2022年Q3国内网络安全领域重要政策及标准盘点
2022年第三季度期间,国家各部委、地方政府、各标准化委员会相继发布了多项网络安全政策及相关标准,涉及数据出境、数字经济、自动驾驶、关键信息基础设施、医疗卫生等众多领域。总体来看,国内网络安全领域合规环境的规范性更进一步,也为产业高质量发展提供了更加良好的环境,为筑牢数据安全防线、构建网络强国提供了根本遵循。小编为大家整理了第三季度国内网络安全领域重要法律、政策文件和标准,供大家参考。
政策盘点
1. 2022年7月7日,国家网信办发布《数据出境安全评估办法》(国家互联网信息办公室令 第11号)
《办法》明确了应当申报数据出境安全评估的情形,并给出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确重点评估事项,明确在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。
2. 2022年7月11日,厦门市人大常委会办公厅发布《厦门经济特区数据条例(草案)》
《条例》涉及数据资源、数据要素市场、数据安全、应用与发展等内容。在数据安全方面,明确了数据处理者的数据安全保护义务,规定了市人民政府组织建立数据安全风险评估、报告、监测预警、应急处置和分类分级保护制度,建立健全数据安全工作协调机制,统筹有关部门按照国家规定编制本市重要数据目录。
3. 2022年7月14日,国务院办公厅发布《国务院2022年度立法工作计划》(国办发〔2022〕24号)
《计划》指出,2022年在网络安全领域,要围绕统筹发展和安全、完善国家安全法治体系。拟制定、修订的行政法规包括未成年人网络保护条例(网信办起草)、网络数据安全管理条例(网信办组织起草)、商用密码管理条例(修订)(密码局起草)。
4. 2022年7月14日,市场监管总局、国家密码管理局发布《商用密码产品认证目录(第二批)》
为贯彻落实《中华人民共和国密码法》,进一步健全完善商用密码产品认证体系,更好满足商用密码产业发展需要,市场监管总局和国家密码管理局联合发布《商用密码产品认证目录(第二批)》。此次发布的商用密码产品目录中包含六类产品,分别是可信密码模块、智能IC卡密钥管理系统、云服务器密码机、随机数发生器、区块链密码模块、安全浏览器密码模块。
5. 2022年7月21日,市场监管总局发布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》公开征集意见
《实施意见》规定,网络安全服务认证目录由市场监管总局会同中央网信办、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。
6. 2022年8月8日,交通运输部发布《自动驾驶汽车运输安全服务指南(试行)》(征求意见稿)公开征集意见
《指南》规定运输经营者应当建立健全运输安全保障制度,在试运营、正式运营前应当制定自动驾驶汽车运输安全保障方案,明确自动驾驶汽车的设计运行条件、运营安全风险清单、分级管控措施、突发情况应对措施,组织对运输安全保障方案进行专业性论证和风险评估。
7. 2022年8月23日,交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》公开征集意见
《办法》主要内容包括公路水路关键信息基础设施认定、运营者责任和义务、保障和监督管理以及法律责任等方面内容。规定运营者应当在国家网络安全等级保护制度的基础上重点保护,落实防护措施,加强全生命周期管理,保护公路水路关键信息基础设施业务连续运行和重要数据不泄露、不受破坏。
8. 2022年8月29日,国家卫健委发布《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号)
《办法》涉及总则、网络安全管理、数据安全管理、监督管理、管理保障等内容。在网络和数据安全管理方面,规定等保二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门和岗位职责,建立健全管理制度体系;鼓励三级医院探索态势感知平台建设,加强威胁情报工作,建立应急处置机制。
9. 2022年8月31日,网信办发布《数据出境安全评估申报指南(第一版)》
《指南》明确了符合数据出境安全评估适用情形的数据处理者向境外提供数据,应当通过所在地省级网信办向国家网信办申报数据出境安全评估,并对数据出境安全评估申报方式、申报流程、申报材料等具体要求做出了说明。
10. 2022年9月2日,第十三届全国人大常委会第三十六次会议表决通过《中华人民共和国反电信网络诈骗法》
《反电信网络诈骗法》包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任等内容。该法在总结反诈工作经验基础上,着力加强预防性法律制度构建,加强协同联动工作机制建设,加大对违法犯罪人员的处罚,推动形成全链条反诈、全行业阻诈、全社会防诈的打防管控格局。
11. 2022年9月6日,工信部发布《5G 全连接工厂建设指南》(工信厅信管〔2022〕23号)
《指南》提出的安全要求包括:构建多层级网络安全防护体系;做好安全应急预案,阶段性开展安全检测评估,提升网络安全监测水平,确保网络运行平稳,提高安全威胁发现、快速处置和应急响应能力;推进企业全面落实工业互联网企业网络安全分类分级管理相关政策与标准,提升设备、控制、网络、平台和数据等安全防护能力;加大网络安全投入,明确责任部门和责任人,建立健全监测预警、数据上报、应急响应、风险评估等安全机制。
12. 2022年9月13日,上海市经信委发布《上海市公共数据开放实施细则(征求意见稿)》公开征集意见
《细则》涉及数据开放、数据获取、开放平台、数据利用、保障措施等内容。要求数据开放主体应当制定公共数据开放分级分类的行业细则,并对公共数据进行分级分类,确定开放类型、开放条件和监管措施,并将类别纳入公共数据开放清单公开。
13. 2022年9月14日,网信办发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》公开征集意见
《决定》是为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,主要针对违反了网络运行安全一般规定、关键信息基础设施安全保护责任、网络信息安全义务、个人信息保护等四个方面的法律责任制度进行完善。
14. 2022年9月16日,工信部发布《国家车联网产业标准体系建设指南(智能网联汽车)(2022年版)》(征求意见稿)公开征集意见
《指南》提出了智能网联汽车标准体系框架、整体内容及具体标准项目,明确了各项标准在智能网联汽车产业技术体系中的地位和作用。其中,网络安全与数据安全在通用规范标准类别当中。
标准盘点
1. 2022年7月11日,国家标准GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》发布
本标准给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云中的个人信息保护指南,并且本标准应与GB/T 22080结合使用,其中给出的额外控制措施作为实施基于GB/T 22080的信息安全管理体系的组成部分。
2. 2022年7月11日,国家标准GB/T 41578-2022《电动汽车充电系统信息安全技术要求及试验方法》发布
本标准规定了电动汽车充电系统信息安全技术要求及试验方法,从硬件安全、软件安全、数据安全、通信安全四个部分提出技术要求,其中,通信安全包括充电系统对外通信安全和充电系统对内通信安全。
3. 2022年7月22日,行业标准GA/T 2001-2022《移动警务 可信计算总体技术要求》发布
本标准规定了移动警务可信计算的总体架构和设计策略,从可信计算环境、可信区域边界、可信通信网络、可信安全管理方面提出了技术要求,并提出了密码使用的相关要求。
4. 2022年8月29日,行业标准JR/T 0254-2022《金融网络安全 信息科技外包评价指标数据元》发布
本标准规定了金融业信息科技外包分类及评价指标数据元定义,并给出了信息科技外包服务分类标识符及评价指标数据元表。其中,信息科技外包服务分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个一级子类。
TOPSEC
作为国内首家网络安全企业,天融信始终以捍卫国家网络空间安全为己任,坚定贯彻落实国家法律法规与相关政策要求,重视国家及行业相关标准规范的落地工作,坚持“从标准中来,到标准中去”,在标准规范的指导下构建了纵深防御体系并付诸项目实践。未来,天融信仍将坚定不移地做国家法律的捍卫者与践行者,履行网络安全义务和责任,在实践中持续探索可行的发展之路,并以实践经验促进标准的不断改进、提升,维护行业健康发展。相关阅读