随着国家数字经济建设进程加快,数据安全立法实现由点到面、由面到体加速构建,目前我国数据安全立法已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心,行政法规、部门规章为依托,地方性法规、地方规章为抓手,国家标准为指南的数据安全法规保障体系。
顶层政策出台,构建数据安全发展支撑。2023年1月,工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,提出到2025年,数据安全产业基础能力和综合实力明显增强,产业规模超过1500亿元,到2035年,数据安全产业进入繁荣成熟期。2023年3月《数字中国建设整体布局规划》要强化数字中国关键能力。筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。2023年4月《商用密码管理条例》在1999年发布24年后重新修订发布,旨在规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,促进了商用密码技术的研发和应用,推动了数据安全产业的发展,为数字化时代的可持续发展提供了有力的保障。
组建监管部门,为数据安全治理强力加持。2023年3月《党和国家机构改革方案》指出,组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,推进数字中国、数字经济、数字社会规划和建设等,为数据安全治理提供强力支撑。具体来说,国家数据局将从完善数据全流程合规与监管规则体系、统筹构建规范高效的数据交易场所、统筹构建规范高效的数据交易场所、构建数据安全合规有序机制四个方面对流通和交易制度进行构建,促进数字化转型升级和高质量发展。
为助力产业发展,炼石搜集整理2023上半年91项网络与数据安全相关政策,包括13项国家政策法律、10项重点行业政策、21项地方政策规章、31项国家技术标准、16项重点领域报告,为行业同仁提供参考。
总览图
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全058”,即可打包下载91项2023年上半年网络与数据安全政策文件。
注:由于部分国家标准采用了ISO、IEC等国际国外组织的标准,鉴于版权保护问题,故有3项国标(总31项)无法提供文件下载。
为了共同推动数据安全产业发展,欢迎行业同仁加入“[炼石】数据安全法规圈”微信群,探讨数据安全领域的政策动态和合规要求。
国家法律规章
《商用密码管理条例》
【施行时间】2023/7/1
【发布单位】国务院第4次常务会议
【概述要求】《商用密码管理条例》(国令第760号),已于2023年4月14日国务院第4次常务会议修订通过,自2023年7月1日起施行。《条例》规定,规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。
《反间谍法》
【施行时间】2023/7/1
【发布单位】第十四届全国人民代表大会常务委员会第二次会议
【概述要求】《反间谍法》规定,任何个人和组织都不得非法获取、持有属于国家秘密的文件、数据、资料、物品。违反本法规定,拒不配合数据调取的,由国家安全机关依照《中华人民共和国数据安全法》的有关规定予以处罚。
《关于推进IPv6技术演进和应用创新发展的实施意见》
【发布时间】2023/4/20
【发布单位】工业和信息化部
【概述要求】《实施意见》以促进IPv6技术演进和应用创新发展、增强IPv6规模部署和应用内生动力为目标,打造技术、网络、设备、应用、安全协同互促的产业生态,构筑下一代互联网创新发展新优势,积极助力制造强国、网络强国和数字中国建设,有力支撑经济社会高质量发展。
《关于加强新时代检察机关网络法治工作的意见》
【发布时间】2023/4/18
【发布单位】最高人民检察院
【概述要求】《意见》共6方面21条,围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,从网络立法、执法、司法、普法以及法治研究、队伍建设等方面,对加强新时代检察机关网络法治工作提出具体要求。
《关于调整网络安全专用产品安全管理有关事项的公告》
【发布时间】2023/4/12
【发布单位】国家互联网信息办公室、工信部、公安部、财政部、国家认监委
【概述要求】《公告》要求,加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测。
《关于开展网络安全服务认证工作的实施意见》
【发布时间】2023/3/25
【发布单位】市场监管总局、中央网信办、工信部、公安部
【概述要求】《实施意见》为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出以下意见。
《网信部门行政执法程序规定》
【发布时间】2023/3/18
【发布单位】国家互联网信息办公室
【概述要求】《规定》为了规范和保障网信部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。
《党和国家机构改革方案》
【发布时间】2023/3/16
【发布单位】中共中央、国务院
【概述要求】《方案》指出,组建国家数据局。负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
《数字中国建设整体布局规划》
【发布时间】2023/2/27
【发布单位】中共中央、国务院
【概述要求】《规划》指出,要强化数字中国关键能力。筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
《个人信息出境标准合同办法》
【发布时间】2023/2/22
【发布单位】国家互联网信息办公室
【概述要求】《办法》为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。
《关于进一步做好两用物项出口管制工作的通知》
【发布时间】2023/2/12
【发布单位】商务部
【概述要求】《办法》明确,核心机构和经营机构应当依法履行网络和信息安全保护义务,对本机构网络和信息安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。信息技术系统服务机构应当勤勉尽责,对提供产品或者服务的安全性、合规性承担责任。
《关于进一步鼓励外商投资设立研发中心的若干措施》
【发布时间】2023/1/11
【发布单位】商务部、科技部
【概述要求】《若干措施》为加快实施创新驱动发展战略,扩大国际科技交流合作,加大对外商投资在华设立研发中心开展科技研发创新活动的支持力度,更好发挥其服务构建新发展格局、推动高质量发展的积极作用,
《关于促进数据安全产业发展的指导意见》
【发布时间】2023/1/3
【发布单位】工业和信息化部等十六部门
【概述要求】数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态。为贯彻落实《中华人民共和国数据安全法》,推动数据安全产业高质量发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础,制定本意见。
重点行业政策
金融
《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》
【发布时间】2023/2/24
【发布单位】中国证监会 财政部 国家保密局 国家档案局
【概述要求】《规定》为保障国家经济安全,保护社会公共利益,规范中华人民共和国境内企业直接或者间接到境外发行证券或者将其证券在境外上市交易相关保密和档案管理工作,支持企业依法合规开展境外发行上市活动。
《商业银行金融资产风险分类办法》
【发布时间】2023/4/18
【发布单位】中国银行保险监督管理委员会、中国人民银行
【概述要求】《办法》为促进商业银行准确评估信用风险,真实反映金融资产质量,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》等法律法规,制定本办法。
《证券期货业网络和信息安全管理办法》
【发布时间】2023/1/17
【发布单位】证监会
【概述要求】《办法》为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展。
交通
《公路水路关键信息基础设施安全保护管理办法》
【施行时间】2023/6/1
【发布单位】交通运输部
【概述要求】《办法》为了保障公路水路关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规,制定本办法。
物流
《寄递服务用户个人信息安全管理规定(送审稿)》
【发布时间】2023/2/6
【发布单位】 国家邮政局
【概述要求】《规定》为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,
人工智能
《生成式人工智能服务管理办法(征求意见稿)》
【发布时间】2023/4/11
【发布单位】国家互联网信息办公室
【概述要求】为促进生成式人工智能健康发展和规范应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,制定本办法。
旅游
《关于推动在线旅游市场高质量发展的意见》
【发布时间】2023/3/24
【发布单位】文化和旅游部
【概述要求】《意见》为进一步加强在线旅游市场管理,保障旅游者合法权益,发挥在线旅游平台经营者整合交通、住宿、餐饮、游览、娱乐等旅游要素资源的积极作用,促进各类旅游经营者共享发展红利,推动旅游业高质量发展。
互联网
《互联网广告管理办法》
【发布时间】2023/2/25
【发布单位】市场监管总局
【概述要求】《办法》为了规范互联网广告活动,保护消费者的合法权益,促进互联网广告业健康发展,维护公平竞争的市场经济秩序。
《关于进一步提升移动互联网应用服务能力的通知》
【发布时间】2023/2/6
【发布单位】工信部
【概述要求】《通知》为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展。
《互联网信息服务深度合成管理规定》
【施行时间】2023/1/10
【发布单位】国家互联网信息办公室、工业和信息化部、公安部
【概述要求】《规定》为了加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,
地方政策规章
《四川省企业首席数据官制度建设指南(试行)(征求意见稿)》
【发布时间】2023/5/30
【发布单位】四川省经济和信息化厅
【概述要求】征求意见稿强调,企业首席数据官(CDO)的六项基本职责为数据系统规划、数据基础建设、数据综合管理、数据价值应用、数据安全保障、数据环境打造。
《中共甘肃省委甘肃省人民政府关于促进数据要素市场发展的实施意见》
【发布时间】2023/5/28
【发布单位】中共甘肃省委、甘肃省人民政府
【概述要求】意见提出促进数据要素市场发展的四项基本原则以及完善数据产权制度体系、促进数据交易流通机制、完善数据要素收益分配、强化数据要素安全治理四项主要任务。
《河南省加强数字政府建设实施方案(2023—2025年)》
【发布时间】2023/5/9
【发布单位】河南省人民政府
【概述要求】《实施方案》公布1个总体方案、3个专项方案和1个重点任务清单,为数字政府建设提供了发展蓝图和行动指引,明确牢固树立全省 “一盘棋”思想,以 “一朵云”为载体、“一张网”为链接、“一道墙”为防线,打造全省一体化高效运行的数字政府。
《江苏省数字政府建设2023年工作要点》
【发布时间】2023/4/27
【发布单位】江苏省人民政府办公厅
【概述要求】《工作要点》提出,强化安全技术支撑。建立健全数据分类分级保护制度,加强数据全生命周期安全管理和技术防护。强化安全可靠技术和产品应用,加强关键信息基础设施安全保护和网络安全等级保护,定期开展网络安全和密码应用检查,建立安全高效的跨网数据传输机制,提升网络、系统、数据安全技术防护水平。
《上海市数据交易场所管理实施暂行办法》
【施行时间】2023/4/21
【发布单位】上海市经济信息化委
【概述要求】《办法》强化安全保障。一是在资金安全上,本办法强调了数据交易场所“不碰钱”的原则,实行交易资金第三方结算制度,所有交易资金不进交易场所账户(第十九条);二是在数据安全上,要求数据交易场所遵循公开、公平、公正、安全原则,严格防范风险(第九条),要求数据交易场所的信息系统应当具备数据安全保护和数据备份措施,确保数据资料的安全(第十二条)。
《武汉市数据要素市场化配置改革三年行动计划(2023-2025年)》
【发布时间】2023/4/14
【发布单位】武汉市政府办公厅
【概述要求】按照《行动计划》,武汉市将从高标准夯实数据资源基础、创造性建立数据确权授权制度、高水平建设数据交易市场、创新性推进数据融合应用、高质量培育数据服务生态、体系化筑牢数据安全保障等六个方面发力,着力破除影响数据要素有序流通的体制机制障碍,构建数据基础制度,加快培育数据要素市场,保障数据要素安全,激活数据要素潜能,赋能数字经济高质量发展,促进全体市民共享数字经济发展红利,为打造全国数字经济一线城市提供强劲动力,助力建设国家中心城市和国际国内双循环的枢纽。
《全区一体化政务大数据体系建设工作方案》
【发布时间】2023/4/14
【发布单位】内蒙古自治区人民政府办公厅
【概述要求】《工作方案》提出,健全数据安全制度规范。贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,明确数据分类分级、安全审查等具体制度和要求。明确数据安全主体责任,按照“谁管理谁负责”和“谁使用谁负责”的原则,厘清数据流转全流程中各方权利义务和法律责任。围绕数据全生命周期制定访问权限控制、异常风险识别、安全风险处置、行为审计、数据安全销毁、指标评估等政务数据安全管理规范。
《江西省2023年数字政府建设工作要点》
【发布时间】2023/4/13
【发布单位】江西省人民政府办公厅
【概述要求】《工作要点》提出,认真落实数据分级分类保护、风险评估、检测认证等制度,加强关键信息基础设施安全保护、网络安全等级保护和密码应用安全性评估。建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系,强化安全可靠技术和产品应用,增强省市政务云一体化安全运营能力,定期开展网络安全检查和攻防演练,切实筑牢数字政府建设安全防线。
《广州市公共数据开放管理办法》
【发布时间】2023/4/11
【发布单位】广州市政务服务数据管理局
【概述要求】《办法》有以下制度创新:一是适度扩大开放范围,明确公共数据开放及管理行为的适用范围包括供水、供电、供气、通信、民航、铁路、道路客运、公共资源交易等提供公共服务的企事业单位,结合优化营商环境等要求,在合法有序前提下适度扩大公共数据开放的覆盖面。二是提出多元主体参与,鼓励企业、行业协会、科研机构、社会组织等依法主动开放自有数据,促进公共数据和非公共数据的多维度开放和融合应用,形成内容有别、各具特色、各有侧重的数据开放格局。
《2023年河南省大数据产业发展工作方案》
【发布时间】2023/4/3
【发布单位】河南省工业和信息化厅
【概述要求】《工作方案》提出,完善数据基础设施、培育数据要素市场、推动产业链现代化、优化产业发展生态、提升数智治理水平、完善安全保障体系六项重点任务和四项保障措施。其中安全保障方面,《方案》要求落实数据分类分级保护制度,研究建立数据要素合规公证、安全审查、监测预警等制度,探索建立覆盖数据全生命周期的数据安全体系。建设数据安全态势感知平台,提升对敏感数据泄露、违法跨境数据流动等安全隐患的监测、分析与处置能力,强化数据安全保障能力建设。
《苏州市数据条例》
【施行时间】2023/3/1
【发布单位】苏州市人民代表大会常务委员会
【概述要求】《条例》共七十条,设总则、数据资源、发展和应用、数据要素市场、促进和保障、数据安全、法律责任、附则八章,主要规定了建立健全数据治理体制机制、探索推进数据分类和价值实现等六个方面的内容。
《厦门经济特区数据条例》
【施行时间】2023/3/1
【发布单位】厦门市人民代表大会常务委员会
【概述要求】《条例》以整合数据资源为基础,以推动公共数据汇聚、共享、开放、开发为重点,以促进数据的市场要素化运行为关键,促进数据高效流通利用、赋能实体经济,推进数据治理机制建设,提升数字政府、数字经济、数字社会水平,为厦门市努力率先实现社会主义现代化提供有力法治保障。
《山西省工业和信息化领域网络与数据安全2023年行动计划》
【发布时间】2023/2/27
【发布单位】山西省工业和信息化厅
【概述要求】《行动计划》提出,推动80家重点联网工业企业完成网络安全分类分级系统定级,力争50家重点工业企业接入省级工业互联网安全态势感知平台,对10家数据安全风险防控重点企业开展监督检查。组织开展2023年全省工业企业网络与数据安全教育培训,举办网络与数据安全应急演练,工业企业网络与数据安全意识显著提升。
《新疆维吾尔自治区公共数据管理办法(试行)》
【发布时间】2023/2/22
【发布单位】新疆维吾尔自治区人民政府办公厅
【概述要求】《办法》明确,公共数据提供部门、公共数据使用部门、平台建设运维管理部门应遵循“谁提供、谁负责,谁使用、谁负责,谁流转、谁负责”的原则,按照国家信息安全等级保护、数据分类分级管理、密码应用安全保护要求,在公共数据资源共享开放全过程中加强安全传输、访问控制、授权管理、全流程审计等方面的安全管理和防护。
《深圳市数据产权登记管理暂行办法(征求意见稿)》
【发布时间】2023/2/20
【发布单位】深圳市发展和改革委员会
【概述要求】征求意见稿规定,数据产权登记以一项数据资源或数据产品为登记单位,每个登记单位拥有唯一的登记编号。根据征求意见稿规定,登记主体具有以下权利:(1)依照法律法规和合同约定享有相应的数据资源持有权、数据加工使用权和数据产品经营权;(2)经登记机构审核后,获取数据资源或数据产品登记证书、数据资源许可凭证,作为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁的重要依据。
《杭州市公共数据授权运营实施方案(试行)》
【发布时间】2023/2/17
【发布单位】杭州市数据资源管理局
【概述要求】《方案》明确将优先支持与民生紧密相关、行业增值潜力显著和产业战略意义重大的信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、企业登记监管等领域开展公共数据授权运营。
《上海市信息基础设施管理办法》
【发布时间】2023/2/15
【发布单位】上海市政府
【概述要求】《办法》规定,信息基础设施运营者应当按照国家和本市规定的要求和标准,承担信息基础设施的建设、维护、保护主体责任,提供符合要求的通信和信息服务。市经济信息化部门应当会同市通信管理、广播电视等部门建立信息基础设施安全联防工作机制,保证信息基础设施安全和网络畅通。信息基础设施运营者应当建立健全设施安全管理制度,落实安全保护措施,对设施进行经常性巡查、维护和管理。
《全省一体化政府大数据体系建设工作方案》
【发布时间】2023/2/9
【发布单位】江西省人民政府办公厅
【概述要求】《工作方案》提出健全完善管理体制机制、推进政务数据目录管理、强化政务数据归集治理、提升数据共享服务能力、推进公共数据资源开放利用、强化平台算力支撑能力、推动数据共享规范标准建立、加强数据安全保障八项重点工作。
《山东省数字政府建设实施方案》
【发布时间】2023/2/3
【发布单位】山东省人民政府
【概述要求】《实施方案》明确了6项重点工作任务,提出全面建设“五大体系”,引领驱动数字化发展。其中,“五大体系”包括高效协同的施政履职数字化工作体系、开放共享的数据资源体系、集约先进的基础支撑体系、系统完备的政策法规体系、立体可控的安全保障体系。
《西藏自治区网络信息安全管理条例》
【施行时间】2023/2/1
【发布单位】西藏自治区人民代表大会常务委员会
【概述要求】《条例》规定,发现网络重要信息安全隐患、线索或者发生网络信息安全事件,网信部门可以向有关单位发出预警通报。有关单位应当及时采取核查处置、执法监管、积极回应等措施,并将处置情况反馈网信部门;发现违法犯罪活动线索,应当同时报告公安机关。
《河北省一体化政务大数据体系建设若干措施》
【发布时间】2023/1/1
【发布单位】河北省人民政府办公厅
【概述要求】《若干措施》确定了建设一体化政务大数据体系的目标、总体架构,明确了统筹管理、数据目录、数据资源、共享应用、数据服务、算力设施、标准规范、安全保障8个方面“一体化”工作任务。
国家技术标准
《信息安全技术 电子凭据服务安全规范》
【标准号】GB/T 42589-2023
【发布日期】2023/5/23
【标准简介】本文件规定了电子凭据核发、开具、交付、存储、核准、查验、状态管理等服务的安全要求及测评方法。适用于电子凭据服务的设计、部署、提供和测评,也可为电子凭据服务监管提供参考。
《信息安全技术 信息安全风险管理实施指南》
【标准号】GB/T 24364-2023
【发布日期】2023/5/23
【标准简介】本文件确立了信息安全风险管理的实施框架,描述了信息安全风险管理的原则、保障机制、保障措施、能力和过程,提供了每个管理过程的实施要点和工作形式。适用于各类组织开展信息安全风险管理工作。
《信息安全技术 云计算服务安全能力要求》
【标准号】GB/T 31168-2023
【发布日期】2023/5/23
【标准简介】本文件规定了云服务商提供云计算服务时应具备的安全能力。适用于对云计算服务能力的建设、监督、管理和评估。
《信息安全技术 云计算服务安全指南》
【标准号】GB/T 31167-2023
【发布日期】2023/5/23
【标准简介】本文件提出了客户采用云计算服务的安全管理基本原则,给出了采用云计算服务的生命周期各阶段的安全管理和技术措施,提出了云计算服务安全管理原则和相关责任划分。适用于指导客户安全地采用云计算服务。
《信息安全技术 个人信息处理中告知和同意的实施指南》
【标准号】GB/T 42574-2023
【发布日期】2023/5/23
【标准简介】本文件给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤。适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。
《信息安全技术 可信执行环境服务规范》
【标准号】GB/T 42572-2023
【发布日期】2023/5/23
【标准简介】本文件确立了可信执行环境服务的技术框架体系,并规定了相关安全技术要求及测试评价的方法。适用于可信执行环境服务的设计、开发、测试等,设备制造商、系统软件提供商、检测机构和科研机构等可信执行环境服务参与方可参照使用。
《信息安全技术 政务网络安全监测平台技术规范》
【标准号】GB/T 42583-2023
【发布日期】2023/5/23
【标准简介】本文件规定了政务网络安全监测平台的通用技术要求、扩展技术要求以及测试评价方法。适用于政务网络安全监测平台的设计、建设、运维和测试评价。
《信息安全技术 区块链信息服务安全规范》
【标准号】GB/T 42571-2023
【发布日期】2023/5/23
【标准简介】本文件规定了区块链信息服务提供者的安全技术要求和安全管理要求,描述了相应测试评估方法和检查评估方法。适用于对区块链信息服务开展安全建设、安全运行、安全管理和安全评估等服务。
《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》
【标准号】GB/T 42582-2023
【发布日期】2023/5/23
【标准简介】本文件规定了依据GB/T 35273—2020开展移动互联网应用程序个人信息安全测评的测评流程以及对各项安全要求进行测评的方法。适用于指导第三方测评机构对移动互联网应用程序个人信息安全进行测评,以及主管监管部门对移动互联网应用程序个人信息安全进行监督管理,移动互联网应用程序运营者开展个人信息安全自评时参照执行。
《信息安全技术 区块链技术安全框架》
【标准号】GB/T 42570-2023
【发布日期】2023/5/23
【标准简介】本文件给出了区块链技术安全框架,该框架包括区块链密码支撑、区块链安全功能组件、区块链安全管理运行和区块链角色安全职责等部分。适用于指导区块链业务提供者在区块链设计、开发、部署、管理和运维的过程中进行整体规划和安全框架设计,也可为开展区块链安全评估提供参考。
《信息安全技术 边缘计算安全技术要求》
【标准号】GB/T 42564-2023
【发布日期】2023/5/23
【标准简介】本文件规定了边缘计算安全框架以及安全框架下的基础设施安全、网络安全、应用安全、数据安全、安全运维、安全支撑、端边协同安全、云边协同安全技术要求。适用于指导边缘计算提供者和边缘计算开发者开展边缘计算的研发、测试、部署和运营。
《信息安全技术 网络入侵防御产品技术规范》
【标准号】GB/T 28451-2023
【发布日期】2023/5/23
【标准简介】本文件规定了网络入侵防御产品的安全技术要求和测评方法,并进行了等级划分。本文件适用于网络入侵防御产品的设计、开发、测试和评价。
《信息安全技术 网络安全审计产品技术规范》
【标准号】GB/T 20945-2023
【发布日期】2023/5/23
【标准简介】本文件规定了网络安全审计产品的技术要求并描述了测评方法。适用于网络安全审计产品的设计、开发、测试和评价。
《信息安全技术 反垃圾邮件产品技术规范》
【标准号】GB/T 30282-2023
【发布日期】2023/5/23
【标准简介】本文件规定了反垃圾邮件产品的技术要求,并描述了对应的测试评价方法。适用于对反垃圾邮件产品的研制、测试和评价,以及用于指导产品的使用和管理。
《信息安全技术 网络安全事件分类分级指南》
【标准号】GB/T 20986-2023
【发布日期】2023/5/23
【标准简介】本文件描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等活动。
《信息技术 安全技术 信息安全管理体系指南》
【标准号】GB/T 31496-2023
【发布日期】2023/5/23
【标准简介】本标准描述了ISMS规范及其设计的过程,从开始到产生实施计划。本标准为实施ISMS描述了获得管理者批准的过程,为实施ISMS定义了一个项目(本标准称作ISMS项目),并就如何规划该ISMS项目提供了相应的指导,产生最终的ISMS项目实施计划。
《信息安全技术 网络身份服务安全技术要求》
【标准号】GB/T 42573-2023
【发布日期】2023/5/23
【标准简介】本文件确立了面向自然人的网络身份服务的参与方和模型,规定了网络身份服务安全级别和安全技术要求。适用于面向自然人的网络身份服务的设计、开发、部署和应用。
《信息安全技术 电子政务移动办公系统安全技术规范》
【标准号】GB/T 35282-2023
【发布日期】2023/5/23
【标准简介】本文件规定了电子政务移动办公系统的移动终端安全、移动通信安全、移动接人安全、服务端安全和系统安全管理等各部分技术要求,给出了测试评价方法。适用于电子政务移动办公系统的安全设计、建设实施、安全管理和测试评价。
《信息安全技术 行业间和组织间通信的信息安全管理》
【标准号】GB/T 32920-2023
【发布日期】2023/5/23
【标准简介】本标准给出了信息安全管理体系(ISMS)标准族的补充指南,用于在信息共享团体中实现信息安全管理。
《信息安全技术 电信领域数据安全指南》
【标准号】GB/T 42447-2023
【发布日期】2023/3/17
【标准简介】本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施,及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。适用于指导电信数据处理者开展数据安全保护工作,也适用于指导第三方机构开展电信数据安全评估工作。
《工业自动化和控制系统信息安全 产品安全开发生命周期要求》
【标准号】GB/T 42589-2023
【发布日期】2023/3/17
【标准简介】本文件规定了用于工业自动化和控制系统产品的信息安全开发的过程要求。它定义了一个用于开发和维护安全的产品的安全开发生命周期(SDL)。这个生命周期包括安全需求定义、安全设计、安全实现(包括编码准则)、验证和确认,缺陷管理、补丁管理和产品退役。这些需求可以应用于新的或现有的过程,以开发、维护和淘汰新的或现有的产品硬件、软件或固件。这些需求适用于产品的开发人员和维护人员,但不适用于产品的集成人员或用户。
《工业自动化和控制系统信息安全 IACS组件的安全技术要求》
【标准号】GB/T 42456-2023
【发布日期】2023/3/17
【标准简介】本文件提供了与IEC TS 62443-1-1中描述的七个基本要求(FR)相关的详细的技术控制系统组件要求(CR),包括定义控制系统能力安全等级和其组件SL-C(组件)的要求。
《信息安全技术 网络安全态势感知通用技术要求》
【标准号】GB/T 42453-2023
【发布日期】2023/3/17
【标准简介】本文件给出了网络安全态势感知技术框架,规定了该框架中核心组件的通用技术要求。适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。
《信息安全技术 个人信息去标识化效果评估指南》
【标准号】GB/T 42460-2023
【发布日期】2023/3/17
【标准简介】本文件规定了电子凭据核发、开具、交付、存储、核准、查验、状态管理等服务的安全要求及测评方法。适用于电子凭据服务的设计、部署、提供和测评,也可为电子凭据服务监管提供参考。
《信息安全技术 IPSec VPN安全接入基本要求与实施指南》
【标准号】GB/T 32922-2023
【发布日期】2023/3/17
【标准简介】本文件规定了IPSec VPN安全接入应用过程中网关、客户端、安全管理以及密码应用等方面的基本要求,提供了采用IPSec VPN技术实现安全接入的典型场景和实施过程指南。
《信息安全技术 公钥基础设施 PKI系统安全测评方法》
【标准号】GB/T 21054-2023
【发布日期】2023/3/17
【标准简介】本文件依据GB/T 21053—2023规定了PKI系统的安全测评方法,包括安全功能测评方法和安全保障要求测评方法。适用于PKI系统的安全测评。
《信息安全技术 公钥基础设施 PKI系统安全技术要求》
【标准号】GB/T 21053-2023
【发布日期】2023/3/17
【标准简介】本文件将PKI系统的安全级别划分为基本级和增强级,规定了相应安全级别的安全功能要求和安全保障要求。适用于 PKI系统的研发,PKI系统产品的测评和采购参照使用。
《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》
【标准号】GB/T 20274.1-2023
【发布日期】2023/3/17
【标准简介】本文件给出了信息系统安全保障的基本概念和模型,提出了信息系统安全保障评估框架。本文件适用于指导系统建设者、运营者、服务提供者和评估者等开展信息系统安全保障工作。
《信息安全技术 公共域名服务系统安全要求》
【标准号】GB/T 33134-2023
【发布日期】2023/3/17
【标准简介】本文件规定了公共域名服务系统的安全技术要求和安全管理要求。适用于各级公共域名服务系统的运营和管理。
《信息安全技术 网络安全服务成本度量指南》
【标准号】GB/T 42461-2023
【发布日期】2023/3/17
【标准简介】本文件确立了网络安全服务成本构成,提供了网络安全服务成本度量指南。本文件中的网络安全服务成本不包含利润。适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动,其他相关方参考使用。
《信息安全技术 网络安全从业人员能力基本要求》
【标准号】GB/T 42446-2023
【发布日期】2023/3/17
【标准简介】本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。本文件适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。
重点领域报告
《生成式大模型安全与隐私白皮书》
【发布时间】2023/6/6
【发布单位】之江实验室基础理论研究院
【内容简介】《白皮书》全面总结了 ChatGPT 为代表的生成式大模型的安全与隐私问题白皮书,希望能够为从事安全问题研究的技术人员指明方向,同时也为 AI 相关政策的制定者提供依据。
《5G工厂网络安全白皮书》
【发布时间】2023/5/29
【发布单位】中国联通研究院
【内容简介】《白皮书》在深入研究5G网络、工控领域网络及工业企业数字转型遇到的安全问题,通过总结工业领域在新型工业化进程中的安全挑战,提出5G工厂网络安全参考架构,并对5G工厂安全所涉及的多种关键技术给出了详细介绍,为各行业、各企业开展5G工厂安全建设提供参考。
《人工智能安全标准化白皮书(2023版)》
【发布时间】2023/5/29
【发布单位】全国信息安全标准化技术委员会
【内容简介】《白皮书》梳理了人工智能技术与应用发展现状,分析了人工智能面临的新的安全风险,结合国内外人工智能安全政策与标准现状,指出了人工智能安全标准需求,提出了下一步开展人工智能安全标准化工作的建议,为规范引导人工智能安全标准化工作提供参考。
《数据安全治理白皮书5.0》
【发布时间】2023/5/18
【发布单位】中关村网络安全与信息化产业联盟、数据安全治理专业委员会
【内容简介】《白皮书》系统、全面地对数据安全治理相关内容进行了研究和探索,综合解读了监管政策法规及安全事件,梳理厘清了协同治理的相关概念与内涵,深入剖析了数据安全治理面临的挑战与治理方法论,整体架构了战略指导下的管理、技术、运营相结合的治理框架,体系化描述了各类监测与防护技术,列举了丰富的行业实践案例并建设性地提出了数据安全治理未来的发展和倡议。
《商用密码技术最佳实践白皮书》
【发布时间】2023/4
【发布单位】龙蜥社区
【内容简介】《白皮书》将商密软件栈 SIG 的技术和案例的沉淀做了整理汇总,从社区、案例、技术全方位介绍了商用密码生态,为商密行业贡献出力量。
《金融业商用密码技术应用发展报告(2021-2022)》
【发布时间】2023/3/22
【发布单位】北京金融信息化研究所
【内容简介】《报告》简要介绍了金融业商用密码技术应用的研究背景,从生态建设与实践探索两方面描述了金融业商用密码的发展实践情况,分析商用密码金融应用面临的风险挑战,提出对应的建议,并总结了金融机构在商用密码建设方面共十余个典型案例,供行业参考。
《隐私计算金融应用白皮书(2022)》
【发布时间】2023/3/22
【发布单位】北京金融信息化研究所
【内容简介】《白皮书》共分为两个篇章。一是行业研究篇,介绍了隐私计算的研究背景,分别从产业侧、应用侧和产学研用生态侧三个角度描述了隐私计算的应用情况,总结了隐私计算在金融业应用过程中的风险与挑战,并提出有效、切实的建议;二是典型案例篇,汇总了金融机构及产业机构等在风险防控、精准营销、产品创新等领域的共20个隐私计算典型应用案例。
《金融行业数据安全治理案例汇编(2022年)》
【发布时间】2023/3
【发布单位】数据安全推进计划金融工作组
【内容简介】《报告》选取了来自不同规模、不同类型的金融机构的数据安全治理典型案例,详述了各类型金融机构开展数据安全治理工作的建设思路、整体解决方案或体系架构,并归纳了各项建设方案的主要亮点,期望通过这种方式,为不同类型金融机构的数据安全建设提供有益参考。
《北京商用密码发展报告(2021年)》
【发布时间】2023/3
【发布单位】北京商用密码行业协会
【内容简介】《报告》旨在分析商用密码产业在北京市国计民生中发挥的重要价值,理清北京商密供给侧、需求侧、监管侧、生态侧的产业现状,展望北京商密产业未来发展蓝图。《报告》通过阐述全国和北京数字经济发展情况,并结合产业需求及监管法律政策要求,引出商用密码在数字经济中发挥的关键作用和重要意义,进一步分析商用密码对于首都北京数字安全屏障的核心价值,共同把握商用密码发展的历史机遇。
《数据要素安全流通白皮书》
【发布时间】2023/2/25
【发布单位】国家工业信息安全发展研究中心、华东江苏大数据交易中心、国家金融科技测评中心
【内容简介】《白皮书》以数据流通过程中的“安全”为核心,从数据资源流通、数据交易市场、数据资产管理等维度剖析了当前我国数据要素安全流通过程中面临的挑战,并给出了数据安全流通的实践建议,为推动数据要素市场建设和高效利用、培育经济发展新动能提供了重要参考。
《2022广东省数字政府网络安全指数评估报告》
【发布时间】2023/2
【发布单位】广东省“数字政府”改革建设工作领导小组办公室
【内容简介】《报告》是广东省“数字政府”改革建设工作领导小组办公室组织编写的第 3 部反映广东省数字政府网络安全体系建设状况的研究报告。报告以调查评估数据为基础,梳理分析当前广东省各地市数字政府网络安全的安全现状、存在问题和工作亮点,推动、指引各地市持续加强网络安全体系建设,推动全省数字政府网络安全工作迈上新台阶、实现新跃升。
《2023电力行业商用密码应用白皮书》
【发布时间】2023/2
【发布单位】公安部第三研究所、中国电力科学研究院、国网浙江省电力有限公司杭州供电公司、杭州市商用密码应用协会、东进技术、数观天下等12家单位
【内容简介】《白皮书》聚焦电力行业典型场景,结合商用密码发展趋势,围绕电力行业重要信息系统,以及云计算、大数据、物联网、5G等新技术赋能下电力行业应用,分析电力行业商用密码应用现状和需求,研判商用密码应用推进过程中面临的问题和挑战,并提出推进建议,以期为电力行业商用密码应用主管部门、从业单位提供参考。
《数据要素白皮书》
【发布时间】2023/1/7
【发布单位】中国信通院
【内容简介】《报告》把握数据要素市场化发展的主线,以数据要素价值创造为理论起点,以解决我国数据要素市场培育的瓶颈问题为基本导向,通过理论、案例、比较等分析手段,初步给出了一套破解我国数据要素市场难题的技术、市场和制度思路与方案。
《2022年数据安全行业调研报告》
【发布时间】2023/1
【发布单位】中国信息通信研究院
【内容简介】《报告》对数据安全需求侧与供应侧的数据安全发展现状进行调研,并形成的报告,旨在梳理数据安全行业建设现状,形成数据安全行业整体视图。
《2022年DDoS攻击威胁报告》
【发布时间】2023/1
【发布单位】腾讯安全、电信安全、绿盟
【内容简介】《扱告》从攻告频率、强度、手段、区域、行业等多个维度对近一年的DDoS攻击发展态势迸行分析,总结其防护思路。
《2022年工业控制网络安全态势白皮书》
【发布时间】2023/1
【发布单位】之江实验室基础理论研究院
【内容简介】《白皮书》全面总结了 ChatGPT 为代表的生成式大模型的安全与隐私问题白皮书,希望能够为从事安全问题研究的技术人员指明方向,同时也为 AI 相关政策的制定者提供依据。
为了共同推动数据安全产业发展,欢迎行业同仁加入“[炼石】数据安全法规圈”微信群,探讨数据安全领域的政策动态和合规要求。
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全058”,即可打包下载91项2023年上半年网络与数据安全政策文件。
注:由于部分国家标准采用了ISO、IEC等国际国外组织的标准,鉴于版权保护问题,故有3项国标(总31项)无法提供文件下载。