能力。规范数据安全事件调查处置程序，丰富取证方法和手段。加快完善数据安全执法流程和工作机制，推动地方工业和信息化主管部门将数据安全纳入本地区行政执法事项清单，指导各行业、各地方依法严格处置违法行为，加强执法案例宣介与警示教育。建立健全数据安全违法违规行为投诉举报机制，多渠道收集违法违规线索。加大监管执法人员培训力度，推动地方工业和信息化主管部门强化数据安全监管力量，打造专业化、规范化监管执法队伍。

（三）提升数据安全产业支撑能力

9.加大技术产品和服务供给。加强工业数据智能分类分级、工业数据库审计、低时延加密传输等共性技术优化升级。加大适配工业业务场景和数据特征的轻量级数据加密、隐私计算、密态计算等关键技术攻关。支持使用商用密码技术保障工业领域数据安全。围绕工业数据泄露、窃取、篡改等风险，推动流量异常监测、攻击行为识别、事件追溯和处置等产品研发。加强面向工业云、工业大数据、工业互联网平台等新兴应用的数据安全架构设计。支持工业领域数据安全“产品+服务”供给模式创新。

10.促进应用推广和供需对接。加大多方安全计算、数据防勒索、数据溯源、商用密码等技术产品在工业领域的试点应用。组织遴选一批在各行业具有广泛应用价值的通用数据安全技术和产品，打造一批面向行业、面向场景、面向中小企业的数据安全解决方案，形成一批工业领域数据安全典型案例，分行业、分地区开展宣传推广。推动各行业利用主题沙龙、路演等渠道开展数据安全技术产品和服务供需对接活动。发挥数据安全产业公共服务平台作用，强化信息共享、资源对接等服务。

11.建立健全人才培养体系。面向不同行业、岗位、层级数据安全工作需求，推动专业化、特色化数据安全教材课程开发，规范化开展职业人才资格认定。支持产学研用各方加强合作，依托培训中心、实训基地、网络学习平台等联合培养复合型管理人才和实战型技能人才，通过技能竞赛、技术交流、学习进修、岗位练兵等形式持续促进人才知识更新和能力提升。鼓励工业企业建立健全数据安全绩效评价机制，加强数据安全人才激励。

三、保障措施

（一）加强组织协调。工业和信息化部加强工作统筹，做好与国家数据安全工作协调机制的衔接。各地工业和信息化主管部门负责组织实施本地区实施方案。鼓励各地结合实际制定细化工作方案，加强与相关部门合作，确保目标任务落实。充分发挥高校、科研院所、第三方机构等在实施方案宣贯、手段建设指导、技术交流合作、成果应用推广等方面的专业作用，引导企业加强数据安全能力建设。

（二）加大资源保障。统筹利用现有资金渠道，加大工业领域数据安全工作投入，支持关键核心技术攻关和公共服务平台建设。深化产融合作，支持数据安全企业参与“科技产业金融一体化”专项，通过国家产融合作平台获得便捷高效的金融服务。鼓励各地将数据安全纳入地方工业领域数字化转型发展相关规划，在支持数字化、网络化、智能化等项目时，同步明确数据安全要求。引导企业在信息化建设中为数据安全防护安排一定比例资金。

（三）强化成效评估。各行业、各地区及时跟踪调度实施方案落实情况，总结经验做法，评估工作成效，加强沟通交流，及时报告重大进展情况或问题。工业和信息化部对工作推动有力、取得明显成效的地区、企业和单位予以表扬，对优秀经验做法加强提炼总结和推广应用。

（四）做好宣传引导。综合利用产业活动、国际合作等方式，宣传普及工业领域数据安全理念和举措，提高地方、企业和公众对工业领域数据安全的认可度。充分调动行业协会、学会、产业联盟等力量，引导企业加强自律、凝聚共识，营造行业数据安全保护良好氛围。

七问+一图，读懂《工业领域数据安全能力提升实施方案（2024—2026年）》

近日，工业和信息化部印发《工业领域数据安全能力提升实施方案（2024—2026年）》（工信部网安〔2024〕34号），（以下简称《实施方案》）。现就重点问题回应如下：

一、《实施方案》出台的背景？

数据是数字经济时代的关键新型生产要素，与国家经济运行、社会治理、公共服务等方面密切相关，保障数据安全已成为事关国家安全与经济社会发展的重大问题。2023年9月，全国新型工业化推进大会召开，推动新型工业化发展迈向新征程，工业领域数字化、网络化、智能化加速提质升级，在促进工业数据流通共享和开发利用的同时，伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻，工业企业数据安全意识和能力普遍薄弱、地方主管部门监管工作缺抓手缺队伍、技术产品和服务供给不足等问题亟待研究解决。总体看，加强数据安全保障是新型工业化发展绕不过的坎，是推进新型工业化行稳致远的基础和前提。

党中央、国务院高度重视数据安全和新型工业化工作，习近平总书记多次作出重要指示，强调要“把安全贯穿数据治理全过程”“把必须管住的坚决管到位”“统筹发展和安全，深刻把握新时代新征程推进新型工业化的基本规律”。《数据安全法》《工业和信息化领域数据安全管理办法（试行）》等法律政策陆续出台，为工信领域数据安全监管和保护工作提供了指导和依据。为贯彻落实习近平总书记重要指示精神和党中央、国务院决策部署，将法律政策要求在工业领域再细化、再落实，切实提出符合行业特色、针对突出问题的任务举措，有效促进工业领域数据安全保护水平跃升，我部研究起草了《实施方案》，分步骤、有重点地指导各方扎实推进工业领域数据安全工作。

二、《实施方案》的定位和目标是什么？

《实施方案》是指导未来三年工业领域数据安全工作的纲领性规划文件，以“到2026年底基本建立工业领域数据安全保障体系”为总体目标，分别从企业侧、监管侧、产业侧等方面明确各工作目标，致力于实现企业保护水平大幅提升、监管能力和手段更加健全、产业供给稳步提升：

一是从行业数据安全意识和能力普及覆盖考虑，提出基本实现各工业行业规上企业数据安全要求宣贯全覆盖。

二是紧抓重点企业和规上企业，实现数据分类分级保护的企业超4.5万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业。

三是标准先行、树立典型。立项研制国家、行业、团体等各类标准规范不少于100项，对企业履行数据安全保护责任义务加强细化标准指导。面向不少于10个重点行业遴选典型案例不少于200个，强化优秀应用实践的引领带动作用。

四是加大人才培养，实现培训覆盖3万人次、培养人才超5000人。

三、《实施意见》的主要内容是什么？

《实施方案》坚持统筹发展和安全，坚持底线思维和极限思维，坚持目标导向和问题导向，以构建完善工业领域数据安全保障体系为主线，以落实企业主体责任为核心，以保护重要数据、提升监管能力、强化产业支撑等为重点，从总体要求、重点任务、保障措施三方面提出主要内容：

一是总体要求方面，明确了指导思想、基本原则和总体目标，在总体目标中细化了各项关键任务指标。

二是重点任务方面，围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，明确提出11项任务。其中，关于提升工业企业数据保护能力，提出了增强安全意识、开展重要数据保护、强化重点企业管理、深化重点场景保护4项任务；关于提升数据安全监管能力，提出了完善政策标准、加强风险防控、推进技术手段建设、锻造监管执法能力4项任务；关于提升数据安全产业支撑能力，提出了加大技术产品和服务供给、促进应用推广和供需对接、健全人才培养体系3项任务。

三是保障措施方面，围绕《实施方案》落地实施的保障需求，提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。

四、《实施方案》明确如何提升工业企业数据保护能力？

工业企业是履行数据安全保护责任和义务的主体。《实施方案》重点明确了提升工业企业数据保护能力的四项关键举措：

一是增强数据安全意识，通过法律政策和标准宣贯培训等工作，普及提高企业安全意识。从明确责任人、建立健全管理体系和工作机制、配足岗位和人员队伍、定期开展教育培训等方面压实企业主体责任。引导企业将数据安全管理要求融入本单位发展战略和考核机制，同步推进业务发展和数据安全工作。

二是开展重要数据保护，指导存在重要数据的企业落实建立健全管理制度、识别报备重要数据、实施分级防护、定期开展风险评估、开展风险事件监测与应急处置等要求，对重要数据进行重点保护。

三是强化重点企业数据安全管理，滚动编制工业领域数据安全风险防控重点企业名录，对名录内企业既要督促其着重提升风险监测、态势感知、威胁研判和应急处置等能力，又要发挥各级技术力量加强技术支持。

四是深化重点场景数据安全保护，聚焦数据处理场景、典型业务场景、易发频发风险场景和数据要素大规模流通交易场景，制定系列实践指南，指导企业精准施策。

五、《实施方案》明确如何提升工业企业数据保护能力？

健全完善数据安全政策标准、技术手段、工作队伍等是提升监管能力的重要基础。《实施方案》从当前数据安全监管急需出发，重点明确了提升监管能力的四项关键举措：

一是完善数据安全政策标准，具体包括建立健全政策制度、完善全流程监管机制、研制重点急需标准等任务，并鼓励地方积极制定相关政策。

二是加强数据安全风险防控，在做好风险信息报送与共享、组建风险分析专家组、动态管理风险直报单位库、建立重大风险事件案例库、加强风险提示等常态化工作基础上，打造“数安护航”专项行动和“数安铸盾”应急演练2个品牌活动，有效提升风险事件防范和处置水平。

三是推进数据安全技术手段建设，统筹建设工业和信息化领域数据安全管理平台，加快推进“部-省-企业”三级监测应急等技术能力建设和协同联动。建立工业领域数据安全工具库，为高效开展监管和保护工作提供规范化、便捷式工具服务等支撑。

四是锻造数据安全监管执法能力，明确提出规范事件调查程序，丰富取证方法和手段，完善执法流程机制和加强执法案例宣介与警示教育。推动地方主管部门将数据安全纳入行政执法事项清单，打造专业化、规范化监管执法队伍。

六、《实施方案》明确如何提升数据安全产业支撑能力？

强大的数据安全技术、产品、服务和人才等产业支撑能力，是开展数据安全工作的重要保障。《实施方案》推动政产学研用各方协同提升数据安全产业支撑能力，重点从以下三方面布局未来三年产业发展：

一是加大技术产品和服务供给，提出共性技术优化升级、关键技术攻关和产品研发、新型安全架构设计、供给模式创新等任务。

二是促进应用推广和供需对接，通过试点应用一批先进技术产品、打造一批解决方案、遴选推广一批典型案例以及组织一批沙龙等活动，充分盘活利用数据安全产业供需双方资源，激发产业创新活力。

三是建立健全人才培养体系，围绕教材课程开发、人才资格认定、丰富人才培养形式、培养复合型管理人才与实战型技能人才、加强人才激励等方面不断培养壮大数据安全人才队伍。

七、下一步如何推进《实施方案》落地见效？

下一步，要充分发挥部、省、企业、行业组织、专业机构、高等院校、安全企业等各方力量，协同扎实推进《实施方案》落实落细。

一要开展宣贯培训。分片区组织开展政策宣贯，面向地方工信主管部门、工业企业等做好政策文件重点、要点解读，切实提升行业数据安全保护意识和工作水平。鼓励各行业、各地区、各有关企业结合实际开展系列宣贯培训活动，加快将政策文件要求传达到位、落实到位。

二要抓好组织实施。紧扣《实施方案》要求，分解形成工业领域数据安全工作年度计划，明确各方任务分工，每年滚动跟踪检查工作进展、总结评估工作成效，对工作不力的加强督导落实，对表现突出的予以表扬激励。督促指导各有关单位细化制定本单位工作方案，加强责任落实，加大资金、人员等各类资源的投入力度，高质量完成各项目标任务。

三要加强典型引领。及时总结各单位在《实施方案》落地推进过程中的优秀经验做法，遴选推广典型案例，树立行业标杆。引导各行业、各地区结合实际创新建立工作模式、组织开展特色活动，持续深入挖掘优秀实践并加强宣传普及。

如何构建未来产业体系和发展生态？

《实施意见》围绕技术供给、产品打造、主体培育、丰富场景、支撑体系等方面，构建未来产业的发展生态。

一是强化技术供给。发挥国家战略科技力量和领军企业作用，加快前沿技术和颠覆性技术突破，打造原创技术策源地。

二是打造标志性产品。突破下一代智能终端，发展适应通用智能趋势的工业终端、面向数字生活新需求的消费级终端、智能适老的医疗健康终端和具备爆发潜能的超级终端。做优信息服务产品，发展下一代操作系统，推广开源技术。做强未来高端装备，突破人形机器人、量子计算机等产品。

三是壮大产业主体。引导领军企业前瞻谋划新赛道，实施中央企业未来产业启航行动计划。建设未来产业创新型中小企业孵化基地，梯度培育专精特新中小企业、高新技术企业和“小巨人”企业。依托龙头企业培育未来产业产业链，建设先进技术体系。创建未来产业先导区，推动产业特色化集聚发展。加强产学研用协作，促进大中小企业融通发展、产业链上下游协同创新的生态体系。

四是丰富应用场景。围绕装备、原材料、消费品等重点领域，面向设计、生产、检测、运维等环节打造应用试验场。加快工业元宇宙、生物制造等新兴场景推广。依托载人航天、深海深地等重大工程和项目场景，加速探索未来空间方向的成果创新应用。定期遴选发布典型应用场景清单和推荐目录，通过标杆示范、供需对接等方式建设标志性场景。

五是优化产业支撑体系。实施新产业标准化领航工程，统筹布局未来产业标准化发展路线，加快重点标准研制。同步构建中试能力，为关键技术验证提供试用环境，加快推进新技术向现实生产力转化。大力培育未来产业领军企业家和科学家，优化鼓励原创、宽容失败的创新创业环境。深入推进5G、算力基础设施、工业互联网、物联网、车联网、千兆光网等建设，构建高速泛在、集成互联、智能绿色、安全高效的新型数字基础设施。

为推动重点任务实施，《实施意见》提出哪些保障措施？

《实施意见》从统筹协调、金融支持、安全治理、国际合作等四方面提出保障措施。

一是加强统筹协调。加强部际协同、央地协作，以实施意见为指南，围绕脑机接口、量子信息等专业领域制定专项政策文件，形成完备的未来产业政策体系。

二是加大金融支持。带动资本投早投小投硬科技，完善金融财税支持政策，鼓励政策性银行和金融机构等加大投入，引导地方设立未来产业专项资金。

三是强化安全治理。坚持包容审慎的治理理念，加强伦理规范研究，科学划定“红线”和“底线”，构建鉴别-评估-防御-治理一体化机制。

四是深化国际合作。鼓励国内企业与研究机构走出去，鼓励跨国公司、国外科研机构等在我国建设前沿技术研发中心，加强与相关国际组织合作，积极贡献中国产品、中国方案和中国智慧。

来源：工业和信息化部网络安全管理局

声明：本文来自工信微报，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

2024年1月19日，《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》（工信部网安〔2024〕14号）中要求，在工业控制系统中使用加密协议和算法时应符合相关法律法规要求，鼓励优先采用商用密码，实现加密网络通信、设备身份认证和数据安全传输；定期梳理工业控制系统运行产生的数据，结合业务实际，开展数据分类分级，识别重要数据和核心数据并形成目录；围绕数据收集、存储、使用、加工、传输、提供、公开等环节，使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

关于印发工业控制系统网络安全防护指南的通知

工信部网安〔2024〕14号

各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，有关企事业单位：

现将《工业控制系统网络安全防护指南》印发给你们，请认真抓好落实。

工业和信息化部

2024年1月19日

工业控制系统网络安全防护指南

工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实新型工业化发展安全根基，制定本指南。

使用、运营工业控制系统的企业适用本指南，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

一、安全管理

（一）资产管理

1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资产状态变化及时更新。定期开展工业控制系统资产核查，内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理

3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。遵循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，及时清理过期账户。

4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计，及时根据安全防护需求变化调整配置，重大配置变更实施前进行严格安全测试，测试通过后方可实施变更。

（三）供应链安全

5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中，应明确各方需履行的安全相关责任和义务，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

6.工业控制系统使用纳入网络关键设备目录的PLC等设备时，应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。

（四）宣传教育

7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育，增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员，定期开展工控安全专业技能培训及考核。

二、技术防护

（一）主机与终端安全

8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件，定期进行病毒库升级和查杀，防止勒索软件等恶意软件传播。对具备存储功能的介质，在其接入工业主机前，应进行病毒、木马等恶意代码查杀。

9.主机可采用应用软件白名单技术，只允许部署运行经企业授权和安全评估的应用软件，并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。

10.拆除或封闭工业主机上不必要的通用串行总线（USB）、光驱、无线等外部设备接口，关闭不必要的网络服务端口。若确需使用外部设备，应进行严格访问控制。

11.对工业主机、工业智能终端设备（控制设备、智能仪表等）、网络设备（工业交换机、工业路由器等）的访问实施用户身份鉴别，关键主机或终端的访问采用双因子认证。

（二）架构与边界安全

12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素，对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理，部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时，实施网间纵向防护，并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。

13.应用第五代移动通信技术（5G）、无线局域网技术（Wi-Fi）等无线通信技术组网时，制定严格的网络访问控制策略，对无线接入设备采用身份认证机制，对无线访问接入点定期审计，关闭无线接入公开信息（SSID）广播，避免设备违规接入。

14.严格远程访问控制，禁止工业控制系统面向互联网开通不必要的超文本传输协议（HTTP）、文件传输协议（FTP）、Internet远程登录协议（Telnet）、远程桌面协议（RDP）等高风险通用网络服务，对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时，使用互联网安全协议（IPsec）、安全套接字协议（SSL）等协议构建安全网络通道（如虚拟专用网络（VPN）），并严格限制访问范围和授权时间，开展日志留存和审计。

15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求，鼓励优先采用商用密码，实现加密网络通信、设备身份认证和数据安全传输。

（三）上云安全

16.工业云平台为企业自建时，利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护，有效阻止非法操作、网络攻击等行为。

17.工业设备上云时，对上云设备实施严格标识管理，设备在接入工业云平台时采用双向身份认证，禁止未标识设备接入工业云平台。业务系统上云时，应确保不同业务系统运行环境的安全隔离。

（四）应用安全

18.访问制造执行系统（MES）、组态软件和工业数据库等应用服务时，应进行用户身份认证。访问关键应用服务时，采用双因子认证，并严格限制访问范围和授权时间。

19.工业企业自主研发的工业控制系统相关软件，应通过企业自行或委托第三方机构开展的安全性测试，测试合格后方可上线使用。

（五）系统数据安全

20.定期梳理工业控制系统运行产生的数据，结合业务实际，开展数据分类分级，识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节，使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

21.法律、行政法规有境内存储要求的重要数据和核心数据，应在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

三、安全运营

（一）监测预警

22.在工业控制网络部署监测审计相关设备或平台，在不影响系统稳定运行的前提下，及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。

23.在工业控制网络与企业管理网或互联网的边界，可采用工业控制系统蜜罐等威胁诱捕技术，捕获网络攻击行为，提升主动防御能力。

（二）运营中心

24.有条件的企业可建立工业控制系统网络安全运营中心，利用安全编排自动化与响应（SOAR）等技术，实现安全设备的统一管理和策略配置，全面监测网络安全威胁，提升风险隐患集中排查和事件快速响应能力。

（三）应急处置

25.制定工控安全事件应急预案，明确报告和处置流程，根据实际情况适时进行评估和修订，定期开展应急演练。当发生工控安全事件时，应立即启动应急预案，采取紧急处置措施，及时稳妥处理安全事件。

26.重要设备、平台、系统访问和操作日志留存时间不少于六个月，并定期对日志备份，便于开展事后溯源取证。

27.对重要系统应用和数据定期开展备份及恢复测试，确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。

（四）安全评估

28.新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前，应开展安全风险评估。

29.对于重要工业控制系统，企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。

（五）漏洞管理

30.密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布，及时采取升级措施，短期内无法升级的，应开展针对性安全加固。

31.对重要工业控制系统定期开展漏洞排查，发现重大安全漏洞时，对补丁程序或加固措施测试验证后，方可实施补丁升级或加固。

四、责任落实

32.工业企业承担本企业工控安全主体责任，建立工控安全管理制度，明确责任人和责任部门，按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。

33.强化企业资源保障力度，确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。

声明：本文来自工业和信息化部网络安全管理局，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

文 | 中国电子科技集团公司第十五研究所 信息产业信息安全测评中心 袁泉、霍珊珊、刘艺翔、闫思宇、孙琪；中国网络安全审查技术与认证中心 申永波

近年来，随着互联网技术的快速发展和应用，各国政府和企业都在加大对信息安全的投入和重视，推动了信息安全行业的快速发展。信息安全需求也持续增长，同时也要求信息安全供应商不断提升自身的技术水平和服务能力，以适应市场变化和客户需求。信息技术（IT）产品的种类和发展不断增加，其相关标准规范的建立也成为普遍关注的话题。

一、GB/T 18336 标准介绍

为建立我国信息技术产品安全技术要求，保障我国信息安全建设，2001 年，中国信息安全测评中心牵头对国际标准 ISO/IEC 15408 进行等同采用，形成了国家标准 GB/T 18336-2001《信息技术 安全技术 信息技术安全评估准则》（以下简称“GB/T 18336”）。根据 ISO/IEC 15408 的发展情况，先后修订形成 GB/T 18336-2008、GB/T18336-2015 版，目前 GB/T 18336 的第三次修订工作已接近尾声。现行的 GB/T 18336-2015 版包括 3 部分，第 1 部分为简介和一般模型，定义了 IT 安全性评估的一般概念和原理，并提出了评估的一般模型。第 2 部分为安全功能要求，建立了一系列功能组件、族和类，作为表述评估对象（Target of Evaluation，TOE）功能要求的标准方法。第 3 部分为安全保障要求，建立了一系列保障组件，作为表述 TOE 保障要求的标准方法。

GB/T 18336 以一种标准化的语言提出了产品安全相关功能组件和保障组件，标准抽象层次较高，适用于所有具有安全功能的 IT 产品的检测评估。针对具体的 IT 产品检测评估，可以通过开发具体的某一类产品标准规范，即保护轮廓（Protect Profile，PP）来规范该类产品的安全需求和测试评估，提高产品的安全性和检测认证效率。

GB/T 18336 针对安全评估中的 IT 产品的安全功能及其保障措施提供了一套通用要求，这些 IT 产品的实现形式可以是硬件、固件或软件。标准全面阐述了涵盖 IT 产品整个生命周期的安全要求和评估方法，内容丰富全面，具备科学性、通用性、可扩展性等优点，可用于指导产品或系统的开发、生产、集成、运行和维护等。该标准在建设我国信息技术产品检测认证体系、促进国内产业发展等方面发挥了重要的支撑作用。我国标准研制单位以 GB/T 18336 为依据，结合自身安全需求和行业技术特点，针对不同 IT 产品制定了一系列信息安全测评相关的国家标准和行业标准。

二、IT 产品安全技术要求建立的思路与方法

本文中 IT 产品安全技术要求是指 IT 产品的 PP，即分级安全技术要求，分级是指信息技术产品的评估保障级（EAL）。GB/T 18336 作为一项通用的信息安全评估标准，针对安全评估中的 IT 产品的安全功能及其保障措施提供了一套通用要求，对IT产品安全技术要求的建立有很强的指导作用。

建立 IT 产品安全技术要求时，要从 TOE 需保护的资产及面临的安全问题出发，论述为了抵抗威胁必须达到何种安全目的。为了便于理解，将安全目的进一步细化为一组规范性的安全功能要求，并选取与 EAL 对应的特定安全保障要求集合。具体思路如下：

（一）确定 TOE

描述 TOE 定义、类型、用途、物理范围和逻辑范围等内容。其中，物理范围指构成 TOE 的硬件、固件、软件及指南的所有部分。在描述 TOE 物理范围时，可采用结构图或列表等形式描述 TOE 的所有构成部分，并对图表中的每一项进行详细解释。同时，应界定出物理评估边界，即哪些部分在评估范围之内，哪些部分在评估范围之外。逻辑范围是指 TOE 提供的安全能力。在描述 TOE 的逻辑范围时，应列出 TOE 提供的所有安全特征，并逐项进行详细描述。同时，应界定出逻辑评估边界，即哪些安全特征在评估范围之内，哪些安全特征在评估范围之外。

（二）识别安全问题，明确安全目的

通过确定 TOE 的范围，识别要保护的资产，分析威胁、组织安全策略、假设。

资产是由 TOE 策略保护的信息和资源，可能遭受威胁主体通过某种方法侵害但具有价值的实体，与 TOE 相关的资产可考虑信息资产、过程资产和物理资产三个类别。识别资产的过程可能成为识别保护重要资产所需措施的一部分。

威胁引发了对资产的风险，由威胁主体对资产执行的敌对行为组成。识别威胁主体需要考虑以下因素：通过损害资产可能获利的人；能够损害资产的人，即能够访问处理资产的 IT 系统的人；可能具有技术、机会、可用资源和动机的人或组织，其中可用资源可能是自动攻击或网络嗅探工具等。威胁描述应尽可能独立，仅涉及那些可能直接危害被保护资产的事件，并应唯一标识每个威胁。

组织安全策略（OSP）是指组织为保障其运转而规定的若干安全规则、程序、规范和指南。首先对照已存在的和相关的威胁，审查所有组织安全策略，然后再将策略写入安全技术要求，应唯一标识每个 OSP。

假设说明了对运行环境所做的假设，可以涉及运行环境的物理、人员和连通性方面，但不能对 TOE 的行为做假设，应唯一标识每个假设。

安全目的是以简明抽象的方式对安全问题定义中所定义问题的预期解决方案进行的陈述，分为 TOE 安全目的和环境安全目的。安全目的明确地划分出了在 TOE 安全环境的上下文中由 TOE 实现和不由 TOE 实现的部分。

TOE 安全目的，由 TOE 实现的技术措施来满足，应唯一标识 TOE 安全目的，需要遵循如下原则：一是安全目的应能帮助读者理解由 TOE 处理的安全需求的范围，而不必深入到实现的细节，TOE 安全目的最好独立于实现；二是应确保已定义的安全目的不是对包含在威胁和 OSP 中内容的重述。

环境安全目的，既要由 TOE 环境实现的技术手段来满足，也要由非 IT 手段来满足。TOE 不处理或不能处理的安全需求的环境安全目的必须被标识出来，首先通过依次对每个未被 TOE 完全处理的威胁、OSP 和假设，编辑出一个安全目的的清单，然后作以下两步处理：一是在清单中增加可以覆盖该项目的一个新的安全目的，或者映射一个已有的合适的安全目的到该项目，必要的时候可以修改已有的安全目的；二是当构成安全目的基本原理时，应精练这个清单，需要确保安全目的是作为整体来对抗威胁或满足OSP和假设的。与TOE安全目的相同，环境安全目的也应使用唯一性标识以便于引用。

（三）选取安全要求组件

通常情况下，安全要求选自 GB/T 18336.2 和 GB/T 18336.3 中的组件。但是为了满足安全目的，可能需要一些特殊的安全要求，就需要在本部分自定义新组件，称为扩展组件。基于扩展组件的安全要求，称为扩展安全要求，与安全功能要求和安全保障要求的所有目的相同。

安全要求包括安全功能要求（SFR）和安全保障要求（SAR）两个方面，SFR 对 TOE 预期安全行为进行清晰、无歧义且定义准确的描述，是 TOE 安全目的的转化。通常以一个较详细且抽象的形式表述，但必须是一个完全的转化，并且独立于任何特定的技术解决方案。SAR 对 TOE 获得保障而采取的预期活动进行清晰、无歧义且规范的描述。

SFR 和 SAR 的选择以组件为单位，组件中所有已定义的元素都应包括进来。应根据安全目的选择支持性的 SFR，尤其要考虑 SFR 应该是相互支持、紧密结合且有效的一个整体。需要保护的资产价值越高，面临的风险越大，用于保护资产的安全功能要求的保障级别就越高。任何组织可通过定义其自身的策略和规则来确定保障级别，以确保把其资产面临的风险降到可以接受的水平，然后定义组织中所用到的产品所需的保障级别。如果已有保障包大体可以提供所需的保障级，但缺少针对特定领域的安全目的所需的保障包，那么，就需要包含增强的保障要求以满足安全目的。

选择组件时，需要注意组件之间的依赖关系，以便全面包含必要的 SFR 和 SAR，要注意同一类中不同组件之间可能存在的层次关系，一个组件应当包括在子类内其他组件中规定的全部要求元素。在引用组件时，需要遵循反复、赋值、选择、细化等对组件的操作原则。

（四）保证符合基本原理

保证符合基本原理包含安全目的的基本原理、安全要求基本原理和满足依赖关系的基本原理。

安全目的的基本原理应该通过交叉引用的表格来将威胁、OSP 和假设与安全目的进行映射。每个安全目的至少被映射一项威胁、OSP 或假设，而每一威胁、OSP和假设至少应被一项安全目的所涵盖，在引用表时，提供非形式化的交叉引用信息来表明安全目的是充分满足安全需求的。

安全要求基本原理说明了安全要求的充分必要性基本原理。通过制定一张追溯表表明 SFR 与 TOE 安全目的的对应关系，提供一个证实，该证实分析满足实现 TOE 安全目的的相关 SFR 的有效性，即证明所有 TOE 安全目的都已由 SFR 做了有效对应。对安全目的，要说明这些 IT 安全要求不仅是必需的，而且是充分的。

满足依赖关系的基本原理要求在选取安全要求组件时，必须满足所选组件之间的相互依赖关系，需要通过表格分别列出所选安全功能要求组件和安全保障要求组件的依赖关系。

（五）评估安全技术要求

完成安全技术要求基本制定后，需要对其进行评估，评估完成后才能对外发布。评估严格依据 GB/T 18336.3 定义的 APE 类：PP 评估的要求进行，评估要求证实安全技术要求是技术合理和内部一致的。

三、实践案例

当下，我国已经建成世界上最大的视频监控网络，摄像头的应用已经遍及城市交通、企业、医院、银行、家庭等生产生活的各个场景，在视频监控系统中采集、传输、存储大量包含个人和单位的视频图像以及生物特征信息，甚至承载了许多单位机密的信息。然而，因视频泄漏导致的个人隐私泄漏、商业机密泄漏、不良社会影响等事件层出不穷。为了确保视频监控系统的安全性，防止信息泄露和被攻击，需要采取一系列的安全措施。以下是以 IT 产品“智能摄像头产品”为例，按照 IT 产品安全技术要求的建立思路进行实践。

一是确定 TOE。本技术要求定义的 TOE 是智能摄像头产品。智能摄像头产品通常是指具备互联网功能的一类摄像头产品，它可以实时采集音视频数据，并对这些数据进行处理、压缩编码后通过互联网传输到云端。普通用户可以使用客户端对视频数据进行访问，云端作为管理平台可以直接远程管理摄像头，从而实现设备配网、设备注册、固件更新、日志查看等功能。

智能摄像头产品实现的主要安全特性包含：安全审计、密码支持、安全管理、TSF 保护、数据保护。其中智能摄像头产品提供了审计日志，监测了安全相关事件；密码支持提供了对密码运算的支持；安全管理实现了授权管理员对安全功能、TSF 数据、安全角色的管理；TSF 保护提供了保障 TOE 处于安全状态的能力；数据保护保障了传输中数据的保密性和完整性。

二是识别安全问题，明确安全目的。TOE 需要保护的资产包括 TSF 数据（设备信息、固件包、证书、日志数据等）和用户数据（跟用户有关的数据，如音视频数据）。可能存在的安全威胁包括传输泄露、固件篡改和审计伪造。其中，传输泄露是指攻击者可能会利用设计不佳、标准化欠缺的协议或不安全的密钥管理来执行中间人攻击、重放攻击等。如果攻击一旦成功，将导致关键网络流量的机密性和完整性丧失。固件篡改是指攻击者可能会试图提供被篡改的固件升级包。未经验证的更新、使用非安全或弱加密验证的更新会使TOE容易受到危害。审计伪造是指攻击者通过尝试修改或者删除设备生成的审计记录，成功的伪造将导致设备故障或者攻击没有被排查或者追溯到，从而危害 TOE 的安全。

该安全技术要求未定义组织安全策略，定义的假设为管理平台、可信用户和物理保护。

安全目的分为 TOE 安全目的和环境安全目的，TOE 安全目的包括密码功能、安全管理、通信保护、审计功能、固件完整性和视频保护。环境安全目的包括管理平台、可信用户和物理访问。

三是选取安全要求组件。根据对智能摄像头产品的安全功能的分析研究，为了满足安全目的，共选择安全功能要求组件 14 个，其中大部分来源于 GB/T 18336.2，包括 FAU 类组件 4 个，FCS 类组件 1 个，FDP 类组件 1 个，FMT 类组件 4 个，FPT 类组件 1 个，FTP 类组件 1 个；有两个功能无法基于 GB/T 18336.2 中的组件提出，进行了扩展，一是 FIA 类扩展组件 FIA_API_EXT.1 满足身份认证证明要求，二是 FPT 类扩展组件 FPT_TUD_EXT.1 以满足安全更新要求。

对于智能摄像头产品，开发者或用户需要中等级别的安全性保障，同时要求在不进行大规模重建的情况下，对 TOE 及其开发过程进行彻底调查，并提供可抵御具有增强型基本攻击潜力的攻击者攻击的脆弱性分析等证据。因此，安全保障要求遵从GB/T18336.3 中定义的评估保障级 3 级的安全保障要求，并在此基础上将 AVA_VAN.2 脆弱性分析增强为 AVA_VAN.3 关注点脆弱性分析。

四是保证符合基本原理。基本原理描述了威胁与安全目的对应关系、假设与安全目的对应关系、安全要求与安全目的的对应关系、安全功能要求组件依赖关系、安全保障要求组件依赖关系，使其满足基本原理要求。

五是评估安全技术要求。完成《智能摄像头产品安全技术要求（评估保障级 3 增强级）》后，依据 GB/T 18336.3 定义的 APE 类：PP 评估的要求，从 PP 引言、符合性声明、安全问题定义、安全目的、扩展组件定义、安全要求 6 方面进行评估，证实该实践是技术合理且内部一致的。

四、结 语

在 GB/T 18336 的推广实施过程中，通过大量的 IT 产品检测认证，我们积累了丰富的标准应用实践经验，推动着我国信息技术安全性评估标准的不断更新和相关标准的制定，不断完善信息技术安全性评估标准体系，使其具备强大的生命力，在我国信息系统安全建设中发挥了更重要的作用，有力地维护了我国网络安全。

（本文刊登于《中国信息安全》杂志2023年第11期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

声明：本文来自计算机与网络安全，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

2020年1月1日，《中华人民共和国密码法》（以下简称《密码法》）正式施行，直至2024年1月1日，《密码法》已颁布实施四周年。四年来，从《密码法》对商用密码的法定化管理，到等保2.0对商用密码的升级保护。我国加快构建以《密码法》为核心，以《商用密码管理条例》等行政法规为主干，以《商用密码应用安全性评估管理办法》《信息安全等级保护商用密码管理办法》等规章，形成权责明确、功能互补、协调一致的密码法律法规体系，构筑起维护国家安全的密码防线。

2023年7月1日起实施的《商用密码管理条例》更是扩大密评范围，变“推荐性”为“强制化”，并且明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，多规管理融合大势所趋，一次测评，多规满足，避免了重复测评带来的时间和经济额外成本。

本文梳理了《密码法》施行四年来，我国出台的密码相关政策法规、密码应用及安全性评估标准等近百项文件，为行业同仁提供参考。

国家法律法规及相关政策

● 《中华人民共和国密码法》

【施行时间】2020/1/1

【主要内容】共五章四十四条（第一章总则，第二章核心密码、普通密码，第三章商用密码，第四章法律责任和第五章附则），分别就什么是密码，如何管理密码、如何使用密码、法律责任等方面进行了规定。

● 《中华人民共和国数据安全法》

【施行时间】2021/1/1

【主要内容】针对重要数据在管理形式和保护要求上提出了严格和明确的保护制度。在管理形式上，《数据安全法》采用目录管理的方式；在保护要求上，《数据安全法》在一般保护之外，强化了重要数据、核心数据的保护要求。

● 《商用密码应用安全性评估管理办法》

【发布时间】2023/9/26

【主要内容】为了规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

● 《商用密码检测机构管理办法》

【发布时间】2023/9/26

【主要内容】根据商用密码检测机构管理现实需要，对检测机构资质认定、监督管理等提出明确要求，对于规范检测机构市场准入及从业行为、促进商用密码检测行业健康发展具有重要意义。

● 《关键信息基础设施安全保护条例》

【施行时间】2023/9/1

【主要内容】规定了关键信息基础设施运营者的责任和义务，列出了产品服务安全以及运营安全的具体条例，对从事危害关键信息基础设施的活动和行为提出了相关处罚措施，为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。

● 《商用密码管理条例》

【发布时间】2023/4/27

【主要内容】规范商用密码应用和管理，鼓励和促进商用密码产业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

● 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

【发布时间】2020/7/22

【主要内容】是落实等级保护2.0制度的重要标志，首次系统、明确地对关键性基础设施的保护提出了要求，具有非常强的实际操作性。

● 《国家政务信息化项目建设管理办法》

【发布时间】2020/1/21

【主要内容】“有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。备案文件应用包括……密码应用方案和密码应用安全性评估报告等内容。

金融领域密码应用

● 《证券期货业网络和信息安全管理办法》

【施行时间】2023/5/1

【主要内容】核心机构和经营机构应当按照国家及中国证监会有关要求，开展信息技术应用创新以及商用密码应用相关工作。

● 《金融标准化“十四五”发展规划》

【发布时间】2022/1/23

【主要内容】推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。

● 《监管数据安全管理办法（试行）》

【发布时间】2020/9/23

【主要内容】银保监会建立健全监管数据安全协同管理体系，推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作，加强培训教育，形成共同维护监管数据安全的良好环境。

● 《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》

【发布时间】2020/2/24

【主要内容】银行保险机构要制定内部网络安全管理制度和操作规程，建立监督制约机制，确保制度得到刚性执行。加强数据安全管理，严格控制数据授权范围，实现数据分类、重要数据备份和加密。

基础信息网络密码应用

● 《“十四五”信息通信行业发展规划》

【发布时间】2021/11/1

【主要内容】健全行业网络安全审查体系，推进网络关键设备安全检测认证，建立供应商网络安全成熟度认证等供应链风险管理制度，稳妥有序推进商用密码应用，提升网络基础设施安全保障水平。

● 《物联网新型基础设施建设三年行动计划（2021—2023年）》

【发布时间】2021/9/10

【主要内容】强化安全支撑保障。加快物联网领域商用密码技术和产品的应用推广，建设面向物联网领域的密码应用检测平台，提升物联网领域商用密码安全性和应用水平。

● 《5g应用“扬帆”行动计划（2021-2023年）》

【发布时间】2021/7/5

【主要内容】开展5G应用安全示范推广。在5G应用中推广使用商用密码，做好密码应用安全性评估。

交通运输网络密码应用

● 《公路水路关键信息基础设施安全保护管理办法》

【施行时间】2023/6/1

【主要内容】法律、行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。

● 《加快建设交通强国五年行动计划（2023-2027年）》

【发布时间】2023/3/29

【主要内容】开展网络和数据安全能力提升行动。组织实施网络安全实网攻防演练，加强商用密码应用推广。

● 《道路运输电子证照运行服务规范（试行）》

【发布时间】2022/11/21

【主要内容】省级交通运输主管部门应加强电子证照的数据安全保护，严防非法授权访问、非法数据出库等行为，防止数据泄露，保障数据安全。加强国产密码应用和安全性评估。

● 《车联网网络安全和数据安全标准体系建设指南》

【发布时间】2022/2/25

【主要内容】总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

● 《交通领域科技创新中长期发展规划纲要（2021—2035年）》

【发布时间】2022/1/24

【主要内容】围绕全面提升智慧交通发展水平，加快移动互联网、人工智能、区块链、云计算、大数据等新一代信息技术及空天信息技术与交通运输融合创新应用，推动交通运输领域商用密码创新应用，加快发展交通运输新型基础设施。

● 《工业和信息化部关于大众消费领域北斗推广应用的若干意见》

【发布时间】2022/1/17

【主要内容】加快推进高精度、低功耗、低成本、小型化的北斗芯片及关键元器件研发和产业化，形成北斗与5G、物联网、车联网等新一代信息技术融合的系统解决方案。鼓励应用商用密码，保障产品安全。

● 《“十四五”邮政业发展规划》

【发布时间】2021/12/28

【主要内容】在网络建设和运营过程中，同步规划、建设、使用有关安全保护措施，严格落实国家关于等保、关保、密评等有关要求。

● 《数字交通“十四五”发展规划》

【发布时间】2021/12/22

【主要内容】健全国家综合交通运输信息平台基础支撑和网络安全防护体系，加强关键信息基础设施保护和商用密码技术应用。

● 《交通运输领域新型基础设施建设行动方案（2021—2025年）》

【发布时间】2021/8/31

【主要内容】建立健全数据安全保护制度，加强基础设施数据全生命周期管理和分级分类保护，落实数据容灾备份措施。推进商用密码技术应用。

● 《城市轨道交通自动售检票系统运营技术规范（试行）》

【发布时间】2021/5/27

【主要内容】 轨道交通专用票、二维码车票、一卡通卡等密钥的使用和管理符合国家网络安全及商用密码管理的相关法律法规和标准要求。

● 《交通运输部关于推动交通运输领域新型基础设施建设的指导意见》

【发布时间】2020/8/3

【主要内容】切实推进商用密码等技术应用，积极推广可信计算，提高系统主动免疫能力。

● 《交通运输部办公厅关于充分发挥全国道路货运车辆公共监管与服务平台作用支撑行业高质量发展的意见》

【发布时间】2020/4/26

【主要内容】做好网络运行安全和网络信息安全工作，完善安全等保三级系统的网络安全保护体系，建立健全网络安全防范、监测、通报、响应和处置机制。

能源领域密码应用

● 《2023年电力安全监管重点任务》

【发布时间】2023/1/17

【主要内容】修订行业网络安全事件应急预案，建立完善网络安全监督管理技术支撑体系， 推动量子计算、北斗、商用密码等在电力行业的应用。

● 《电力行业网络安全管理办法》

【发布时间】2022/11/16

【主要内容】电力企业应当按照国家有关规定开展商用密码应用安全性评估等工作，未达到要求的应当及时进行整改。

● 《电力行业网络安全等级保护管理办法》

【发布时间】2022/11/16

【主要内容】单独设置“网络安全等级保护的密码管理”章节，要求电力企业应当按照有关法律法规要求，开展商用密码应用安全性评估工作。

● 《“十四五”推动石化化工行业高质量发展的指导意见》

【发布时间】2022/3/28

【主要内容】实施石化行业工业互联网企业网络安全分类分级管理，推动商用密码应用，提升安全防护水平。

先进制造业密码应用

● 《关于促进钢铁工业高质量发展的指导意见》

【发布时间】2022/1/20

【主要内容】 落实网络安全主体责任，大力提高商用密码应用安全，提升工业控制系统安全防护水平，制定应急响应预案，积极应对新兴技术融合带来的安全挑战。

●《“十四五”原材料工业发展规划》

【发布时间】2021/12/21

【主要内容】深化实施原材料生产企业工业互联网网络安全分类分级管理，推动商用密码技术应用，提升重点行业企业工业互联网安全防护能力。

●《“十四五”智能制造发展规划》

【发布时间】2021/12/21

【主要内容】加强安全保障。加强智能制造安全风险研判，同步推进网 络安全、数据安全和功能安全，推动密码技术深入应用。

●《新能源汽车产业发展规划（2021—2035年）》

【发布时间】2020/10/20

【主要内容】打造网络安全保障体系。健全新能源汽车网络安全管理制度，构建统一的汽车身份认证和安全信任体系，推动密码技术深入应用。

●《建材工业智能制造数字转型行动计划（2021-2023年）》

【发布时间】2020/9/16

【主要内容】构建工业互联网密码支撑体系，加快商用密码在建材行业深度应用。

现代服务业及新兴产业密码应用

● 《“十四五”电子商务发展规划》

【发布时间】2021/10/9

【主要内容】探索建立电子商务平台网络安全防护和金融风险预警机制，支持电子商务相关企业研究多属性的安全认证技术，充分发挥密码在保障网络信息安全方面的作用。

●《知识产权公共服务“十四五”规划》

【发布时间】2021/12/31

【主要内容】加强对云计算、大数据、区块链、人工智能等新技术新应用的安全防护，确保其技术、产品、服务和供应链安全。积极推进国产密码技术和产品应用，提升使用密码技术保障网络与数据安全的水平。

●《关于推动物业服务企业加快发展线上线下生活服务的意见》

【发布时间】2020/12/4

【主要内容】严格落实网络和数据安全法律法规和政策标准，建立健全安全管理制度，采用国产密码技术，增强安全可控技术和产品应用，加强日常监测和安全演练，确保智慧物业管理服务平台网络和数据安全。

电子政务密码应用

● 《国务院关于加强数字政府建设的指导意见》

【发布时间】2022/6/6

【主要内容】加强关键信息基础设施安全保护和网络安全等级保护，建立健全网络安全、保密监测预警和密码应用安全性评估的机制，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基础设施保护水平。

●《加快推进电子证照扩大应用领域和全国互通互认》

【发布时间】2022/1/20

【主要内容】 加强电子证照签发、归集、存储、使用等各环节安全管理，严格落实网络安全等级保护制度等要求，强化密码应用安全性评估。

●《全国一体化政务服务平台移动端建设指南》

【发布时间】2021/9/29

【主要内容】各地区和国务院有关部门要综合利用密码技术、安全审计等手段强化本地区本部门政务服务平台移动端安全保障和风险防控能力。

医疗保障密码应用

●《关于印发“十四五”全民健康信息化规划的通知》

【发布时间】2022/11/7

【主要内容】构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范，全面推广商用密码应用，完善卫生健康行业商用密码应用体系。

●《关于印发医疗卫生机构网络安全管理办法的通知》

【发布时间】2022/8/8

【主要内容】在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用符合相关要求的密码产品和服务。

●《药品监管网络安全与信息化建设“十四五”规划》

【发布时间】2022/4/24

【主要内容】完善网络安全保障体系，健全网络安全管理制度，开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。

教育行业密码应用

●《推进教育新型基础设施建设构建高质量教育支撑体系》

【发布时间】2021/7/1

【主要内容】利用国产商用密码技术推动数据传输和存储加密，提升数据保障能力。

●《教育部关于加强新时代教育管理信息化工作的通知》

【发布时间】2021/3/10

【主要内容】数字认证使用的密码技术和产品应符合国家密码管理部门要求。

工业互联网密码应用

●《工业和信息化领域数据安全管理办法（试行）》

【发布时间】2022/12/8

【主要内容】工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的，应当采用校验技术、密码技术等措施进行安全存储，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。

●《“十四五”大数据产业发展规划》

【发布时间】2021/11/15

【主要内容】推动数据安全产业发展。支持重点行业开展数据安全技术手段建设，提升数据安全防护水平和应急处置能力。加强数据安全产品研发应用，推动大数据技术在数字基础设施安全防护中的应用。

●《加快推动区块链技术应用和产业发展的指导意见》

【发布时间】2021/5/27

【主要内容】构建底层平台。在分布式计算与存储、密码算法、共识机制、智能合约等重点领域加强技术攻关，构建区块链底层平台。

密码国家标准规范

密码规范指导性文件

● 《商用密码应用安全性评估FAQ（第三版）》

【发布时间】2023/10

【主要内容】该文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答，以帮助相关人员更好开展商用密码应用与安全性评估工作。

● 《商用密码应用安全性评估发展研究报告（2023年）》

【发布时间】2023/8

【主要内容】本报告总结了密评相关政策法规要求及密评体系建设进展，分析了密评 行业发展情况，并对密评工作未来发展提出了建议，为密评相关工作者提供参考。

● 《商用密码应用安全性评估量化评估规则》

【发布时间】2023/7/17

【主要内容】本文件适用于规范信息系统密码应用安全性评估，以及指导相关信息系统的规划、建设 等工作。

● 《商用密码应用安全性评估报告模板（2023版）》

【发布时间】2023/1

● 《信息系统密码应用高风险判定指引》

【发布时间】2021/12

【主要内容】本文件给出了信息系统密码应用过程中可能存在的高风险安全问题。本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

● 《政务信息系统密码应用与安全性评估工作指南》

【发布时间】2020/9

【主要内容】依据《中华人民共和国密码法》及商用密码管理规定，用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。

声明：本文来自道普信息，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。