2021年网络与数据安全法规、政策、国标、报告大合集
2022-4-25 14:30:29 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

2021年是“十四五”开局之年,也是我国网络与数据安全产业具有里程碑意义的一年。期间,我国密集发布网络安全、数据安全行业应用方面的国家法律法规、行业规章、地方政策、技术标准、产业报告等,为安全领域的技术发展和应用创新提供有力支持,为产业高质量发展提供了良好环境,为筑牢数据安全防线、构建网络强国提供了根本遵循。

本文就我国2021年安全相关政策法规和产业报告进行全面整理,供产业人士参考。

一、国家政策法规

1. 法律:《中华人民共和国数据安全法》

【施行日期:2021年9月1日】

2021年6月10日,第十三届全国人大常委会第二十九次会议表决通过《数据安全法》。作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家zhu权、安全和发展利益。

2. 法律:《中华人民共和国个人信息保护法》

【施行日期:2021年11月1日】

2021年8月20日,第十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,该法涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。

3.《互联网信息服务管理办法(修订草案征求意见稿)》

【发布日期:2021年1月8日】

《管理办法》由国家互联网信息办公室发布,旨在促进互联网信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。办法指出,互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄露、毁损、丢失。

4.《建设高标准市场体系行动方案》

【发布日期:2021年1月31日】

《行动方案》由中共中央办公厅、国务院办公厅印发,提出加快培育发展数据要素市场。制定出台新一批数据共享责任清单,加强地区间、部门间数据共享交换。研究制定加快培育数据要素市场的意见,建立数据资源产权、交易流通、跨境传输和安全等基础制度和标准规范,推动数据资源开发利用。

5.《互联网用户公众账号信息服务管理规定》

【施行日期:2021年2月22日】

《管理规定》由国家互联网信息办公室发布,共23条,包括公众账号信息服务平台信息内容和公众账号管理主体责任、公众账号生产运营者信息内容生产和公众账号运营管理主体责任、zhenshi身份信息认证、分级分类管理、行业自律、社会监督及行政管理等条款。规定要求,公众账号信息服务平台要履行企业主体责任,建立公众账号分级分类管理、生态治理、著作权保护、信用评价等制度,切实维护平台内容安全、账号安全、数据安全和个人信息安全。

6.《2021年政府工作报告》

【汇报日期:2021年3月5日】

2021政府工作报告提出,加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型,加快数字社会建设步伐,提高数字政府建设水平,营造良好数字生态,建设数字中国。同时,强调加强网络安全、数据安全和个人信息保护。

7.《全国人民代表大会常务委员会工作报告》

【汇报日期:2021年3月8日】

全国人大常委会委员长栗战书向十三届全国人大四次会议作《全国人民代表大会常务委员会工作报告》。报告指出,加快重点领域维护国家安全的立法,制定生物安全法、出口管制法,修改档案法,审议海上交通安全法修订草案、数据安全法草案、个人信息保护法草案。

8.《最高人民法院工作报告》

【汇报日期:2021年3月8日】

最高人民法院院长周强向十三届全国人大四次会议作《最高人民法院工作报告》。在2020年工作回顾中指出,审理手机软件侵害用户个人信息、人脸识别纠纷等案件,加强个人信息保护,维护数据安全。在2021年工作安排中指出,全面加强知识产权司法保护,加强知识产权法院建设,加大对“卡脖子”关键核心技术及新兴产业、重点领域、种源等保护力度,服务科技自立自强,服务科技强国建设。

9.《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》

【发布日期:2021年3月12日】

“十四五”规划提出,加快数字化发展,培育壮大网络安全等新兴数字产业;提高数字政府建设水平,建立健全数据要素市场规则,加强网络安全保护,推动构建网络空间命运共同体;统筹发展和安全,加强国家安全体系和能力建设。

10.《反间谍安全防范工作规定》

【施行日期:2021年4月26日】

《工作规定》由国家安全部审议通过,指出采取反间谍技术安全防范措施,防范、制止境外网络攻击、网络入侵、网络窃密等间谍行为,保障网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全。

11.《常见类型移动互联网应用程序必要个人信息范围规定》

【施行日期:2021年5月1日】

《规定》由国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部门联合印发,于2021年3月12日正式发布。规定明确了39种常见类型App的必要个人信息范围,其中13类App无须个人信息,即可使用基本功能服务。

12.《全国人大常委会2021年度工作要点》

【发布日期:2021年5月14日】

《工作要点》要求,健全现代化经济体系法律制度,制定数据安全法;加强民生保障、社会治理领域立法,制定个人信息保护法。健全国家安全法治体系。加强涉外法治体系建设,加大国际法研究力度,围绕反制裁、反干涉、反制“长臂管辖”等,充实应对挑战、防范风险的法律工具箱,推动形成系统完备的涉外法律法规体系。

13.《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》

【发布日期:2021年7月12日】

《行动计划》由工信部发布,提出到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。网络安全产业规模超过2500亿元,年复合增长率超过15%。

14.《互联网信息服务算法推荐管理规定(征求意见稿)》

【发布日期:2021年8月27日】

《管理规定》由国家互联网信息办公室发布,明确要求算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等管理制度,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

15.《网络产品安全漏洞管理规定》

【施行日期:2021年9月1日】

2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部印发《网络产品安全漏洞管理规定》。规定提出,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

16.《关键信息基础设施安全保护条例》

【施行日期:2021年9月1日】

2021年7月30日,国务院发布《关键信息基础设施安全保护条例》。条例涵盖总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等诸多方面,旨在保障关键信息基础设施安全,维护网络安全。条例提出,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。

17.《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》

【发布日期:2021年9月13日】

《管理办法》由工信部发布,要求漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。漏洞收集平台应在上线前完成备案,已上线运行的漏洞收集平台应在本办法施行之日起10个工作日内进行备案。

18.《关于加强网络文明建设的意见》

【发布日期:2021年9月14日】

《意见》由中共中央办公厅、国务院办公厅印发,内容包括总体要求、加强网络空间思想引领、加强网络空间文化培育、加强网络空间道德建设、加强网络空间行为规范、加强网络空间生态治理、加强网络空间文明创建、组织实施八个部分。意见指出,加强个人信息保护法、数据安全法贯彻实施,加快制定修订并实施文化产业促进法、广播电视法、网络犯罪防治法、未成年人网络保护条例、互联网信息服务管理办法等法律法规。

19.《“十四五”新型基础设施建设规划》

【审议日期:2021年9月22日】

国务院总理李克强主持召开国务院常务会议,审议通过“十四五”新型基础设施建设规划。会议指出,“十四五”时期科学布局和推进建设以信息网络为基础、技术创新为驱动的新型基础设施,有利于促进稳增长、调结构、惠民生。具体提出五项内容,分别是:1)加强信息基础设施建设;2)稳步发展融合基础设施;3)推动大学、科研院所和高新技术企业等深度融合,增强高水平交叉前沿性研究能力;4)鼓励多元投入、推进开放合作;5)建立完善安全监管体系,增强安全保障能力。

20.《国家标准化发展纲要》

【发布日期:2021年10月10日】

中共中央、国务院印发《国家标准化发展纲要》,旨在统筹推进标准化发展。纲要提出,强化信用信息采集与使用、数据安全和个人信息保护、网络安全保障体系和能力建设等领域标准的制定实施。

21.《互联网用户账号名称信息管理规定(征求意见稿)》

【发布日期:2021年10月26日】

《管理规定》由国家互联网信息办公室发布,规定互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。

22.《数据出境安全评估办法(征求意见稿)》

【发布日期:2021年10月29日】

《评估办法》由国家互联网信息办公室发布,旨在规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。办法明确,关键信息基础设施的运营者收集和产生的个人信息和重要数据;出境数据中包含重要数据;处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形等,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

23.《提升全民数字素养与技能行动纲要》

【发布日期:2021年11月5日】

《行动纲要》由中央网络安全和信息化委员会印发,围绕丰富优质数字资源供给、提升高品质数字生活水平、提升高效率数字工作能力、构建终身数字学习体系、激发数字创新活力、提高数字安全保护能力、强化数字社会法治道德规范等七个方面对提升全民数字素养与技能作出安排部署。其中,提高数字安全保护能力要求提高全民网络安全防护能力、强化个人信息和隐私保护。加大个人信息和隐私保护相关法律法规的普及宣传力度,提高全民个人信息和隐私保护意识。

24.《网络数据安全管理条例(征求意见稿)》

【发布日期:2021年11月14日】

《管理条例》由国家互联网信息办公室发布,旨在贯彻落实总体国家安全观、法治思想、网络强国战略思想和以人民为中心思想,根据《网络安全法》《数据安全法》《个人信息保护法》等法律,落实数据分级分类保护制度,对一般数据、个人信息、重要数据等如何保护给出了具体要求,对网络数据安全建设有着重要指导意义。

25.《国家安全战略(2021-2025年)》

【发布日期:2021年11月18日】

中共中央政治局11月18日召开会议,审议《国家安全战略(2021-2025年)》。会议指出,新形势下维护国家安全,必须牢固树立总体国家安全观,加快构建新安全格局。会议强调,必须坚持把政治安全放在首要位置,统筹做好政治安全、经济安全、社会安全、科技安全、新型领域安全等重点领域、重点地区、重点方向国家安全工作。加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力。

26.《“十四五”推动高质量发展的国家标准体系建设规划》

【发布日期:2021年12月14日】

《建设规划》由国家标准化管理委员会、中央网信办、科技部、商务部等十部门联合印发,提出推动关键信息基础设施安全保护、数据安全、个人信息保护、数据出境安全管理、网络安全审查、网络空间可信身份、网络产品和服务、供应链安全、5G安全、智慧城市安全、物联网安全、工业互联网安全、车联网安全、人工智能安全等重点领域国家标准研制,完善网络安全标准体系,支撑网络强国建设。

27.《“十四五”国家信息化规划》

【发布日期:2021年12月27日】

中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,对我国“十四五”时期信息化发展作出部署安排。规划是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。规划指出,强化数据安全保障。加强数据收集、汇聚、存储、流通、应用等全生命周期的安全管理,建立健全相关技术保障措施。建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处置,加强对重要数据、企业商业秘密和个人信息的保护,规范对未成年人个人信息的使用。

28.《网络安全审查办法》

【施行日期:2022年2月15日】

2021年12月28日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布新版《网络安全审查办法》,自2022年2月15日起施行。新版《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。

二、重点行业政策

政务

1.《人民检察院ban理网络犯罪案件规定》

【发布时间:2021年1月22日】

最高人民检察院发布《人民检察院ban理网络犯罪案件规定》,明确按照刑事诉讼流程规范网络犯罪案件ban理,突出电子数据的收集、提取、审查的规范要求,注重办案与技术融合,突出统筹协作办案,充分发挥检察职能,全面提升检察机关ban理网络犯罪案件的专业化水平,推进网络空间治理。

2.《涉密信息系统集成资质管理办法》

【施行时间:2021年3月1日】

《涉密信息系统集成资质管理办法》经国家保密局2020年11月13日局务会议通过并予以公布。《办法》将涉密集成资质分为甲级和乙级两个等级,甲级资质单位可以从事绝密级、机密级和秘密级涉密集成业务;乙级资质单位可以从事机密级、秘密级涉密集成业务。明确了涉密集成资质的申请、受理、审查、决定、使用和监督管理规定。

3.《全国一体化大数据中心协同创新体系算力枢纽实施方案》

【发布日期:2021年5月24日】

国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发了《全国一体化大数据中心协同创新体系算力枢纽实施方案》(发改高技〔2021〕709号),明确提出布局全国算力网络国家枢纽节点,启动实施“东数西算”工程,构建国家算力网络体系。在“国家枢纽节点重点任务”章节提出,确保网络数据安全。完善海量数据汇聚融合的风险识别与防护技术、数据脱敏技术、数据安全合规性评估认证、数据加密保护机制及相关技术监测手段,同步规划、同步建设、同步使用安全技术措施,保障业务稳定和数据安全。加快推进全国互联网数据中心、云平台等数据安全技术监测手段建设,提升敏感数据泄露监测、数据异常流动分析等技术保障能力。

4.《全国一体化政务服务平台移动端建设指南》

【发布日期:2021年11月12日】

《全国一体化政务服务平台移动端建设指南》由国务院办公厅印发,要求坚持安全可控工作原则。全面落实总体国家安全观,树牢网络安全底线思维,统筹发展和安全,增强移动政务服务一体化安全防护能力,加强对重要政务数据、敏感个人信息等的保护,确保政务网络和数据信息安全。

金融

1.《保险中介机构信息化工作监管办法》

【发布日期:2021年1月5日】

中国银保监会印发《保险中介机构信息化工作监管办法》,对保险专业中介机构和保险兼业代理机构信息化工作提出全面要求。《办法》提出了信息系统建设要求,明确了保险中介机构信息系统的基本功能、建设方式、外包管理、权限管理、数据录入、系统变更等要求。规定保险中介机构应合理确定信息系统的安全等级,并按照国家网络安全等级保护相关标准进行防护,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施。

2.《征信业务管理办法(征求意见稿)》

【发布日期:2021年1月11日】

中国人民银行发布的《征信业务管理办法(征求意见稿)》指出,个人征信机构、保存或处理50万户以上企业信用信息的企业征信机构,应当符合以下要求:1)系统测评为国家信用信息安全等级保护三级或三级以上;2)设立信息安全负责人,由公司章程规定的高级管理人员担任;3)设立专职部门,负责管理信息安全工作,定期检查有关业务及征信系统的安全管理制度及措施执行情况。

3.《中国银保监会监管数据安全管理办法(试行)》

【发布日期:2021年1月15日】

银保监会官网发布《中国银保监会监管数据安全管理办法(试行)》,旨在建立健全监管数据安全协同管理体系。在数据采集和使用方面,《办法》明确监管数据的采集应按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集。监管数据仅限于银保监会履行监管工作职责使用,监管数据的使用行为应通过管理和技术手段确保可追溯。

4.《网络交易监督管理办法》

【发布日期:2021年3月15日】

《网络交易监督管理办法》由市场监管总局制定出台,是贯彻落实《电子商务法》的重要部门规章。针对个人信息保护问题,《办法》规定了网络交易经营者应当明示收集、使用消费者个人信息的目的、方式和范围,并经消费者同意;不得强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息;在收集、使用个人敏感信息前,必须逐项取得消费者同意;未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。

5.《关于规范金融业开源技术应用与发展的意见》

【发布日期:2021年10月20日】

人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》。《意见》要求,金融机构在使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则。鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等。

教育

1.《高等学校数字校园建设规范(试行)》

【发布日期:2021年3月12日】

教育部发布《高等学校数字校园建设规范(试行)》(教科信函〔2021〕14号)。《规范》对高等学校数字校园建设各方面内容提出通用要求,并明确高等学校网络安全工作应遵守《中华人民共和国网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的相关要求。

2.《教育部关于加强新时代教育管理信息化工作的通知》

【发布日期:2021年3月25日】

《教育部关于加强新时代教育管理信息化工作的通知》在“提高基础设施支撑能力”方面,明确要提升安全保障能力。全面落实《中华人民共和国网络安全法》等法律法规和政策要求,建立健全网络安全责任体系,明晰各方职责。落实网络安全等级保护制度,重点保障关键信息基础设施。开展网络安全监测预警通报,提升网络安全态势感知能力。建立供应链安全管理体系,定期组织审计,优先选用具有自主核心技术以及安全性达到要求的国产化产品。全面加强数据安全保障,建立覆盖全生命周期的数据安全保障机制,重点保护广大师生和家长,特别是未成年人的个人隐私信息。

3.《关于提高高等学校网络管理和服务质量的通知》

【发布日期:2021年11月16日】

教育部办公厅、工信部办公厅发布《关于提高高等学校网络管理和服务质量的通知》。《通知》要求,高等学校应严格按照《网络安全法》《数据安全法》《个人信息保护法》等法律法规和政策文件要求,落实各项安全防护要求;严格落实互联网访问实名认证制度,规范外来访客网络访问管理,实行上网地址统一管理和网络准入统一认证制度,按规定做好上网访问日志记录和存储;建立网络流量监测机制,及时识别网络攻击行为、屏蔽不良网络信息,提升校园局域网安全态势感知能力;健全应急管理机制,建立网络安全事件协同处置机制,确保各类网络故障和安全事件得到快速响应、有效处置。

医疗

1.《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》

【发布日期:2021年4月6日】

国家医疗保障局印发《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》(医保发〔2021〕23号)。《意见》指出到2022年,我国基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。

2.《互联网诊疗监管细则(征求意见稿)》

【发布日期:2021年10月26日】

《互联网诊疗监管细则(征求意见稿)》由国家卫生健康委发布。《细则》规定,医疗机构应当建立网络安全、个人信息保护、数据使用管理等制度,并与相关合作方签订协议,明确各方权责关系。医疗机构应当加强互联网发布信息的内容管理,确保信息合法合规、真实有效。省级监管平台和医疗机构用于互联网诊疗平台应当实施第三级及以上信息安全等级保护。

交通

1.《国家综合立体交通网规划纲要》

【发布日期:2021年2月24日】

中共中央、国务院印发的《国家综合立体交通网规划纲要》要求,健全关键信息基础设施安全保护体系,提升车联网、船联网等重要融合基础设施安全保障能力,加强交通信息系统安全防护,加强关键技术创新力度,提升自主可控能力。

2《交通运输政务数据共享管理办法》

【发布日期:2021年4月16日】

《交通运输政务数据共享管理办法》由交通运输部发布,旨在进一步落实党中央、国务院关于政务数据共享工作要求,更加有效规范交通运输政务数据共享工作。《办法》共六章26条,其中要求政务部门应建立健全政务数据安全保障机制,落实安全管理责任和数据分类分级要求,切实保障政务数据采集、存储、传输、共享和使用安全。

3.《民用航空安全信息保护管理办法》

【施行日期:2021年10月1日】

2021年8月23日,民航局印发《民用航空安全信息保护管理办法》的通知。本办法适用于中国民用航空局、中国民用航空地区管理局、在中华人民共和国境内注册的民用航空企事业单位及其从业人员的民用航空安全信息保护管理。《办法》第六条指出,安全信息根据信息重要程度分为涉密级安全信息、敏感级安全信息和一般级安全信息。

电信

1.《“双千兆”网络协同发展行动计划(2021-2023年)》

【发布日期:2021年3月24日】

工业和信息化部印发《“双千兆”网络协同发展行动计划(2021-2023年)》(工信部通信〔2021〕34号。《计划》提出用三年时间,基本建成全面覆盖城市地区和有条件乡镇的“双千兆”网络基础设施,实现固定和移动网络普遍具备“千兆到户”能力。在提升网络安全防护能力方面提出,推动网络安全能力与“双千兆”网络设施同规划、同建设、 同运行,提升网络安全、数据安全保障能力。督促相关企业落实网络安全主体责任,建立健全 安全管理制度、工作机制,开展网络安全风险评估和隐患排查,及时防范网络、设备、物理环 境、管理等多方面安全风险,不断提升网络安全防护能力。

2《反电信网络诈骗法(草案)》

【发布日期:2021年10月23日】

中国人大网公布《反电信网络诈骗法(草案)》,共7章39条,主要涵盖6方面内容。其中,第二十七条第一款指出,国家支持电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者研究开发有关电信网络诈骗反制技术措施,用于监测、识别和处置涉诈信息、活动。

3.《工业和信息化部关于开展信息通信服务感知提升行动的通知》

【发布日期:2021年11月1日】

为推动信息通信行业进一步改善服务质量,提升服务水平,工业和信息化部决定自即日起到2022年3月底,开展信息通信服务感知提升行动(“524”行动)。《通知》包含三个方面共十项重点任务,提出了推动实现服务举措“五优化”,建立个人信息保护“双清单”,实现服务能力“四提升”要求。其中,个人信息保护“双清单”指建立已收集个人信息清单和建立与第三方共享个人信息清单。

能源

1.《2021年电力安全监管重点任务》

【发布日期:2021年1月30日】

国家能源局综合司印发了《2021年电力安全监管重点任务》,提出加强电网及网络安全监管。强化并网电厂涉网安全监管和电力重大设备安全监管,开展重要输电通道风险隐患排查,建立联防联控机制,实施风险管控和挂牌督办。加强对煤矿、机场等重要用户的用电安全监管。推进电力行业网络安全仿真验证环境(靶场)建设,组织开展电力行业网络安全攻防实战演练。推进隔离装置整改。推动北斗在电力行业的应用,加强网络安全技术交流力度。

2.《核动力厂网络安全技术政策(试行)》

【施行日期:2021年4月1日】

为提高核电厂网络安全监管的有效性,国家核安全局和国家原子能机构联合编制了《核动力厂网络安全技术政策(试行)》,用于指导核电厂营运单位通过建立、实施和维护网络安全大纲,对核电厂网络安全风险进行监测和管理,以保证核电厂安全水平得以维持或得到提升。其他核设施营运单位可参照执行。

3.《能源领域5G应用实施方案》

【发布日期:2021年6月11日】

国家发展改革委、国家能源局、中央网信办、工信部联合发布《能源领域5G应用实施方案》。在安全保障能力建设方面,《实施方案》要求构建5G应用安全保障体系。依托先进密码、身份认证、加密通信等技术,研究适用于能源领域5G应用场景下的用户、数据、设备与网络之间信息传递、保存、分发的信息通信安全防护体系,确保5G融合应用相关网络基础设施和核心系统安全。健全能源领域5G应用安全技术标准。落实5G网络安全指南性文件,统筹安全与发展,将5G网络安全保障纳入能源领域5G应用的全流程全环节。

工业

1.《工业互联网创新发展行动计划(2021-2023年)》

【发布日期:2021年1月13日】

工业和信息化部印发《工业互联网创新发展行动计划(2021-2023年)》,旨在支持工业互联网实现新技术融合以及产业生态推进等。《计划》要求实施安全保障强化行动,推进工业互联网安全综合保障能力提升工程,完善网络安全分类分级管理制度。加强技术创新突破,实施保障能力提升计划,推动中小企业“安全上云”,强化公共服务供给,培育网络安全产业生态。

2.《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》

【发布日期:2021年1月13日】

工业和信息化部办公厅发布《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》。《通知》指出,开展工业互联网企业网络安全分类分级管理试点工作,旨在进一步完善工业互联网企业网络安全分类分级规则标准、定级流程以及工业互联网安全系列防护规范的科学性、有效性和可操作性,加快构建工业互联网企业网络安全分类分级管理制度;进一步落实试点企业网络安全主体责任,形成可复制可推广的工业互联网网络安全分类分级管理模式;总结一批工业互联网网络安全典型解决方案,选拔一批优秀示范企业、培育一批专业服务机构。

3.《国家车联网产业标准体系建设指南(智能交通相关)》

【发布日期:2021年3月1日】

工信部、交通运输部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南(智能交通相关)》。《指南》指出,建设网络安全标准主要包括证书密钥管理、网络安全防护2大类技术标准。证书密钥管理类标准主要包括车路信息交互所使用的交通行业证书、密钥等相关标准;网络安全防护类标准主要包括路侧设施、计算控制中心等进行信息交互过程中的网络安全防护方法等相关标准。

4.《智能网联汽车生产企业及产品准入管理指南(试行)(征求意见稿)》

【发布日期:2021年4月7日】

工信部发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)规定,智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。

5.《工业互联网标识管理办法》

【施行日期:2021年6月1日】

工信部于2021年1月19日发布《工业互联网标识管理办法》(工信部信管〔2020〕204号)。《办法》要求标识服务机构应当落实网络与信息安全保障措施,具备相应的技术、服务和网络安全保障能力和专业人员,并明确专门的责任部门与责任人。还应当建立网络安全防护技术手段,依法记录并留存相关日志记录,保障标识服务系统安全。

6.《关于加强车联网网络安全和数据安全工作的通知》

【发布日期:2021年9月15日】

工信部发布《关于加强车联网网络安全和数据安全工作的通知》。在数据安全方面要求,加强数据分类分级管理、提升数据安全技术保障能力、规范数据开发利用和共享使用、强化数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在境内收集和产生的重要数据的,应当依法依规进行数据出境安全评估并向所在省(区、市)通信管理局、工业和信息化主管部门报备。各省(区、市)通信管理局会同工业和信息化主管部门做好数据出境备案、安全评估等工作。

7.《汽车数据安全管理若干规定(试行)》

【施行日期:2021年10月1日】

2021年8月20日,国家互联网信息办公室、国家发展和改革委员会、工信部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》。《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。

8.《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》

【发布日期:2021年12月22日】

工业和信息化部发布的《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》指出,风险信息报送,是指有关单位向工业和信息化部、地方工业和信息化主管部门、地方通信管理局报送数据安全风险信息的行为;风险信息共享,是指经工业和信息化部、地方工业和信息化主管部门、地方通信管理局审核、授权后,向有关部门、单位告知风险提示的行为;风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”的原则,不得迟报、瞒报、谎报。

三、地方政策规章

1. 北京市

《2021年北京市教育信息化和网络安全工作要点》

【发布日期:2021年5月8日】

《工作要点》由北京市教育委员会印发,指出提升网络安全治理能力。健全教育信息系统资产台账,全面开展网站、信息系统清理,整治“双非”“僵尸”网站,落实等级保护测评要求,实现信息系统等保定级备案全覆盖;加强安全漏洞监测预警和整改落实,建立多维度、常态化网络安全监测预警通报和整改监督制度,促进网络安全由被动防御向主动治理转变。

2. 上海市

《上海市公安局关于网络安全管理行政处罚的裁量基准》

【施行日期:2021年3月8日】

2021年3月1日,上海市公安局发布《上海市公安局关于网络安全管理行政处罚的裁量基准》。基准指出:网络运营者应遵守《网络安全法》第42条之规定“采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”初次违反规定,且情节较轻的,责令改正,单处或者并处警告、没收违法所得、处违法所得一倍以上四倍以下罚款,没有违法所得的,处三十万元以下罚款。对直接负责的主管人员和其他直接责任人员处一万元以上四万元以下罚款。

《上海市数据条例》

【施行日期:2022年1月1日】

2021年11月29日,上海市人民政府发布《上海市数据条例》。条例指出,开展数据处理活动,应采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;按照国家要求,建立健全数据分类分级保护制度,推动本地区数据安全治理工作。支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

3. 深圳市

《深圳经济特区数据条例》

【施行日期:2022年1月1日】

2021年7月6日,深圳市人民政府公布《深圳经济特区数据条例》。条例指出,数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全;应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储;针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。

4. 浙江省

《浙江省数字经济促进条例》

【施行日期:2021年3月1日】

2020年12月24日,浙江省公布《浙江省数字经济促进条例》。条例指出:发展数字经济是本省经济社会发展的重要战略,应当遵循优先发展、应用先导、数据驱动、创新引领、人才支撑、包容审慎以及保障数据安全、保护个人信息的原则。县级以上人民政府及其有关部门应当坚持保障安全与发展数字经济并重的原则,建立健全网络安全、数据安全保障体系,完善协调机制以及安全预警、安全处置机制。互联网平台经营者应当依法依约履行产品和服务质量保障、消费者权益保护、生态环境保护、知识产权保护、网络安全与个人信息保护、劳动者权益保护等方面的义务。

《浙江省信息通信业发展“十四五”规划》

【发布日期:2021年7月27日】

浙江省发展和改革委员会、浙江省通信管理局联合印发《浙江省信息通信业发展“十四五”规划》。规划指出:”十四五“期间,网络安全综合保障能力得到新提升。网络安全体系逐步完善,新型数字基础设施融合安全保障能力显著增强,网络数据安全治理能力全面增强。突发安全事件应急处置和重大活动网络安全、通信保障水平显著提高。全面提升网络安全技术保障能力,推进技术平台优化整合,加快形成覆盖重要网络节点和关键业务系统的网络安全防御能力,防范遏制重特大网络安全事件。强化网络数据安全。

5. 广东省

《广东省人民政府办公厅关于印发广东省数字政府改革建设2021年工作要点的通知》

【发布日期:2021年7月22日】

《通知》由广东省政府发布,要求提升安全保障能力。完善密码基础设施建设,提升国产密码应用支撑能力。

《广东省数字经济促进条例》

【施行日期:2021年9月1日】

2021年8月3日,广东省发布《广东省数字经济促进条例》,要求数据的收集、存储、使用、加工、传输、提供、公开等处理活动,应当遵守法律、法规,履行数据安全保护义务。

6. 吉林省

《吉林省促进大数据发展应用条例》

【施行日期:2021年1月1日】

2020年11月27日,吉林省发布《吉林省促进大数据发展应用条例》。条例指出:行政机关以及具有公共事务管理职能的组织应当建立数据安全管理制度,加强数据安全保障,推进关键信息基础设施安全保护工作。收集、使用个人信息,应当遵守法律、行政法规和国家有关个人信息保护的规定,并采取必要措施加强对个人信息的安全防护,确保个人信息安全。

7. 湖北省

《湖北省政务数据资源应用与管理办法》

【施行日期:2021年4月1日】

2021年1月25日,湖北省政府公布《湖北省政务数据资源应用与管理办法》。办法要求:政务数据共享开放平台运行维护管理单位应当建立健全平台安全管理制度,采取数据加密、访问认证等安全防护措施,加强防攻击、防泄露、防窃取的监测、预警、控制和应急技术保障,完善日志留存和数据溯源等安全防护措施,保障平台安全可靠运行。通过政务数据共享开放平台获取政务数据的单位和个人应当加强数据使用的全过程管理,采取必要的安全保障措施,对未经许可扩散或者非授权使用政务数据等违法违规行为及其后果负责。

8. 山东省

《关于促进山东省网络安全产业发展的指导意见》

【发布日期:2021年1月29日】

《意见》由山东省工业和信息化厅印发,要求全面加强网络安全保障体系和保障能力建设,为我省网络强国战略实施和数字强省建设提供核心产业保障和关键技术支撑。推动网络安全企业由提供安全产品向提供安全服务和解决方案转变,支持专业机构和企业开展网络安全规划咨询、安全集成、风险评估、检测认证、密码服务和检测、威胁监测、应急响应、安全运维、安全培训等安全服务。

《山东省大数据发展促进条例》

【施行日期:2022年1月1日】

2021年10月5日,山东省公布《山东省大数据发展促进条例》。条例指出,数据收集、持有、管理、使用等数据安全责任单位应当建立本单位、本领域数据安全保护制度,落实有关数据安全的法律、行政法规和国家标准以及网络安全等级保护制度;属于关键信息基础设施范围的,还应当落实关键信息基础设施保护有关要求,保障数据安全。

9. 安徽省

《安徽省国民经济和社会发展第十四个五年规划和2035年远景目标纲要》

【发布日期:2021年2月1日】

《纲要》指出:加强数据安全保护。探索推进数字交易、大数据和网络安全等地方立法,出台大数据发展条例。加强数据安全技术防护,健全数据隐私保护制度和安全审查评估制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,建立数据存储、传输、利用等全过程管理机制。加强网络文明建设,持续开展“江淮净网”专项行动。

《安徽省大数据发展条例》

【施行日期:2021年5月1日】

2021年3月26日,安徽省通过《安徽省大数据发展条例》。条例要求:各级人民政府和有关部门应当依照法律、法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,明确数据采集、传输、存储、使用、共享、开放等各环节保障数据安全的范围边界、责任主体和具体要求,采取相应的技术措施,保障数据安全。开展数据活动的单位应当采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,保障数据安全。

10. 河北省

《河南省国民经济和社会发展第十四个五年规划和 二〇三五年远景目标纲要的通知》

【发布日期:2021年4月13日】

河南省政府印发《河南省国民经济和社会发展第十四个五年规划和 二〇三五年远景目标纲要的通知》,《通知》指出:加强网络安全保护,保障重要领域数据资源、重要网络和关键信息系统安全。权等合法权益的保护。

11. 河南省

《上海市公安局关于网络安全管理行政处罚的裁量基准》

【施行日期:2021年3月8日】

2021年3月1日,上海市公安局发布《上海市公安局关于网络安全管理行政处罚的裁量基准》。基准指出:网络运营者应遵守《网络安全法》第42条之规定“采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”初次违反规定,且情节较轻的,责令改正,单处或者并处警告、没收违法所得、处违法所得一倍以上四倍以下罚款,没有违法所得的,处三十万元以下罚款。对直接负责的主管人员和其他直接责任人员处一万元以上四万元以下罚款。

12. 湖南省

《湖南省网络安全和信息化条例》

【施行日期:2022年1月1日】

2021年12月3日,湖南省发布《湖南省网络安全和信息化条例》。条例指出:向社会开放的公共数据,非开放类公共数据依法进行脱密、脱敏处理或者相关权利人同意开放的,可以列入无条件开放类或者有条件开放类。实施数据收集、存储、加工、使用、提供、交易、公开等活动,有关单位和个人应当落实数据安全保护责任,采取必要措施确保数据安全。因数据开发利用需要,在合法收集个人数据后应当进行去标识化处理,并确保无法识别到特定个人。但是,依法需要信息溯源的除外。

13. 福建省

《福建省大数据发展条例》

【施行日期:2022年2月1日】

2021年12月15日,福建省颁布《福建省大数据发展条例》。条例规定,开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。

四、国家技术标准

1.GB/T 20283-2020 《信息安全技术 保护轮廓和安全目标的产生指南》

【施行日期:2021年4月1日】

本标准给出了保护轮廓和安全目标文档各部分内容的描述,并提供了保护轮廓和安全目标概述、保护轮廓/安全目标引言、符合性声明、安全问题定义、安全目的、扩展组件定义、安全要求、TOE概要规范、组合及部件TOE的保护轮廓和安全目标、特殊情况等信息。适用于信息技术产品的测试、评估、采购,并为产品的使用者、开发者、测评者使用保护轮廓和安全目标提供指导。

2.GB/T 39205-2020 《信息安全技术 轻量级鉴别与访问控制机制》

【施行日期:2021年5月1日】

本标准规定了轻量级的鉴别机制与访问控制机制。适用于无线传感器网络、射频识别、近场通信等资源受限的应用场景下鉴别与访问控制机制设计开发和应用。

3.GB/T 39477-2020 《信息安全技术 政务信息共享 数据安全技术要求》

【施行日期:2021年6月1日】

本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密政务信息共享数据时的数据安全保障工作。

4.GB/T 39680-2020 《信息安全技术 服务器安全技术要求和测评准则》

【施行日期:2021年6月1日】

本标准规定了服务器的安全技术要求和测评准则。适用于服务器的研制、生产、维护和测评。

5.GB/T 30279-2020 《信息安全技术 网络安全漏洞分类分级指南》

【施行日期:2021年6月1日】

本标准给出了网络安全漏洞(简称“漏洞”)的分类方式、分级指标及分级方法指南,给出了分级方法的建议。适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理、产品生产、技术研发、网络运营等相关活动中进行的漏洞分类和危害等级评估等。

6.GB/T 30276-2020 《信息安全技术 网络安全漏洞管理规范》

【施行日期:2021年6月1日】

本标准规定了网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪等)的管理流程、管理要求以及证实方法。适用于网络产品与服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动。

7.GB/T 28458-2020 《信息安全技术 网络安全漏洞标识与描述规范》

【施行日期:2021年6月1日】

本标准规定了网络安全漏洞(以下简称“漏洞”)的标识与描述信息。适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相关方。

8.GB/T 20261-2020 《信息技术 安全技术 系统安全工程 能力成熟度模型》

【施行日期:2021年6月1日】

系统安全工程能力成熟度模型是一个过程参考模型,它关注信息技术安全(ITS)领域内的某个系统或者若干相关系统实现安全的要求。本标准的范围适用于:涉及整个生存周期的安全产品或可信系统的系统安全工程活动:概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役;对产品开发人员、安全系统开发人员和集成商,以及提供计算机安全服务和计算机安全工程组织的要求;适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织;适用于系统安全工程的需求方、提供方和评估方。

9.GB/T 25061-2020 《信息安全技术 XML数字签名语法与处理规范》

【施行日期:2021年6月1日】

本标准规定了创建和表示XML数字签名的处理规则、签名语法、附加的签名语法和证实方法。适用于制作和处理XML数字签名的应用程序、系统或服务。

10.GB/T 39335-2020 《信息安全技术 个人信息安全影响评估指南》

【施行日期:2021年6月1日】

本标准给出了个人信息安全影响评估的基本原理、实施流程。适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。

11.GB/T 25068.2-2020 《信息技术 安全技术 网络安全 第2部分:网络安全设计和实现指南》

【施行日期:2021年6月1日】

本部分标准为组织给出了计划、设计、实施和记录网络安全的指南。

12.GB/T 25068.1-2020 《信息技术 安全技术 网络安全 第1部分:综述和概念》

【施行日期:2021年6月1日】

本部分规定了网络安全概述和相关定义。定义和描述与网络安全相关的概念,并提供有关网络安全的管理指导。本部分的使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用户,以及对信息安全及网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。

13.GB/T 39412-2020 《信息安全技术 代码安全审计规范》

【施行日期:2021年6月1日】

本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。适用于指导代码安全审计相关工作。

14.GB/T 39276-2020 《信息安全技术 网络产品和服务安全通用要求》

【施行日期:2021年6月1日】

本标准规定了网络产品和服务应满足的安全通用要求,包括安全功能要求和安全保障要求。适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行,也可用于指导第三方测评机构对网络产品和服务进行安全测评。

15.GB/T 39725-2020 《信息安全技术 健康医疗数据安全指南》

【施行日期:2021年7月1日】

本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。

16.GB/T 28450-2020 《信息技术 安全技术 信息安全管理体系审核指南》

【施行日期:2021年7月1日】

本标准在GB/T 19011—2013的基础上,为信息安全管理体系(Information Security Management System,以下简称ISMS)审核方案管理和审核实施提供了指南,并对ISMS审核员能力提供了评价指南。适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。

17.GB/T 20985.2-2020 《信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南》

【施行日期:2021年7月1日】

本部分基于GB/T 20985.1中给出的“信息安全事件管理阶段”模型的“规划和准备”阶段和“经验总结”阶段,为规划和准备事件响应以及事后总结经验和进行改进提供指南。本部分给出的原理是通用的,适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质,关联信息安全风险状况,调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织。

18.GB/T 15852.1-2020 《信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制》

【施行日期:2021年7月1日】

GB/T 15852的本部分定义了八种采用分组密码的消息鉴别码(MAC)算法,规定了这八种MAC算法的用户使用要求和一般模型,提供了测试向量和安全性分析。本部分适用于安全体系结构、过程及应用的安全服务。

19.GB/T 39720-2020 《信息安全技术 移动智能终端安全技术要求及测试评价方法》

【施行日期:2021年7月1日】

本标准规定了移动智能终端安全技术要求及测试评价方法,包括硬件安全、操作系统安全、应用软件安全、通信连接安全、用户数据安全。适用于移动智能终端的设计、开发、测试和评估。

20.GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》

【施行日期:2021年10月1日】

本标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。适用于指导、规范信息系统密码应用的规划、建设、运行及测评。在标准基础之上,各领域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用。

21.GB/T 40018-2021《信息安全技术 基于多信道的证书申请和应用协议》

【施行日期:2021年11月1日】

本标准规定了利用智能移动设备进行证书申请和应用协议,包括证书申请协议、数字签名与验签协议、文件加解密协议。适用于多信道环境中应用系统的设计、开发、测试。

五、重点领域报告

网络安全

1.《2021年信创产业发展报告》

【发布日期:2021年5月】

《报告》由众诚智库发布,旨在从政产学研用多个角度对我国信创产业的发展环境、产业链全景进行梳理,总结信创产业发展所面临的核心问题,提出相关策略建议,致力于为信创领域从业者、研究者及感兴趣的读者,提供有益的参考与启示。

2.《2021年开源软件供应链安全风险研究报告》

【发布日期:2021年6月】

《报告》由国家计算机网络应急技术处理协调中心发布,旨在从全新视角带来开源安全风险新的发现与突破,报告共分为五部分,第一部分,首先介绍开源漏洞的发展现状及趋势;第二部分,聚焦开源组件生态库的安全风险;第三部分,重点围绕组件按依赖层级漏洞传播范围分析;第四部分,对文件级漏洞潜在安全风险和波及范围进行讨论;第五部分,对开源使用者和关注者如何在开源领域蓬勃发展下,更安全的拥抱开源生态提出了建设性意见。

3.《2021年中国网络安全产业分析报告》

【发布日期:2021年7月】

《报告》在国家网络安全宣传周发布,以网络安全法律体系和“十四五”规划与“十三五”规划文件等法律法规政策为切入点,从市场观察、热点方向、资本洞察、总结与展望等多视角深入微观和宏观两个维度,展开分析目前我国网络安全产业现状和前景。

4.《人工智能安全风险及治理研究报告(2021年)》

【发布日期:2021年9月】

《报告》由国家工信安全中心信息政策所发布,旨在从人工智能安全相关概念及风险分析,以人工智能典型应用场景作为案例分析,对国内外人工智能安全治理关注重点展开拓展,最后回归到我国人工智能安全发展、对策、建议多层次分析人工智能安全风险及治理。

5.《中国网络安全产业分析报告(2021年)》

【发布日期:2021年12月】

《报告》由中国网络安全产业联盟发布,首先重点解读了法律政策,在市场分析部分,以客户及厂商收集的调研数据为基础,分析了我国网络安全企业的总体构成、分布及收入情况,在企业竞争力和产业格局部分,分析了网络安全企业的市场表现,在资本市场部分,对我国网络安全主要企业的经营情况进行了总结,在技术热点部分,重点分析了近年来出现的热点市场和技术方向,最后展望了网络安全产业的发展前景和趋势,为网络安全产业发展规划提供参考。

6.《我国网络安全保险产业发展白皮书(2021 年)》

【发布日期:2021年12月】

《白皮书》由国家工业信息安全发展研究中心发布,主要分为五个部分,第一部分针对网络安全保险定义及服务流程进行概念梳理;第二部分剖析国外市场实现快速发展的关键因素;第三部分梳理产业发展现状,总结当前主流商业模式;第四部分从国内网络安全保险产业的供需两侧切入,剖析限制产业发展的主要问题;第五部分展望我国网络安全保险产业发展未来,并提出针对性对策建议。

7.《中国云安全行业研究报告(2021年)》

【发布日期:2021年12月】

《报告》由艾瑞咨询发布,旨在从中国云安全发展环境、中国云安全行业洞察、中国云安全厂商案例、中国云安全发展趋势等四个方面综合分析云安全发展的现状及前景。

8.《软件开发包安全研究报告(2021 年)》

【发布日期:2021年12月】

《报告》由中国信息通信研究院(安全研究所)和腾讯联合发布,旨在从场景分析、数据统计、政策标准方面分享了软件开发包行业发展现状,对软件开发包行业面临的合规风险、安全风险进行了分析,面向软件开发包及App开发者提出了安全措施建议,并从实践角度分享案例和经验,为促进软件开发包行业生态的健康发展提供参考。

9.《2021年中国政企数字化网络安全研究报告》

【发布日期:2021年12月】

《报告》由亿欧智库发布,立足政企数字化现状,剖析新兴技术在各行业应用所带来的网络安全风险,探究各行业数字化网络安全需求以及厂商解决方案,从宏观政策、技术、应用三大层面分析政企数字化网络安全发展现状和未来趋势,挖掘网络安全高成长性赛道和未来技术热点,为关注中国网络安全产业发展的读者提供参考。

10.《网络安全产业人才发展报告(2021年)》

【发布日期:2021年12月】

《报告》由工信部人才交流中心、工信部网络安全产业发展中心、西北工业大学、西安电子科技大学、猎聘网、安恒信息联合发布,报告从网络安全产业人才市场的供需现状出发,对网络安全产业人才需求和人才供给进行了详细的分析和总结,从多个维度对网络安全产业人才培养和发展现状的整体市场形势进行全面的分析,为院校、企事业单位的网络安全人才队伍的培养和建设提供借鉴。

11.《网络安全威胁情报行业发展报告(2021年)》

【发布日期:2021年12月】

《报告》由国家工业信息安全发展研究中心和北京微步在线科技联合发布,对网络安全威胁情报相关概念进行系统梳理,对国内外网络安全威胁情报发展情况进行总结分析,结合对我国网络安全威胁情报产业发展现状的调研,提出威胁情报服务能力评价框架,并就未来发展趋势及建议展开探讨,旨在为更好发挥威胁情报价值、促进威胁情报落地应用、推动威胁情报产业发展提供参考。

数据安全

12.《区块链安全能力测评与分析报告(2021年)》

【发布日期:2021年3月】

《报告》由中国信息通信研究院(安全研究所)发布,旨在通过与业界共享,共同夯实区块链安全基础设施,为区块链技术在建设新型基础设施,发展数字经济等方面发挥积极重要作用,从分析首轮区块链基础设施安全能力测评情况,形成了区块链基础设施十大安全隐患及十大必知必会,对2021- 2023年间区块链基础设施安全新方向进行了展望,提出了未来发展建议。

13.《数字化时代零信任安全蓝皮报告(2021 年)》

【发布日期:2021年5月】

《报告》由中国信息通信研究院(云计算与大数据研究所)和腾讯安全联合发布,旨在从基本原则、核心组件、关键技术等方面阐明零信任安全理念及架构内涵,分析零信任安全如何解决企业级用户数字化转型中的安全痛点,围绕无界办公、混合云、企业异地分支接入和第三方接入多个通用场景,以及银行、通信等重点行业场景,探究零信任安全作用和优势,分析了未来零信任的发展趋势。

14.《移动互联网数据安全蓝皮报告(2021年)》

【发布日期:2021年6月】

《报告》由中国信息通信研究院泰尔终端实验室发布,旨在梳理移动互联网数据安全发展现状与趋势,深入探讨移动应用在数据安全全周期面临的问题和挑战,并从数据安全管理要求,技术防范能力等多方面进行梳理,为移动互联网行业企业提供支撑和帮助。

15.《2021密码产业洞察报告》

【发布日期:2021年7月】

《报告》由北京炼石网络技术有限公司发布,旨在数字经济高速发展期,强调密码产业供给侧、需求侧、监管侧三方推动发展,密码实战与合规需求强劲, 技术自主可控逐步实现,“放管服”改革进一步深化红利期,站在“十四 五”开局新起点,对于密码前沿技术与应用的引领企业,应抓住时代机遇窗口,加速布局密码业务,深化技术创新研究,扎实推进我国商用密码产业建设及发展。

16.《计算机数据安全报告(2021年)》

【发布日期:2021年8月】

《报告》由天风证券发布,基于数据的生命周期和《网络安全等级保护基本要求》中的安全通用技术要求,整理了数据安全产品图谱和行业图谱,从数据安全行业驱动因素、细分市场规模预测、数据安全行业公司概览、风险提示等4个方面综合分析数据安全现状和发展。

17.《数据价值释放与隐私保护计算应用研究报告(2021 年)》

【发布日期:2021年11月】

《报告》由中国信息通信研究院(安全研究所)和蚂蚁集团联合发布,旨在聚焦隐私保护计算技术产业落地缺乏参考的问题,对数据、数据价值、隐私保护计算如何助力数据价值释放以及在金融、医疗、政务领域场景的应用价值进行探索,为隐私保护计算技术的应用落地及数据价值释放提供参考。

18.《2021数据安全与个人信息保护技术白皮书》

【发布日期:2021年12月】

《白皮书》由北京炼石网络技术有限公司发布,旨在对于当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架” 与“新战法”,本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架 DTTACK(以数据为中心的战术、技术和通用知识),结合两大框架实现“攻防兼备、网数一体”。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。

19.《2021年数据安全行业调研报告》

【发布日期:2021年12月】

《报告》由中国信息通信研究院(云计算与大数据研究所)发布,旨在梳理数据安全行业建设现状,分析未来发展方向,更好地洞察行业需求方数据安全建设面临的痛点及挑战,了解行业供应方数据安全主要业务形态,推进数据安全行业供需市场发展。

20.《数据安全技术与产业发展研究报告(2021 年)》

【发布日期:2021年12月】

《报告》由中国信息通信研究院安全研究所发布,通过调研访谈的方式研究梳理我国数据安全技术、产品和服务的发展驱动力以及现状,形成总体的数据安全技术与产业发展视图。同时,分析总结数据安全技术发展存在的问题和挑战,并对数据安全技术及产业发展进行了趋势研判,为相关企业开展数据安全技术手段建设过程中提供一些参考。

21.《数据安全复合治理与实践白皮书》

【发布日期:2021年12月】

《报告》由中国软件评测中心、国家信息中心(信息安全研究)、蚂蚁集团联合发布,通过对数据安全复合治理体系的核心思想与建设思路进行了全面阐述,旨在为组织开展数据安全治理工作提供参考和建议。

其他行业

22.《5G网络安全标准化白皮书 (2021版)》

【发布日期:2021年6月】

《白皮书》由全国信息安全标准化技术委员会(通信安全标准工作组)发布,旨在从5G的概念、关键技术和产业发展情况,梳理了国内外政策法规标准现状,分析了5G在终端安全、IT化网络设施安全、通信网络安全、行业应用安全、数据安全、网络运维安全等方面存在的安全风险和网络安全标准化需求,提出了5G网络安全标准框架和重点标准研制建议,为5G技术安全应用、5G与产业融合安全有序发展提供标准化技术支撑。

23.《医疗物联网安全研究报告 (2021 年)》

【发布日期:2021年7月】

《报告》由中国信息通信研究院(安全研究所)和深信服联合发布,旨在为促进医疗物联网及其生态系统的健康发展,理清医疗物联网目前面临的安全风险,报告对后疫情时代 IoMT 设备可能面临的安全风险进行了分析,构建了医疗物联网安全防护策略框架,并提出了医疗物联网安全发展方向和建议,为医疗机构 IoMT 设备相关的安全规划提供参考。

24.《工业互联网密码应用发展白皮书(2021 年)》

【发布日期:2021年8月】

《白皮书》由工业互联网产业联盟发布,旨在梳理工业互联网密码应用背景,构建工业互联网密码应用技术体系,总结我国的工业互联网密码技术、产品、服务地供给能力,介绍工业互联网密码应用的典型实践,分析密码应用推广面临的痛点,以及提出工业互联网密码应用发展建议。

注:本文内容转载自公众号:炼石网络Cipher Gateway


文章来源: https://www.freebuf.com/articles/paper/331045.html
如有侵权请联系:admin#unsafe.sh