盘点 | 一文速览2021全年国内网络安全领域重要政策
刚刚过去的2021年是“十四五”开局之年,也是数字化、信息化高速发展元年,期间我国各级政府继续高度重视网络安全工作,在各行业相继发布了发展规划,并在关键信息基础设施、数据安全与个人信息保护、工业互联网、车联网、物联网等多个领域密集出台了多项网络安全法律法规和政策文件,有效促进了网络安全领域的技术创新和应用落地,为筑牢国家网络安全屏障、推进网络强国建设提供了有力支撑。
一、发展规划
1. 2021年7月12日,工信部公开对《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》进行意见征集
《行动计划》提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。提升中小企业、重点行业和关键行业基础设施网络安全防护水平,电信等重点行业网络安全投入占信息化投入比例达 10%。网络安全关键核心技术实现突破,加快新兴技术与网络安全的融合创新,增强网络安全产品和服务创新能力,初步形成具有网络安全生态引领能力的领航企业。
2. 2021年11月16日,工信部发布《“十四五”信息通信行业发展规划》(工信部规〔2021〕164号)
《规划》提出在安全保障体系和能力建设方面,着力完备网络基础设施保护和网络数据安全体系,持续提升新型数字基础设施安全管理水平,打造繁荣发展的网络安全产业和可信的网络生态环境,全面提升行业网络安全应急处置,构建国家网络安全新格局等6项重点任务,以支撑国家网络安全新格局形成。
3. 2021年11月30日,工信部发布《“十四五”软件和信息技术服务业发展规划》(工信部规〔2021〕180号)
《规划》要求,在安全保障方面,要强化安全服务保障开展软件数据安全、内容安全评估审查,加强软件源代码检测和安全漏洞管理能力,提升开源代码、第三方代码使用的安全风险防控能力。鼓励第三方服务机构,积极提升软件安全咨询、培训、测试、认证、审计、运维等服务能力。
4. 2021年11月30日,工信部发布《“十四五”大数据产业发展规划》(工信部规〔2021〕179号)
《规划》明确将开展数据安全铸盾行动,加强数据安全管理能力。推动建立数据安全管理制度,制定相关配套管理办法和标准规范,组织开展数据分类分级管理,制定重要数据保护目录,对重要数据进行备案管理、定期评估与重点保护。并加强数据跨境安全管理。
5. 2021年12月27日,网信办发布《“十四五”国家信息化规划》
《规划》以数字化为核心,提出了7大发展目标,部署了10项重大任务,其中,在安全方面,强调要坚持安全和发展并重,以实现网络空间治理能力和安全保障能力显著增强为目标,深化关口前移、防患于未然的安全理念,加强网络安全信息统筹机制建设,开发网络安全技术及相关产品,提升网络安全自主防御能力。
6. 2021年12月28日,工信部、国家发改委等八部门联合发布《“十四五”智能制造发展规划》(工信部联规〔2021〕207号)
《规划》要求加强智能制造安全风险研判,同步推进网络安全、数据安全和功能安全,推动密码技术深入应用。实施企业网络安全分类分级管理,督促企业落实网络安全主体责任。完善国家、地方、企业多级工控信息安全监测预警网络,加快建设工业互联网安全技术监测服务体系。探索建立数据跨境传输备案与监管机制。建立符合政策标准要求的技术防护体系和安全管理制度。
二、关键信息基础设施保护
1. 2021年8月17日,国务院发布《关键信息基础设施安全保护条例》(国令第745号)
《条例》明晰了关键信息基础设施的定义,明确了保护工作部门的职责,强化了运营者的安全管理主体责任,规定了国家保障和促进措施,确立了监督管理体制。《条例》是对《网络安全法》确立的关键信息基础设施安全保护制度的细化完善,有助于构建多方尽责、共同协作的关键信息基础设施安全防护体系,更好地应对网络安全风险挑战。
2. 2021年12月28日,网信办、发改委、工信部等十三部门联合修订发布《网络安全审查办法》(第8号令)
《办法》是对2020年4月13日发布的《网络安全审查办法》进行修订,该办法旨在确保关键信息基础设施供应链安全,维护国家安全。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
三、数据安全与个人信息保护
1. 2021年3月12日,网信办、工信部、公安部、市场监管总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)
《规定》旨在落实《网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。并明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围。
2. 2021年4月6日,国家医保局发布《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》(医保发〔2021〕23号)
《意见》指出到2022年,我国基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。
3. 2021年4月16日,交通运输部发布了《交通运输政务数据共享管理办法》(交科技发〔2021〕33号)
《办法》旨在进一步落实党中央、国务院关于政务数据共享工作要求,更加有效规范交通运输政务数据共享工作。《办法》共六章26条,其中要求政务部门应建立健全政务数据安全保障机制,落实安全管理责任和数据分类分级要求,切实保障政务数据采集、存储、传输、共享和使用安全。
4. 2021年4月26日,工信部公开对《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿)进行意见征集
《规定》明确了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业及网络接入服务提供者在从事App个人信息处理活动应当履行的个人信息保护义务,提出投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
5. 2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》
《数据安全法》是我国数据安全领域的基础性法律,其完善了国家数据安全工作体制机制,规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责,并提出建立国家数据安全工作协调机制。标志着我国在数据安全领域有法可依,为各行业数据安全提供监管依据。
6. 2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》
《个人信息保护法》对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等做出了明确和可操作的规定。
7. 2021年9月30日,工信部公开对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》进行意见征集
《办法》通过总则;数据分类分级管理;数据全生命周期安全管理;数据安全监测预警与应急管理;数据安全检测、评估与认证管理;监督检查;法律责任;附则等八部分内容对工业和信息化领域的数据处理活动进行了规范。
8. 2021年10月29日,网信办发布《数据出境安全评估办法(征求意见稿)》公开征求意见
《办法》指出数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据应当进行安全评估,且数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
9. 2021年11月14日,网信办公开对《网络数据安全管理条例(征求意见稿)》进行意见征集
《条例》规定了国家建立数据分类分级保护制度。明确了在中华人民共和国境内利用网络开展数据处理活动的一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理及法律责任等安全管理要求。
10. 2021年12月22日,工信部公开对《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》进行意见征集
《指引》规定了数据安全风险信息报送的渠道及管理方式,要求支撑单位对风险信息进行分类、研判、整理,及时分析总结风险信息报送与共享情况,并向工业和信息化部网络安全管理局报送。
四、工业互联网
1. 2021年1月13日,工信部发布《工业互联网创新发展行动计划(2021-2023年)》(工信部信管〔2020〕197号)
《计划》提出从四个方面加强工业互联网网络安全工作。一是落实企业主体责任,实施分类分级管理;二是强化产业协同,推进供给侧加快创新;三是加强示范引领,促进安全产业发展壮大;四是坚持专项带动,提升安全技术监测服务能力。
2. 2021年1月19日,工信部发布《工业互联网标识管理办法》(工信部信管〔2020〕204号)
《办法》要求标识服务机构应当落实网络与信息安全保障措施,具备相应的技术、服务和网络安全保障能力和专业人员,并明确专门的责任部门与责任人。还应当建立网络安全防护技术手段,依法记录并留存相关日志记录,保障标识服务系统安全。
3. 2021年12月24日,工信部、国家标准化管理委员会联合发布《工业互联网综合标准化体系建设指南(2021版)》(工信部联科〔2021〕291号)
《指南》从工业互联网技术与产业发展现状出发,提出了进一步建立健全,加快构建统一、融合、开放的工业互联网标准体系的总体要求,明确了工业互联网标准体系包括基础共性、网络、边缘计算、平台、安全、应用等六大部分,并分别给出了具体的标准建设内容。
五、车联网
1. 2021年3月17日,工信部、交通运输部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南(智能交通相关)》(工信部联科〔2021〕23号)
《指南》指出,建设网络安全标准主要包括证书密钥管理、网络安全防护2大类技术标准。证书密钥管理类标准主要包括车路信息交互所使用的交通行业证书、密钥等相关标准;网络安全防护类标准主要包括路侧设施、计算控制中心等进行信息交互过程中的网络安全防护方法等相关标准。
2. 2021年4月7日,工信部发布《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)
《指南》规定,智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。
3. 2021年8月20日,网信办、发改委、工信部等五部委联合发布《汽车数据安全管理若干规定(试行)》(第7号令)
《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,明确汽车数据处理者应当履行个人信息保护责任,加强重要数据安全保护,做好汽车数据安全管理和保障工作。
4. 2021年9月16日,工信部发布《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》(工信部网安〔2021〕134号)
《通知》旨在推进实施《新能源汽车产业发展规划(2021-2035年)》,加强车联网网络安全和数据安全管理工作。提出了落实网络安全和数据安全基本要求、加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系6方面要求。
5. 2021年10月19日,工信部发布《关于进一步加强新能源汽车安全体系建设的指导意见》(征求意见稿)
《指导意见》中要求新能源汽车生产企业应建立健全新能源汽车安全运行监测平台,平台应具有网络安全、数据安全防护能力,具备完整的安全访问日志记录、预警、审计功能和相应的处理机制。
六、物联网
1. 2021年9月27日,工信部、网信办等八部委联合发布《物联网新型基础设施建设三年行动计划(2021-2023年)》(工信部联科〔2021〕130号)
《行动计划》要求加快物联网安全监测、预警分析和应对处置技术手段建设,加快物联网领域商用密码技术和产品的应用推广,开展物联网基础安全“百企千款”产品培育计划,建设安全公共服务平台,开展安全能力评估,加速推进全面感知、泛在连接、安全可信的物联网新型基础设施建设。
2. 2021年10月25日,工信部发布《物联网基础安全标准体系建设指南(2021版)》(工信厅科〔2021〕34号)
《指南》要求,围绕物联网基础设施和重点行业应用,加快推进基础通用、关键技术、试验方法等重点和急需标准制定,及时满足物联网产业的安全需求。提出了物联网基础安全标准体系包括总体安全、终端安全、网关安全、平台安全、安全管理等五大类标准。
七、漏洞管理
1. 2021年7月13日,工信部、网信办、 公安部联合发布《网络产品安全漏洞管理规定》(工信部联网安〔2021〕66号)
《规定》规范了漏洞发现、报告、修补和发布等行为,明确了网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务,并鼓励发现网络产品安全漏洞的组织或者个人积极报送网络产品安全漏洞信息。
2. 2021年9月13日,工信部对《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》公开征集意见
《办法》为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》,规范网络产品安全漏洞收集平台备案管理,适用于中华人民共和国境内的网络产品安全漏洞收集平台的备案管理工作。
八、IPv6
1.2021年7月8日,工信部、网信办联合发布《IPv6流量提升三年专项行动计划(2021-2023年)》(工信部联通信〔2021〕84 号)
《行动计划》围绕IPv6流量提升总体目标,明确了未来三年的重点发展任务,要求大力促进IPv6新技术与经济社会各领域融合创新发展,同步推进网络安全系统规划、建设、运行,促进IPv6各关键环节整体提质升级。
2. 2021年7月23日,网信办、发改委、工信部联合发布《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(中网办发文〔2021〕15号)
《通知》强调要以全面推进IPv6技术创新与融合应用为主线,以提升应用广度深度为主攻方向,着力建设开放创新的技术体系、性能先进的设施体系、全面覆盖的应用体系、生态良好的产业体系、系统完备的标准体系、自主可控的安全体系。
九、信息服务
1. 2021年1月8日,网信办公开对《互联网信息服务管理办法(修订草案征求意见稿)》进行意见征集
《办法》指出,互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。
2. 2021年9月29日,网信办、教育部、科技部等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》(国信办发文〔2021〕7号)
《意见》提出要逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局,其中,鼓励组织积极开展算法安全评估。建立专业技术评估队伍,深入分析算法机制机理,评估算法设计、部署和使用等应用环节的缺陷和漏洞,研判算法应用产生的意识形态、社会公平、道德伦理等安全风险,提出针对性应对措施。
3. 2021年12月31日,网信办、工信部、公安部等四部门联合发布《互联网信息服务算法推荐管理规定》(第9号令)
《规定》明确算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、数据安全和个人信息保护、安全事件应急处置等管理制度和技术措施,定期审核、评估、验证算法机制机理、模型、数据和应用结果等,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。
十、行业数字化建设
1. 2021年3月12日,教育部发布《高等学校数字校园建设规范(试行)》(教科信函〔2021〕14号)
《规范》对高等学校数字校园建设各方面内容提出通用要求,并明确高等学校网络安全工作应遵守《中华人民共和国网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的相关要求。
2. 2021年9月23日,交通运输部发布《交通运输领域新型基础设施建设行动方案(2021—2025年)》(交规划发〔2021〕82号)
《行动方案》在网络安全方面,强调要加强网络安全保护。主要是严格落实等级保护制度,加强关键信息基础设施保护,强化态势感知能力建设,保障数据共享安全可控。建立健全数据安全保护制度,加强基础设施数据全生命周期管理和分级分类保护,落实数据容灾备份措施。推进商用密码技术应用。
3. 2021年10月27日,中国人民银行、网信办等五部门联合发布《关于规范金融业开源技术应用与发展的意见》
《意见》指出金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。
4. 2021年11月16日,教育部、工信部发布《关于提高高等学校网络管理和服务质量的通知》(教科信厅函〔2021〕33号)
《通知》提出,高等学校应严格落实各项安全防护要求,建立网络流量监测机制,及时识别网络攻击行为、屏蔽不良网络信息,提升校园局域网安全态势感知能力;健全应急管理机制,建立网络安全事件协同处置机制,确保各类网络故障和安全事件得到快速响应、有效处置。
相信在不断成熟、持续完善的网络安全法律法规、政策文件的加持和保障下,我国网络安全产业在“十四五”期间必将迎来高速增长。未来,天融信将继续积极响应国家政策号召,坚持自主创新,加大科技创新投入,不断推出符合法律法规要求、满足客户需求的网络安全产品与服务,为各行各业数字化转型发展保驾护航。
相关阅读
1、一文快速了解《“十四五”国家信息化规划》下的网络安全布局
3、解读《个人信息保护法》:为个人信息安全防护构筑坚实的法律基础