亚信安全在对2023年国内网络安全政策的持续跟踪和研究基础上进行了详细分析。观察整体态势,本年度网络安全政策的发布呈现出高密度特征,共计引起行业高度关注的政策达50余项。数据安全领域、个人信息保护和数据跨境安全成为关注的热点,分别有7项、6项、6项政策围绕这些议题展开。数字中国和行业安全类别的政策也都突出了数据安全的重要性,反映了当前推动数据资源转化为经济新优势的大背景下,数据安全正在从传统网络安全中逐渐独立出来的趋势。
同时,传统网络安全领域的重要性愈加凸显,以网络安全为核心的政策数量达到12项,而涉及行业安全的政策更是高达13项,位居首位。这表明了将网络安全与业务融合、并通过安全促进发展的理念已经获得了更广泛的认可。此外,密码安全和人工智能成为今年网络安全政策的另两个重点领域。尽管相关政策数量不多,但每一项都具有潜在的行业全局性影响力。值得注意的是,数字中国领域也推出了多项重要政策,均涵盖了网络数据安全保障体系建设的内容,强调建立可信赖的数字安全防线。
亚信安全解读
在传统网络安全领域,最值得关注的当属《关于调整网络安全专用产品安全管理有关事项的公告》、《关于调整<网络关键设备和网络安全专用产品目录>的公告》以及《关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告》,此三个政策标志着网络安全专用产品从目录制向认证制的转型,停止颁发《计算机信息系统安全专用产品销售许可证》,相关产品基于《信息安全技术 网络安全专用产品安全技术要求》新标准的统一检测认证工作启动实施,此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。此次调整将成为引导网络安全厂商乃至网络安全产业发展的重要风向标。
同时值得重点关注的是《网络安全事件报告管理办法(征求意见稿)》,办法从实务层面明确了报告主体、监管部门、触发机制、报告时限、报告内容、法律责任和尽职免责等各具体方面,对网络安全事件的报告程序作出明确、具体的规定。基于合规需要,运营者应当根据办法要求对内部网络数据安全事件应急管理预案进行针对性的调整,并且在日常的安全事件应急演练和常规培训中明确“1小时”的内部调查和向相关机关报告的基本要求。通过强化网络安全事件报告机制,可以确保网络安全事件能够在企业、行业和国家各个层面得到协调处置快速解决,促成整体网络环境的平稳安全。
数据安全领域最重磅的政策是《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》。数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态,既要满足数据处理者履行数据安全保护责任义务的需要,也要满足促进数据资源开发利用、激活数据要素价值的需要。该政策定位为数据安全产业顶层政策文件,明确了数据安全产业发展任务。聚焦数据安全保护和开发利用两类需求,多维度、分层次明确产业发展主要任务,从供给侧为保障国家数据安全提供技术、产品和服务支撑。同时强调营造数据安全产业发展生态。加强标准体系建设、专业人才培养等工作,营造良好发展环境,保障产业健康、持续发展。毫无疑问,指导意见的出台为未来10年数据安全产业的蓬勃发展奠定了坚实的基础。
《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》、《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》和《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》也是数据安全领域值得重点关注的政策。三者在10-12月以每月一个的节奏高频连发体现了作为重点行业领域数据安全实务工作落地的扎实推进,所对应的数据安全风险评估、行政处罚和应急响应也都是行业最为迫切关注的要点问题,文件详实的指南性内容不但适用于本行业也给其他行业数据安全工作开展提供了很好的参考。三个文件后续基于意见反馈的进一步修订和应用实践效果值得持续关注。
个人信息领域最为值得关注的政策莫过于《个人信息保护合规审计管理办法(征求意见稿)》。办法针对《个人信息保护法》确定的个人信息保护合规审计机制的细化与补充,对合规审计的触发条件、开展要点、实施要求等做了明确规定。同时公布的附件《个人信息保护合规审计参考要点》也是对具体工作的开展提供了充分详实的指导。相信在此办法的指导下,个人信息处理者将在业务过程落地个人信息保护机制的基础上,逐步构建个人信息合规审计制度,开展自查自纠实现持续改进,安全厂商等专业机构也将逐步形成更为标准规范的个人信息保护合规审计服务提供支持。
在数据跨境领域,《个人信息出境标准合同办法》和《个人信息出境标准合同备案指南(第一版)》在《数据出境安全评估办法》之后进一步夯实了合规出境的实务操作,两个《办法》对数据跨境场景下,就个人信息出境标准合同的签订和备案、以及申报数据出境安全评估,规定了准入门槛、基本内容、提交材料、大致流程和罚则。而之后出台的《规范和促进数据跨境流动的规定(征求意见稿)》,又体现了伴随着跨境监管的实际执行发现的不足,以减负担促流通发展为方向进行优化的变化,值得后续持续关注。
行业安全领域,交通行业和金融行业是出台相关政策的重点行业。尤其值得关注的是交通行业的整体政策布局,《加快建设交通强国五年行动计划(2023-2027年)》提出开展网络和数据安全能力提升行动,而《公路水路关键信息基础设施安全保护管理办法》则明确了关基设施管理体制,建立了关基设施认定机制,并压实运营者主体责任,两者共同奠定了未来交通行业网络安全发展的大方向。
金融领域重点值得关注的是《证券期货业网络和信息安全管理办法》,该文件主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。后续配套出台的《证券期货业信息安全运营管理指南》给出了信息安全运营管理过程中基础安全、信息资产、漏洞、开发安全、数据安全等方面的管理思路和方法,并给出了各管理域的度量指标以及行业最佳实践。在此两个政策指导下,证券期货行业信息安全管理有望实现快速提升。
人工智能领域,伴随着GPT应用热潮,生成式人工智能监管受到高度重视,在4月征求意见后,《生成式人工智能服务管理暂行办法》在7月迅速发布,办法聚焦生成内容安全、用户权益保护和使用模式管理,通过实行包容审慎的监管鼓励创新应用,强化多方主体责任构建协同治理架构,与此同时信安标委已经抓紧制定《生成式人工智能预训练和优化训练数据安全规范》、《生成式人工智能人工标注安全规范》等国家标准推动办法有效落地。在垂直领域大模型风起云涌,安全厂商也纷纷拥抱人工智能大模型以提升分析研判精度提高安全运营效率的大背景下,如何安全合规的使用AI和让AI更好的为安全服务值得持续关注。
今年,密码安全领域值得关注。《中华人民共和国密码法》实施4年,商用密码应用日益广泛,对国家安全和网络信息安全保护作用显著。
《商用密码管理条例》修订后,促进了密码技术创新和成果转化,加强了对关键密码产品、服务和应用的管控,并简化了商用密码的进出口管理,废除了一些审批程序,实施了密码检测认证制度。条例还要求关键信息基础设施运营商使用商用密码保护系统,并通过专业机构进行安全性评估。网络运营商需要遵守国家网络安全等级保护制度,使用商用密码维护网络安全。国家密码管理部门会根据网络安全等级制定密码使用和安全评估标准。随着《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》的发布,商用密码领域将迎来发展高潮。
最后不得不提的是数字中国领域,《数字中国建设整体布局规划》、《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》、《算力基础设施高质量发展行动计划》和《深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》等重磅文件无一例外的涉及网络数据安全保障体系建设的相关内容,强调筑牢可信可控数字安全屏障。数字中国建设工程是以新一代信息技术和产业创新发展为引领,以数据资源为关键要素的国家信息化系统工程,必须坚持安全发展,着力平衡好“标和本”、“开和放”、“管和治”、“近和远”的关系,坚持整体谋划、统筹推进、综合施策、协同建设、软硬结合、标本兼治,做到发展和安全协调一致、齐头并进。
作者:亚信安全