收藏贴 | 2021上半年网安政策标准、产业报告大合集
前言
2021年是“十四五”开局之年,迎接数字时代,激活数据要素潜能,推进网络强国建设,打造数字经济新优势。网络安全作为产业数字化和数字产业化发展基石,已成为国家顶层规划以及各行业关注重点。2021年上半年,国家各部门密集发布网络安全、数据安全相关的法律政策、行业标准、产业分析报告等,加速推动网络安全产业发展、技术创新和成果转化应用,护航数字经济发展。本文梳理了我国2021年上半年发布的网络安全相关法律政策、行业标准以及产业报告,供业内人士参考。
关注本公众号并回复关键词“2021上半年政策”,即可打包下载本文所有政策、报告。
国家法律政策
《中华人民共和国数据安全法》
施行日期:2021年9月1日
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》,规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
发布日期:2021年3月12日
“十四五”规划提出,加快数字化发展,培育壮大网络安全等新兴数字产业;提高数字政府建设水平,建立健全数据要素市场规则,加强网络安全保护,推动构建网络空间命运共同体;统筹发展和安全,加强国家安全体系和能力建设。
2021年国务院政府工作报告
发布日期:2021年3月5日
2021政府工作报告提出,加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型,加快数字社会建设步伐,提高数字政府建设水平,营造良好数字生态,建设数字中国。同时,强调加强网络安全、数据安全和个人信息保护。
行业政策
01
政务
《全国一体化大数据中心协同创新体系算力枢纽实施方案》
发布日期:2021年5月24日
发布单位:国家发展改革委、中央网信办、工业和信息化部、国家能源局
简介:《方案》明确提出布局全国算力网络国家枢纽节点,启动实施“东数西算”工程,构建国家算力网络体系。未来中国数据中心建设将迎来调整,推动实现合理布局、供需平衡、绿色集约和互联互通。
《涉密信息系统集成资质管理办法》
施行日期:2021年3月1日
发布单位:国家保密局
简介:《办法》将涉密集成资质分为甲级和乙级两个等级,甲级资质单位可以从事绝密级、机密级和秘密级涉密集成业务;乙级资质单位可以从事机密级、秘密级涉密集成业务,并明确了涉密集成资质的申请、受理、审查、决定、使用和监督管理规定。《办法》取消了乙级资质的地域限制,乙级资质单位可以在全国范围内开展机密级、秘密级业务。
《人民检察院办理网络犯罪案件规定》
发布时间:2021年1月22日
发布单位:最高人民检察院
简介:《规定》强调网络犯罪案件应当坚持惩治犯罪与预防犯罪并举,提出认定犯罪行为的情节和后果,应当结合网络空间、网络行为的特性,从违法所得、经济损失、信息系统的破坏、网络秩序的危害程度以及对被害人的侵害程度等综合判断。
02
金 融
《征信业务管理办法(征求意见稿)》
发布日期:2021年1月11日
发布单位:中国人民银行
简介:《办法》从信用信息采集的要求,信用信息整理、保存和加工的方式,信用信息提供、使用注意事项,信用信息安全保护和相应的监管措施等方面,对征信业务及其相关活动进行了规范,征信业务中信息的合法合规使用将得到保障。
《监管数据安全管理办法(试行)》
发布时间:2021年1月15日
发布单位:中国银行保险监督管理委员会
简介:《办法》旨在建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。
《保险中介机构信息化工作监管办法》
施行日期:2021年2月1日
发布单位:中国银行保险监督管理委员会
简介:《办法》对保险中介机构信息化工作提出全面要求,提出实施后的一年整改自查期内,若不完成信息化系统建设,将不得经营保险中介业务。《办法》将进一步提高保险中介机构的信息化工作水平和经营管理水平,构建新型保险中介市场体系,促进保险业高质量发展。
《网络交易监督管理办法》
施行日期:2021年5月1日
发布单位:国家市场监督管理总局
简介:《办法》是对相关法律规定进行细化完善,制定了一系列规范交易行为、压实平台主体责任、保障消费者权益的具体制度规则,对完善网络交易监管制度体系、持续净化网络交易空间、维护公平竞争的网络交易秩序、营造安全放心的网络消费环境具有重要现实意义。
03
教医旅
《教育部关于加强新时代教育管理信息化工作的通知》
发布时间:2021年3月10日
发布单位:教育部
简介:《通知》要求加强教育管理信息化统筹协调,优化信息系统供给模式,提高教育数据管理水平,促进管理服务流程再造,提高基础设施支撑能力,以信息化支撑教育治理体系和治理能力现代化。
《关于加强网络安全和数据保护工作的指导意见》
发布时间:2021年4月6日
发布单位:国家医疗保障局
简介:《通知》指出,到2022年,基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。
《交通运输政务数据共享管理办法》
施行时间:2021年4月15日
发布单位:交通运输部
简介:《办法》旨在进一步落实党中央、国务院关于政务数据共享工作要求,更加有效规范交通运输政务数据共享工作。《办法》对数据提供部门和使用部门责任作了进一步明确。提供部门需要对本部门政务数据目录编制、数据提供和授权以及数据质量负责;使用部门需要对数据使用的安全合规性进行负责,并向提供部门反馈使用情况,实现数据资源“以用促建”。
04
电 信
《互联网信息服务管理办法(修订草案征求意见稿)》
发布时间:2021年1月8日
发布单位:国家互联网信息办公室、工业和信息化部、公安部
简介:《办法》对互联网信息发布、保存及个人信息安全保护等方面作出规定,并对日益泛滥的刷票、刷量、刷评论及制作虚假账号给出了处罚细则,也对倒卖电话卡、虚假注册等行为给出明确管理要求,对当下的互联网信息服务管理有了更加明确、具体、统一的规范。
《“双千兆”网络协同发展行动计划(2021-2023年)》
发布时间:2021年3月24日
发布单位:工业和信息化部
简介:作为《行动计划》的重点任务,工信部要求从提升网络安全防护能力,构筑安全可信的新型信息基础设施,做好跨行业网络安全保障等3个方面落实安全保障强化行动。
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
发布时间:2021年4月26日
发布单位:国家互联网信息办公室、工业和信息化部、公安部、市场监管总局
简介:《规定》界定了适用范围和监管主体,明确了“知情同意”“最小必要”两项原则。这一新政释放出全力捍卫公民隐私权的强烈信号,而APP也将面临精细监管。
施行时间:2021年5月1日
发布单位:国家互联网信息办公室、工业和信息化部、公安部、市场监管总局
简介:《规定》在明确App基本功能服务和必要个人信息范围的基础上,明确要求App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务。《规定》的出台科学地平衡了个人信息保护与促进App发展应用的关系,保障了用户对App基本功能服务的使用权,以及对收集使用非必要个人信息的知情权和决定权,有利于促进App的健康发展。
05
能 源
《2021年电力安全监管重点任务》
发布时间:2021年1月30日
发布单位:国家能源局综合司
简介:《重点任务》提出加强电网及网络安全监管。推进电力行业网络安全仿真验证环境(靶场)建设,组织开展电力行业网络安全攻防实战演练。推进隔离装置整改。推动北斗在电力行业的应用,加强网络安全技术交流力度。
《核动力厂网络安全技术政策》(试行)
施行时间:2021年4月1日
发布单位:国家核安全局、国家原子能机构
简介:《政策》用于指导核电厂营运单位通过建立、实施和维护网络安全大纲,对核电厂网络安全风险进行监测和管理,以保证核电厂安全水平得以维持或得到提升。
06
工 业
《工业互联网创新发展行动计划(2021-2023年)》
发布时间:2021年1月13日
发布单位:工业和信息化部
简介:《行动计划》提出开展网络体系强基行动、平台体系壮大行动、数据汇聚赋能行动、新型模式培育行动、融通应用深化行动、产业协同发展行动等11项重点任务。行动计划指出,到2023年,工业互联网新型基础设施建设量质并进,新模式、新业态大范围推广,产业综合实力显著提升。
《工业互联网标识管理办法》
施行日期:2021年06月01日
发布单位:工业和信息化部
简介:《办法》提出,标识服务机构应当遵守相关法律法规和国家标准,落实网络与信息安全保障措施,具备相应的技术、服务和网络安全保障能力,具备与业务规模相适应的网络与信息安全专业人员,并明确专门的责任部门与责任人。
技术标准
《信息安全技术 XML数字签名语法与处理规范》
国标号:GB/T 25061—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了创建和表示XML数字签名的处理规则、签名语法和附加的签名语法,适用于制作和处理XML数字签名的应用程序、系统或服务。
《信息安全技术 系统安全工程 能力成熟度模型》
国标号:GB/T 20261—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
系统安全工程能力成熟度模型(以下简称SSE-CMM)是一个过程参考模型,它关注信息技术安全(ITS)领域内的某个系统或者若干相关系统实现安全的要求。在ITS领域内,SSE-CMM关注的是用来实现ITS的过程,尤其是这些过程的成熟度。SSE-CMM的目的不是规定组织使用的具体过程,更不会涉及具体的方法,而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。
《信息安全技术 网络安全漏洞标识与描述规范》
国标号:GB/T 28458—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了网络安全漏洞(以下简称“漏洞”)的标识与描述信息,适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与系统运营等活动的各类组织。
《信息安全技术 网络安全漏洞管理规范》
国标号:GB/T 30276—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪等)的管理要求。适用于网络产品与服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动。
《信息安全技术 网络安全漏洞分类分级指南》
国标号:GB/T 30279—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准给出了网络安全漏洞(简称“漏洞”)的分类方式、分级指标及分级方法指南。适用于网络产品、服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理,网络产品生产、技术研发、系统运营等相关活动中进行的漏洞分类、漏洞危害等级评估等工作。
《信息安全技术 网络产品和服务安全通用要求》
国标号:GB/T 39276—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了网络产品和服务应满足的安全通用要求,包括安全功能要求和安全保障要求。本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行,也可用于指导第三方测评机构对网络产品和服务进行安全测评。
《信息安全技术 代码安全审计规范》
国标号:GB/T 39412—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了代码安全的审计过程及方法,描述了软件代码安全缺陷的典型审计指标。本标准的审计活动主要对象是代码,主要针对代码层面的安全问题,不包含需求分析、设计、测试、部署配置、运维等方面的安全问题。本标准适用于执行代码安全审计和相关测试工作。
《信息安全技术 服务器安全技术要求和测评准则》
国标号:GB/T 39680—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了服务器的安全技术要求和测评准则,适用于服务器的研制、生产、维护和测评。
《信息技术 安全技术 网络安全 第1部分:综述和概念》
国标号:GB/T 25068.1—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:ISO/IEC 27033-1:2015(等同采用)
简介:本部分规定了网络安全概述和相关定义。定义和描述与网络安全相关的概念,并提供有关网络安全的管理指导。(本部分中网络安全不仅适用于通过通信链路传送的信息安全,还适用于设备安全,以及与设备、应用(服务)和最终用户相关的管理活动的安全)。使用者包括拥有、运行或使用网络的任何人,包括高级管理人员和其他非技术管理人员或用户,以及对信息安全及网络安全、网络操作负有特定责任的或对组织的整体安全计划和安全策略制定负责的经理和管理员。此外,还包括参与网络安全架构方面的规划、设计和实施的所有人。
国标号:GB/T 25068.2—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:ISO/IEC 27033-2:2012(等同采用)
简介:本部分标准为组织给出了计划、设计、实施和记录网络安全的指南。
《信息安全技术 个人信息安全影响评估指南》
国标号:GB/T 39335—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准规定了个人信息安全影响评估的基本概念、框架、方法和流程,适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评组织等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
国标号:GB/T 39477—2020
发布日期:2020-11-19
实施日期:2021-06-01
采用国际标准号:未采用
简介:本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。本标准适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密政务信息共享数据时的数据安全保障工作。
《信息安全技术 轻量级鉴别与访问控制机制》
国标号:GB/T 39205—2020
发布日期:2020-10-11
实施日期:2021-05-01
采用国际标准号:未采用
简介:本标准规定了轻量级的鉴别机制与访问控制机制,适用于无线传感器网络、射频识别、近场通信等资源受限的应用场景下鉴别与访问控制机制设计开发和应用。
《信息安全技术 保护轮廓和安全目标的产生指南》
国标号:GB/T 20283—2020
发布日期:2020-09-29
实施日期:2021-04-01
采用国际标准号:ISO/IECTR15446:2017(非等效采用)
简介:本指导性技术文件描述保护轮廓(PP)和安全目标(ST)中的内容及其各部分内容之间的相互关系,并在附录中给出了若干实例,供感兴趣的读者参考。本指导性技术文件给出PP和ST文档内容的概述、示例目录清单和目标用户最关心的其他内容,并陈述了PP与ST之间的关系,以及PP和ST的开发编写过程,为使用者编写PP和ST提供指导。
行业报告
《政务数据共享开放安全研究报告》
发布单位:中国信通院
发布日期:2021年1月
简介:报告全文从对政务数据共享开放的认识出发,介绍了国际政务数据共享开放形势及安全实践经验,对我国政务数据共享开放的发展现状及存在的问题进行了分析和分享。在此基础上研究分析政务数据共享开放发展面临的挑战因素,以及数据存储加工、数据共享开放、共享交换平台三个维度潜藏的安全风险。进一步,给出了政务数据共享开放的安全框架。最后,从政策标准、监管机制、技术能力、人才队伍几方面提出相关建议。
《中国信创产业发展白皮书》
发布单位:中国电子学会等
发布日期:2021年1月
简介:未来三年,信创产业将开始在重点行业领域全面推广,迎来黄金发展期。据众诚智库初步估算,2021年,中国信创产业市场规模达到3000亿元,未来三年市场总规模达到万亿元(人民币)级。
《2020企业安全威胁统一应对指南》
发布单位:FreeBuf
发布日期:2021年1月
简介:企业网络安全建设旨在保障企业的业务安全可持续发展、保证企业利益相关者生命、财产安全的延续,而完善的企业网络安全体系架构,主要分为管理体系、技术体系、运营体系三大部分。报告以三大体系为顶层逻辑,并以“防护——检测——响应——持续改进”为核心的威胁应对流程模型,为企业安全威胁应对提供全流程参考。
《大数据平台安全研究报告》
发布单位:中国信通院
发布日期:2021年1月
简介:中国信通院在2020年发起了卓信大数据平台安全专项行动,行动中发现了企业大数据平台在建设和运维方面存在一定安全隐患。报告以本次专项行动中积累的安全检测数据为基础,从平台配置安全隐患和安全漏洞的分布规律、产生原因、危害影响、修复难度等维度分析了大数据平台的安全现状。同时,详细分析了形成该安全现状的问题根源,并给出了相应的解决方案建议。最后,从监管、标准、技术研究等方面提出了大数据平台安全未来的工作方向。
《2020年度互联网企业信息科技风险治理现状调研报告》
发布单位:中国互联网协会
发布日期:2021年2月
简介:为深入洞察互联网企业信息科技风险治理面临的主要风险、治理现状以及存在的痛点和挑战,工作委员会发起了《互联网企业信息科技风险治理现状调查问卷》。本报告根据问卷调查结果汇总整理而成,旨在协助互联网企业掌握行业信息科技风险治理动态,对标行业最佳实践,为企业建立有效的信息科技风险治理体系奠定基础。
《2019-2020商用密码行业分析报告》
发布单位:数观天下
发布日期:2021年2月
简介:本报告通过商用密码发展历程、法律法规、密码法解读、密评机构、企业对比、产品对比、产业链分析、上市公司、发展趋势等进行整理分析。根据统计,2019年,全球商用密码市场规模达到了25041.5百万美元,预计2026年将达到86406.3百万美元,年复合增长率(CAGR)为18.79%。预计该行业将继续以创新为主导,频繁的收购和战略联盟将成为参与者增加行业存在感的关键战略。
《深度解读 | 密评行标升国标,改了哪些?》
发布单位:北京炼石网络技术有限公司
发布日期:2021年3月
简介:《报告》指出,“密码应用基本要求”从行业标准上升为国家标准,是商用密码应用与安全性评估工作的重要里程碑。与行标相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,GB/T 39786将成为未来很长时间信息系统安全标准体系中的主体。
发布单位:中国信通院
发布日期:2021年3月
简介:报告系统梳理了数字政府的内涵意蕴、建设现状、特点趋势,研究分析数字政府建设面临的主要矛盾和挑战,给出具体推进建议,以期为数字时代政府治理能力提升提供参考和帮助。
《国家数据资源调查报告(2020)》
发布单位:中国信通院
发布日期:2021年4月
简介:报告围绕数据资源生产、流通、存储、应用、安全的生命周期过程,对我国数据资源的发展状况进行了详细介绍。
《十种数据存储加密技术白皮书》
发布单位:北京炼石网络技术有限公司
发布日期:2021年4月
简介:聚焦十种数据存储加密技术,希望能够帮助读者快速了解数据存储加密技术的全貌,并在用户需要通过“加解密技术”进行自身核心数据资产的安全保护时,在场景适用性判断、相关技术与产品选型等方面提供参考和帮助。
《中国数字经济发展白皮书》
发布单位:中国信通院
发布日期:2021年4月
简介:2020年我国数字经济规模规模达到39.2万亿元,占GDP比重为38.6%,同比名义增长9.7%,数字经济在逆势中加速腾飞,有效支撑疫情防控和经济社会发展。此外,白皮书还总结出各地推动数字经济发展的典型模式与经验。整体来看,数字经济呈现高中低梯度分布式发展。
《区块链与数据安全治理白皮书》
发布单位:国家工信安全中心
发布日期:2021年4月
简介:针对国内外法律政策和技术标准,厘清了区块链与数据安全治理的制度和实践现状;围绕数据安全事件影响、危害程度、治理难度等方面分析了当前数据安全治理痛难点;梳理了包括电力、政务、医疗、金融、汽车、征信、教育、中医药等领域在内的区块链数据安全治理应用场景;研究分析了区块链与数据安全存储、流通共享、安全审计、防篡改等数据安全治理环节的关联性,同时聚焦相关行业在数据安全治理工作中应用实际,初步提出了多种区块链技术的实现路径和应用方案。
《2020网信自主创新调研报告》
发布单位:中国关键信息基础设施技术创新联盟
发布日期:2021年4月
简介:报告通过对产业、行业的务实调研,收集了大量的资料和信息,客观呈现了我国网信技术自主创新取得的最新成果、存在的问题和不足,并对后续发展趋势和方向进行了分析和展望,将为行业用户了解我国网信自主创新最新进展,开展信息技术创新应用实践提供有价值的参考和借鉴。
发布单位:中国信通院
发布日期:2021年5月
简介:建立了数据价值化的“三化”框架,即数据资源化、数据资产化、数据资本化。针对数据确权及定价等关键问题,报告从经济学视角出发,根据数据确权“三分原则”,建立了数据确权路径图,构建了从不完全市场到成熟市场数据定价模型,为推动数据要素流转、挖掘数据价值、做大做强数字经济提供重要参考。
解读Ponemon《2021全球加密趋势研究》
发布单位:北京炼石网络技术有限公司
发布日期:2021年5月
简介:Ponemon Institute对17个国家及地区、6610名个人进行调研,调研分析加密技术应用在过去16年的演变趋势,以及加密对组织安全态势的影响。第一次加密趋势研究是在2005年针对美国抽样的受访者进行,之后,Ponemon Institute扩大研究范围,时间跨度延伸到2020年,成为研究全球加密趋势的重要参考资料。
图解《数据安全法》
发布单位:北京炼石网络技术有限公司
发布日期:2021年6月
简介:《报告》系统梳理义务主体与合规建设要求,深度解读《数据安全法》重要条款以及蕴含的行动指令要求,为各义务主体开展数据安全规划,建设“以数据为中心”的主动式防护模型,打造“以密码技术为核心、多种安全技术相互融合的”实战化数据安全密码防护体系提供参考。
图解 | 从《数据安全法》法定义务读企业行动指南
图解《数据安全法》
炼石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发CASB业务数据安全平台和高性能国密产品,开创性实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教育医疗文旅、工业央企商业等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。
微信号:炼石网络CipherGateway