盘点|2021年,网络安全从业者必须知道的政策法规

congtoucongtou 最新资讯 2年前
5.76W 0
华盟原创文章投稿奖励计划

 2021年是“十四五”开局之年,也是数字化、信息化高速发展元年,期间我国各级政府继续高度重视网络安全工作,在各行业相继发布了发展规划,并在关键信息基础设施、数据安全与个人信息保护、工业互联网、车联网、物联网等多个领域密集出台了多项网络安全法律法规和政策文件,有效促进了网络安全领域的技术创新和应用落地,为筑牢国家网络安全屏障、推进网络强国建设提供了有力支撑。

一、数据安全与个人信息保护

01《常见类型移动互联网应用程序必要个人信息范围规定》

2021年3月12日,网信办、工信部、公安部、市场监管总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)

《规定》旨在落实《网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。并明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围。

02《交通运输政务数据共享管理办法》

2021年4月16日,交通运输部发布了《交通运输政务数据共享管理办法》(交科技发〔2021〕33号)

《办法》旨在进一步落实党中央、国务院关于政务数据共享工作要求,更加有效规范交通运输政务数据共享工作。《办法》共六章26条,其中要求政务部门应建立健全政务数据安全保障机制,落实安全管理责任和数据分类分级要求,切实保障政务数据采集、存储、传输、共享和使用安全。

03《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿)

2021年4月26日,工信部公开对《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿)进行意见征集

《规定》明确了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业及网络接入服务提供者在从事App个人信息处理活动应当履行的个人信息保护义务,提出投诉举报、监督检查、处置措施、风险提示等四方面规范要求。

04《中华人民共和国数据安全法》

 2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》

《数据安全法》是我国数据安全领域的基础性法律,其完善了国家数据安全工作体制机制,规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责,并提出建立国家数据安全工作协调机制。标志着我国在数据安全领域有法可依,为各行业数据安全提供监管依据。

盘点|2021年,网络安全从业者必须知道的政策法规

05《中华人民共和国个人信息保护法》

2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》。

《个人信息保护法》对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等做出了明确和可操作的规定。

06《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》

2021年9月30日,工信部公开对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》进行意见征集

《办法》通过总则;数据分类分级管理;数据全生命周期安全管理;数据安全监测预警与应急管理;数据安全检测、评估与认证管理;监督检查;法律责任;附则等八部分内容对工业和信息化领域的数据处理活动进行了规范。

07《数据出境安全评估办法(征求意见稿)》

2021年10月29日,网信办发布《数据出境安全评估办法(征求意见稿)》公开征求意见

《办法》指出数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据应当进行安全评估,且数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。

08《网络数据安全管理条例(征求意见稿)》

 2021年11月14日,网信办公开对《网络数据安全管理条例(征求意见稿)》进行意见征集

《条例》规定了国家建立数据分类分级保护制度。明确了在中华人民共和国境内利用网络开展数据处理活动的一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理及法律责任等安全管理要求。

09《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》

2021年12月22日,工信部公开对《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》进行意见征集

《指引》规定了数据安全风险信息报送的渠道及管理方式,要求支撑单位对风险信息进行分类、研判、整理,及时分析总结风险信息报送与共享情况,并向工业和信息化部网络安全管理局报送。

二、关键信息基础设施保护

1、《关键信息基础设施安全保护条例》

《条例》明晰了关键信息基础设施的定义,明确了保护工作部门的职责,强化了运营者的安全管理主体责任,规定了国家保障和促进措施,确立了监督管理体制。《条例》是对《网络安全法》确立的关键信息基础设施安全保护制度的细化完善,有助于构建多方尽责、共同协作的关键信息基础设施安全防护体系,更好地应对网络安全风险挑战。

2、《网络安全审查办法》

    《办法》是对2020年4月13日发布的《网络安全审查办法》进行修订,该办法旨在确保关键信息基础设施供应链安全,维护国家安全。自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。

三、发展规划

01《网络安全产业高质量发展三年行动计划

(2021-2023年)(征求意见稿)》

 《行动计划》提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。提升中小企业、重点行业和关键行业基础设施网络安全防护水平,电信等重点行业网络安全投入占信息化投入比例达 10%。网络安全关键核心技术实现突破,加快新兴技术与网络安全的融合创新,增强网络安全产品和服务创新能力,初步形成具有网络安全生态引领能力的领航企业。

02《“十四五”信息通信行业发展规划》

《规划》提出在安全保障体系和能力建设方面,着力完备网络基础设施保护和网络数据安全体系,持续提升新型数字基础设施安全管理水平,打造繁荣发展的网络安全产业和可信的网络生态环境,全面提升行业网络安全应急处置,构建国家网络安全新格局等6项重点任务,以支撑国家网络安全新格局形成。

03《“十四五”软件和信息技术服务业发展规划》
《规划》要求,在安全保障方面,要强化安全服务保障开展软件数据安全、内容安全评估审查,加强软件源代码检测和安全漏洞管理能力,提升开源代码、第三方代码使用的安全风险防控能力。鼓励第三方服务机构,积极提升软件安全咨询、培训、测试、认证、审计、运维等服务能力。

04《“十四五”大数据产业发展规划》
《规划》明确将开展数据安全铸盾行动,加强数据安全管理能力。推动建立数据安全管理制度,制定相关配套管理办法和标准规范,组织开展数据分类分级管理,制定重要数据保护目录,对重要数据进行备案管理、定期评估与重点保护。并加强数据跨境安全管理。

05《“十四五”国家信息化规划》

《规划》以数字化为核心,提出了7大发展目标,部署了10项重大任务,其中,在安全方面,强调要坚持安全和发展并重,以实现网络空间治理能力和安全保障能力显著增强为目标,深化关口前移、防患于未然的安全理念,加强网络安全信息统筹机制建设,开发网络安全技术及相关产品,提升网络安全自主防御能力。

06《“十四五”智能制造发展规划》

《规划》要求加强智能制造安全风险研判,同步推进网络安全、数据安全和功能安全,推动密码技术深入应用。实施企业网络安全分类分级管理,督促企业落实网络安全主体责任。完善国家、地方、企业多级工控信息安全监测预警网络,加快建设工业互联网安全技术监测服务体系。探索建立数据跨境传输备案与监管机制。建立符合政策标准要求的技术防护体系和安全管理制度。

07《“十四五”新型基础设施建设规划》

国务院总理李克强主持召开国务院常务会议,审议通过“十四五”新型基础设施建设规划。会议指出,“十四五”时期科学布局和推进建设以信息网络为基础、技术创新为驱动的新型基础设施,有利于促进稳增长、调结构、惠民生。具体提出五项内容,分别是:1)加强信息基础设施建设;2)稳步发展融合基础设施;3)推动大学、科研院所和高新技术企业等深度融合,增强高水平交叉前沿性研究能力;4)鼓励多元投入、推进开放合作;5)建立完善安全监管体系,增强安全保障能力。

08《“十四五”推动高质量发展的国家标准体系

建设规划》

《建设规划》由国家标准化管理委员会、中央网信办、科技部、商务部等十部门联合印发,提出推动关键信息基础设施安全保护、数据安全、个人信息保护、数据出境安全管理、网络安全审查、网络空间可信身份、网络产品和服务、供应链安全、5G安全、智慧城市安全、物联网安全、工业互联网安全、车联网安全、人工智能安全等重点领域国家标准研制,完善网络安全标准体系,支撑网络强国建设。

四、工业互联网

1、《工业互联网创新发展行动计划

(2021-2023年)》

   《计划》提出从四个方面加强工业互联网网络安全工作。一是落实企业主体责任,实施分类分级管理;二是强化产业协同,推进供给侧加快创新;三是加强示范引领,促进安全产业发展壮大;四是坚持专项带动,提升安全技术监测服务能力。

2、《工业互联网标识管理办法》

   《办法》要求标识服务机构应当落实网络与信息安全保障措施,具备相应的技术、服务和网络安全保障能力和专业人员,并明确专门的责任部门与责任人。还应当建立网络安全防护技术手段,依法记录并留存相关日志记录,保障标识服务系统安全

3、《工业互联网综合标准化体系建设指南(2021版)》

    《指南》从工业互联网技术与产业发展现状出发,提出了进一步建立健全,加快构建统一、融合、开放的工业互联网标准体系的总体要求,明确了工业互联网标准体系包括基础共性、网络、边缘计算、平台、安全、应用等六大部分,并分别给出了具体的标准建设内容。

五、车联网

1、《国家车联网产业标准体系建设指南(智能交通相关)》

公安部在16个城市试点基础上,在全国分两批推广机动车检验标志电子化。

2、《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)

公安部在16个城市试点基础上,在全国分两批推广机动车检验标志电子化。

3、《汽车数据安全管理若干规定(试行)》(第7号令)

公安部在16个城市试点基础上,在全国分两批推广机动车检验标志电子化,为机动车所有人、驾驶人以及相关行业和管理部门提供电子证照服务。

4、《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》

《通知》旨在推进实施《新能源汽车产业发展规划(2021-2035年)》,加强车联网网络安全和数据安全管理工作。提出了落实网络安全和数据安全基本要求、加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系6方面要求。

5、《关于进一步加强新能源汽车安全体系建设的指导意见》(征求意见稿)

《指导意见》中要求新能源汽车生产企业应建立健全新能源汽车安全运行监测平台,平台应具有网络安全、数据安全防护能力,具备完整的安全访问日志记录、预警、审计功能和相应的处理机制。

六、物联网

01

1.《物联网新型基础设施建设三年行动计划(2021-2023年)》

    《行动计划》要求加快物联网安全监测、预警分析和应对处置技术手段建设,加快物联网领域商用密码技术和产品的应用推广,开展物联网基础安全“百企千款”产品培育计划,建设安全公共服务平台,开展安全能力评估,加速推进全面感知、泛在连接、安全可信的物联网新型基础设施建设。

02

2.《物联网基础安全标准体系建设指南(2021版)》

    《指南》要求,围绕物联网基础设施和重点行业应用,加快推进基础通用、关键技术、试验方法等重点和急需标准制定,及时满足物联网产业的安全需求。提出了物联网基础安全标准体系包括总体安全、终端安全、网关安全、平台安全、安全管理等五大类标准。

七、漏洞管理

1、《网络产品安全漏洞管理规定》

    《规定》规范了漏洞发现、报告、修补和发布等行为,明确了网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务,并鼓励发现网络产品安全漏洞的组织或者个人积极报送网络产品安全漏洞信息。

2、《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》

    《办法》为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》,规范网络产品安全漏洞收集平台备案管理,适用于中华人民共和国境内的网络产品安全漏洞收集平台的备案管理工作。

八、IPv6

1、《IPv6流量提升三年专项行动计划(2021-2023年)》

    《行动计划》围绕IPv6流量提升总体目标,明确了未来三年的重点发展任务,要求大力促进IPv6新技术与经济社会各领域融合创新发展,同步推进网络安全系统规划、建设、运行,促进IPv6各关键环节整体提质升级。

2、《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》

    《通知》强调要以全面推进IPv6技术创新与融合应用为主线,以提升应用广度深度为主攻方向,着力建设开放创新的技术体系、性能先进的设施体系、全面覆盖的应用体系、生态良好的产业体系、系统完备的标准体系、自主可控的安全体系。

九、信息服务

01

《互联网信息服务管理办法(修订草案征求意见稿)》

《办法》指出,互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。

02

《关于加强互联网信息服务算法综合治理的指导意见》

《意见》提出要逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局,其中,鼓励组织积极开展算法安全评估。建立专业技术评估队伍,深入分析算法机制机理,评估算法设计、部署和使用等应用环节的缺陷和漏洞,研判算法应用产生的意识形态、社会公平、道德伦理等安全风险,提出针对性应对措施。03

《互联网信息服务算法推荐管理规定》(第9号令)

《规定》明确算法推荐服务提供者应当落实算法安全主体责任,建立健全用户注册、信息发布审核、数据安全和个人信息保护、安全事件应急处置等管理制度和技术措施,定期审核、评估、验证算法机制机理、模型、数据和应用结果等,制定并公开算法推荐相关服务规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

04

《互联网用户公众账号信息服务管理规定》

《管理规定》由国家互联网信息办公室发布,共23条,包括公众账号信息服务平台信息内容和公众账号管理主体责任、公众账号生产运营者信息内容生产和公众账号运营管理主体责任、真实身份信息认证、分级分类管理、行业自律、社会监督及行政管理等条款。规定要求,公众账号信息服务平台要履行企业主体责任,建立公众账号分级分类管理、生态治理、著作权保护、信用评价等制度,切实维护平台内容安全、账号安全、数据安全和个人信息安全。

十、行业数字化建设

教育:

1、《高等学校数字校园建设规范(试行)》

《规范》对高等学校数字校园建设各方面内容提出通用要求,并明确高等学校网络安全工作应遵守《中华人民共和国网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的相关要求。

2、《关于提高高等学校网络管理和服务质量的通知》

《通知》提出,高等学校应严格落实各项安全防护要求,建立网络流量监测机制,及时识别网络攻击行为、屏蔽不良网络信息,提升校园局域网安全态势感知能力;健全应急管理机制,建立网络安全事件协同处置机制,确保各类网络故障和安全事件得到快速响应、有效处置。

交通:

1、《交通运输领域新型基础设施建设行动方案(2021—2025年)》

《行动方案》在网络安全方面,强调要加强网络安全保护。主要是严格落实等级保护制度,加强关键信息基础设施保护,强化态势感知能力建设,保障数据共享安全可控。建立健全数据安全保护制度,加强基础设施数据全生命周期管理和分级分类保护,落实数据容灾备份措施。推进商用密码技术应用。

金融:

1、《关于规范金融业开源技术应用与发展的意见》

《意见》指出金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。

2、《征信业务管理办法(征求意见稿)》

中国人民银行发布的《征信业务管理办法(征求意见稿)》指出,个人征信机构、保存或处理50万户以上企业信用信息的企业征信机构,应当符合以下要求:1)系统测评为国家信用信息安全等级保护三级或三级以上;2)设立信息安全负责人,由公司章程规定的高级管理人员担任;3)设立专职部门,负责管理信息安全工作,定期检查有关业务及征信系统的安全管理制度及措施执行情况。

3、《网络交易监督管理办法》

《网络交易监督管理办法》由市场监管总局制定出台,是贯彻落实《电子商务法》的重要部门规章。针对个人信息保护问题,《办法》规定了网络交易经营者应当明示收集、使用消费者个人信息的目的、方式和范围,并经消费者同意;不得强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息;在收集、使用个人敏感信息前,必须逐项取得消费者同意;未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。 

电信:

1.《“双千兆”网络协同发展行动计划(2021-2023年)》

工业和信息化部印发《“双千兆”网络协同发展行动计划(2021-2023年)》(工信部通信〔2021〕34号。《计划》提出用三年时间,基本建成全面覆盖城市地区和有条件乡镇的“双千兆”网络基础设施,实现固定和移动网络普遍具备“千兆到户”能力。在提升网络安全防护能力方面提出,推动网络安全能力与“双千兆”网络设施同规划、同建设、 同运行,提升网络安全、数据安全保障能力。督促相关企业落实网络安全主体责任,建立健全 安全管理制度、工作机制,开展网络安全风险评估和隐患排查,及时防范网络、设备、物理环 境、管理等多方面安全风险,不断提升网络安全防护能力。

2、《反电信网络诈骗法(草案)》

中国人大网公布《反电信网络诈骗法(草案)》,共7章39条,主要涵盖6方面内容。其中,第二十七条第一款指出,国家支持电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者研究开发有关电信网络诈骗反制技术措施,用于监测、识别和处置涉诈信息、活动。

医疗:

1、《互联网诊疗监管细则(征求意见稿)》

《互联网诊疗监管细则(征求意见稿)》由国家卫生健康委发布。《细则》规定,医疗机构应当建立网络安全、个人信息保护、数据使用管理等制度,并与相关合作方签订协议,明确各方权责关系。医疗机构应当加强互联网发布信息的内容管理,确保信息合法合规、真实有效。省级监管平台和医疗机构用于互联网诊疗平台应当实施第三级及以上信息安全等级保护。

2、《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》

《意见》指出到2022年,我国基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。

各地方也出台了相应的政策法规:

  • 北京市:《2021年北京市教育信息化和网络安全工作要点》

  • 上海市:《上海市公安局关于网络安全管理行政处罚的裁量基准》、《上海市数据条例》

  • 深圳市:《深圳经济特区数据条例》

  • 浙江省:《浙江省数字经济促进条例》、《浙江省信息通信业发展“十四五”规划》

  • 广东省:《广东省人民政府办公厅关于印发广东省数字政府改革建设2021年工作要点的通知》、《广东省数字经济促进条例》

  • 吉林省:《吉林省促进大数据发展应用条例》

  • 湖北省:《湖北省政务数据资源应用与管理办法》

  • 山东省:《关于促进山东省网络安全产业发展的指导意见》、《山东省大数据发展促进条例》

  • 安徽省:《安徽省国民经济和社会发展第十四个五年规划和2035年远景目标纲要》、《安徽省大数据发展条例》

  • 河北省:《河北省法治社会建设实施方案(2021—2025年)》

  • 河南省:《河南省国民经济和社会发展第十四个五年规划和 二〇三五年远景目标纲要的通知》、

  • 福建省:《福建省大数据发展条例》

  • 湖南省:《湖南省网络安全和信息化条例》

在不断成熟、持续完善的网络安全法律法规、政策文件的加持和保障下,我国网络安全产业在“十四五”期间必将迎来高速增长。

文章来源:部分内容来源于网络及炼石网络CipherGateway

政策法规(2),网络安全(682)
本文来源炼石网络CipherGateway,经授权后由congtou发布,观点不代表华盟网的立场,转载请联系原作者。
congtou官方
congtou

3.20K篇文章 142.09M总阅读量

相关文章

发表评论