网络安全政策法规月月谈(第一期)
日期:2023年05月15日 阅:127
栏目简介
伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。
本栏目立足团队在网络安全政策法规方面的日常跟踪,分析筛选国内外近期部分热点政策法规文件,并重点结合网络安全产业发展,对其内容跟和影响等进行简析。栏目分为国内篇和国外篇,本期筛选分析2022年11月国内外发布的热点政策法规。
欢迎共同研讨和批评指正。
国外篇
1.美国国防部发布零信任战略和路线图
【内容概述】2022年11月22日,美国国防部(DoD)发布《国防部零信任战略》(DoD Zero Trust Strategy)(以下简称《战略》)和《国防部零信任能力执行路线图》(DoD Zero Trust Capability Execution Roadmap)(以下简称《路线图》),旨在应对当前存在的威胁,并明确了美国国防部到2027财年实现“目标零信任”(Zero Trust goals and objectives)所需采取的措施。
《战略》概述了部署零信任架构的四项综合战略目标:一是培育零信任文化(Zero Trust Cultural),即在美国国防部内培养零信任思维和文化,指导美军对零信任生态系统中信息技术的设计、开发、集成和部署。二是保护和捍卫美国国防部信息系统,即在国防部新旧信息系统中纳入零信任架构,增强信息系统弹性,实现防护能力整体升级。三是加速推动美国国防部零信任技术发展,即在国防部内以等同或超过行业进步水平的速度部署零信任技术,使技术水平在变化的威胁环境中保持领先。四是赋能美国国防部零信任工作,即要求国防部及其下属机构的工作流程、政策和资金安排应与零信任工作同步。
此外,《战略》提出了三个行动方案(COA),以最终实现美国国防部设想的零信任目标:一是建立零信任“基线”,本次发布的《路线图》提供了实现该目标的指南,包括国防部零信任能力、零信任能力时间线等;二是依靠商业供应商开发符合零信任的云环境;三是利用政府拥有的私有云。未来国防部还将制定针对后两项措施的路线图以加速零信任的部署应用。
原文链接:https://www.defense.gov/News/Releases/Release/Article/3225919/department-of-defense-releases-zero-trust-strategy-and-roadmap/
【导读分析】伴随着日益激烈的地缘政治博弈,针对国防信息系统的恶意攻击逐渐突显,传统的网络防护手段已无法应对新形势下的安全挑战,由此美国政府加快推进零信任领域的战略部署,相继发布《推动美国政府向网络安全零信任原则迈进备忘录》(Moving the U.S. Government Toward Zero Trust Cybersecurity Principles)、《国防部零信任参考架构》(The Department of Defense’s Zero Trust Reference Architecture)、《实施零信任架构》(Implementing a Zero Trust Architecture)等一系列政策和标准文件。本次发布的《战略》和《路线图》进一步完善了美国国防部零信任安全建设体系,对于全面建立综合清晰的国防安全系统网络安全体系具有重大意义。
目前,我国正在积极推进零信任相关政策及标准制定,如《网络安全产业高质量发展三年行动计划(2021-2023年)》、《信息安全技术 零信任参考体系架构》(征求意见稿)等对零信任做出相关部署。美国本次及此前发布的零信任战略文件和标准规范,在工作体系和具体内容上均有值得我们借鉴之处:一是从顶层设计到实施落地的全面工作体系;二是从目标设定到实现方法的具体指导内容。对行业而言,可重点关注美国国防部设定的零信任支柱(用户;设备;网络和环境;应用程序和工作负载;数据;可见性和分析;以及自动化和排列)及其具体实现的技术等,辅助优化零信任领域产品、技术和解决方案。
2.美国网络安全和基础设施安全局发布新版《基础设施弹性规划框架》
【内容概述】2022年11月22日,美国网络安全和基础设施安全局(CISA)发布更新后的《基础设施弹性规划框架》(Infrastructure Resilience Planning Framework, IRPF)(以下简称《框架》),旨在帮助用户识别关键基础设施、评估相关风险以及开发和实施弹性的解决方案。
《框架》确定了五个关键步骤,通过解决关键基础设施的依赖性问题来增强系统弹性。一是奠定基础。包括如何组建协作规划小组,让基础设施利益相关者参与进来,并审查可能与规划工作相关的现有信息。二是识别关键基础设施。包括如何识别对组织至关重要的基础设施以及基础设施系统和资产之间的依赖关系。三是评估风险。包括评估关键基础设施风险的方法,可以为缓解措施的制定和优先排序提供信息。四是制定行动。包括关于确定缓解策略以解决优先基础设施风险和实现组织弹性目标的指南。五是实施和评估。包括组织如何通过现有的规划机制、潜在的资金来源和技术援助计划实施优先的弹性解决方案。
原文链接:https://www.cisa.gov/news-events/news/cisa-updates-infrastructure-resilience-planning-framework
【导读分析】《基础设施弹性规划框架》可以被应用于美国《总统政策指令21:关键基础设施安全和弹性》(Presidential Policy Directive 21:Critical Infrastructure Security and Resilience)确定的16类关键基础设施,包括通信、能源、金融、医疗、信息技术等,这些设施的网络信息系统类似于我国的“关键信息基础设施”。《基础设施弹性规划框架》于2021年首次发布,旨在帮助美国各地方政府将关键基础设施的弹性因素纳入部门规划活动。本次更新的《框架》增加了重要资源和实现工具,如提供关键基础设施识别数据集指南、增加CISA评估地方基础设施弹性的方法等,从而能够更好地支持合作伙伴应对不断变化的威胁环境。
《框架》在关键基础设施的认定、网络安全事件应对处置等方面提出了许多可操作性的举措,或对我国相应工作有所启示。例如在关键基础设施认定方面,我国在《关键信息基础设施安全保护条例》中提出了原则性的要求,如“保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案”等。同样,对于网络安全事件应对处置方面,可操作性需求也较为突出。跟踪观察美国在这些方面的后续行动和效果,不失为完善我国相关制度的途径之一。
国内篇
1.国家市场监督管理总局、国家互联网信息办公室发布《关于实施个人信息保护认证的公告》及《个人信息保护认证实施规则》
【内容概述】2022年11月18日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》(以下简称《公告》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。同时发布的《个人信息保护认证实施规则》(以下简称《认证规则》)还明确了认证对象、认证流程与合规要求等内容。
第一,《认证规则》明确了个人信息保护认证适用的主体与行为。一是个人信息保护认证的适用对象为“个人信息处理者”;二是个人信息保护认证的适用范围为:“开展个人信息收集、存储、使用、加工、传输、提供、公开、删除”等处理活动;开展个人信息“跨境”处理活动。第二,《认证规则》对个人信息保护认证实施程序做出了详细规定,获得认证需经过“认证申请-资料审查-技术验证-现场审核-认证决定-获证后监督”等一系列环节。第三,《认证规则》明确指出《信息安全技术 个人信息安全规范》(GB/T 35273)是个人信息保护认证的主要依据,此外对于开展跨境处理活动的个人信息处理者,还应当遵循《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(TC260-PG-20222A)。
原文链接:
http://www.cac.gov.cn/2022-11/18/c_1670399936658129.htm
【导读分析】网络安全、数据安全和个人信息保护是当前我国网络安全工作的三个主要领域。此前,我国发布了一系列相关领域的认证。其中,网络安全领域认证包括:网络关键设备和网络安全专用产品安全认证、网络安全审计服务资质认证等;数据安全领域认证包括:数据安全管理认证、数据安全能力成熟度认证等;个人信息安全领域认证包括:移动互联网应用程序(App)安全认证、个人信息安全管理体系认证等。本次个人信息保护认证工作的启动,进一步补充完善了个人信息安全管理领域的认证体系,对个人信息处理者提升自身个人信息保护能力提供了新的重要途径。
个人信息保护认证对网络安全产业发展的影响和促进主要体现在以下两方面:一是,在数据安全产业供给侧,《认证规则》将带动个人信息保护认证相关服务的发展。此前,国家市场监管总局开展“移动互联网应用程序(App)个人信息安全测试项目”能力验证计划,由此可推断个人信息保护认证领域也不排除组织开展类似专项计划的可能、并继而推进建立健全技术检测机构(或实验室)的准入机制。二是,在数据安全产业需求侧,将在一定程度上促进企业提高对个人信息保护落地的自觉性,主动构建和完善自身个人信息安全防护体系。对行业而言,可重点关注规范个人信息处理安全技术要求、建立个人信息安全管理制度和规范个人信息跨境处理活动等三方面工作要求。
附录:2022年11月国内外重要政策一览表