盘点 | 2020年网安法规政策:百花齐放,日臻完善

  • A+
所属分类:云安全
盘点 | 2020年网安法规政策:百花齐放,日臻完善
撰稿 | 流苏
编辑 | 图图


盘点 | 2020年网安法规政策:百花齐放,日臻完善
盘点 | 2020年网安法规政策:百花齐放,日臻完善
盘点 | 2020年网安法规政策:百花齐放,日臻完善

近年来,网络安全行业正处于高速增长时期。


一方面,大数据、人工智能、工业互联网等新兴技术快速发展,给网络安全行业带来了广阔的发展空间;另一方面,日益严峻的网络攻击威胁也让网络安全的重要性不断提升。


众所周知,一个行业想要获得健康、长远的发展离不开相关政策的支持,自我国第一部全面规范网络空间安全管理方面问题的基础性法律——《网络安全法》发布以来,各种有利于网络安全发展的政策规划随之而来,包括《“十三五”国家信息化规划》、《软件和信息技术服务业发展规划(2016-2020)年》、《信息通信网络与信息安全规划(2016-2020)年》等,从多个层面驱动网络安全行业健康有序发展。


而在刚刚过去的2020年,网络安全工作一如既往地被各级政府高度重视,各类网络安全法律、法规、政策密集出台,涉及的行业和面也越来越广,可谓是百花齐放,尤其各个新兴领域更是如此。随着网络安全相关法律、政策的实施,我国网络安全法律体系日臻完善,这也将进一步为网络安全发展提供动力。


故此,安在特整理2020年网络安全的法律、法规和政策,以供大家参考。


盘点以时间为序。





一月


《中华人民共和国密码法》正式实施


2019年10月底,十三届全国人大常委会第十四次会议表决通过密码法,将自2020年1月1日起施行。


密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。


据悉,会议听取了关于密码法草案审议结果的报告。草案二审稿强调加强密码人才培养,明确实行密码保密责任制,完善商用密码应用安全性评估制度,强化保密义务和法律责任等。


《国家政务信息化项目建设管理办法》发布


近日,国务院办公厅印发《国家政务信息化项目建设管理办法》,对国家政务信息系统的规划、审批、建设、共享和监管作出规定,其中对安全可靠要求作出明确规定。


本办法适用的国家政务信息系统主要包括:国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施(数据中心、机房等)、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统。



二月



央行正式发布《个人金融信息保护技术规范》


《个人金融信息保护技术规范》(JR/T 0171—2020)金融行业标准由中国人民银行正式发布。本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。


本标准的发布实施有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展。有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。


11部委联合发布《智能汽车创新发展战略》(发改产业〔2020202号)


2月10日,国家发改委等11部委联合发布《智能汽车创新发展战略》(发改产业〔2020〕202号)。


《战略》指出,发展智能汽车不仅有利于加速汽车产业转型升级,更有利于加快建设制造强国、科技强国、智慧社会,增强国家综合实力。《战略》提出了发展智能汽车的六大具体任务,其中包括构建全面高效的智能汽车网络安全体系,要求完善安全管理联动机制,提升网络安全防护能力,加强汽车数据安全监督管理。《战略》提出到2025年,中国标准智能汽车的技术创新、产业动态、基础设施、法规标准、产品监管和网络安全体系基本形成。


水利部印发《2020年水利网信工作要点》


2月14日,水利部印发《2020年水利网信工作要点》,要求围绕"大力推进智慧水利"一条主线,突出"补水利网信短板、全力推进强监管"两个重点,强化"先行先试、项目前期、标准规范、人才队伍、宣传培训"五项措施,守住水利网络安全底线,加快提升水利网信水平,为水治理体系和治理能力现代化提供强力驱动和有力支撑。


央行正式发布《商业银行应用程序接口安全管理规范》


《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)金融行业标准由中国人民银行正式发布。标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。


本标准的发布实施能够满足在平衡服务快速响应与金融信息保护能力基础上,对商业银行应用程序接口的接口设计、应用部署、集成运行、运维监测及系统下线等全生命周期过程提出安全技术与安全管理要求,并为其提供信息安全技术保障。


工信部印发《工业数据分类分级指南(试行)》


《指南》旨在指导企业全面梳理自身工业数据,提升数据分级管理能力,促进数据充分使用、全局流动和有序共享。一是明确企业为数据分类分级主体;二是与DCMM互为补充、相互衔接;三是以可操作、可实施为原则持续完善。


《指南》共4章16条,主要内容包括:第一章总则,阐述编制目的及依据,提出工业数据的基本概念,明确适用范围和原则;第二章数据分类,企业结合行业要求、业务规模、数据复杂程度等实际情况,围绕数据域进行类别梳理,形成分类清单;第三章数据分级,按照每类工业数据遭篡改、破坏、泄露或非法利用后可能带来的潜在影响,将数据划分为3个级别;第四章分级管理,针对有关主管部门和企业建立数据管理制度、实施差异化管理进行描述,为DCMM贯标等提供参考依据。



三月



《网络信息内容生态治理规定》正式施行


从3月1日起,《网络信息内容生态治理规定》开始施行。规定明确,网络信息内容服务使用者和生产者、平台不得开展网络暴力、人肉搜索、深度伪造、流量造假、操纵账号等违法活动。网络信息内容生产者应当遵守法律法规,防范和抵制制作、复制、发布含有“使用夸张标题,内容与标题严重不符”和“炒作绯闻、丑闻、劣迹”等不良信息等。


《规定》明确了网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者的法律责任,同时完善了民事、行政和刑事法律责任相衔接的体系化规定。违反本规定,给他人造成损害的,依法承担民事责任;构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由有关主管部门依照有关法律、行政法规的规定予以处罚。


工信部印发《工业数据分类分级指南(试行)》


《指南》旨在指导企业全面梳理自身工业数据,提升数据分级管理能力,促进数据充分使用、全局流动和有序共享。一是明确企业为数据分类分级主体;二是与DCMM互为补充、相互衔接;三是以可操作、可实施为原则持续完善。


《指南》共4章16条,主要内容包括:第一章总则,阐述编制目的及依据,提出工业数据的基本概念,明确适用范围和原则;第二章数据分类,企业结合行业要求、业务规模、数据复杂程度等实际情况,围绕数据域进行类别梳理,形成分类清单;第三章数据分级,按照每类工业数据遭篡改、破坏、泄露或非法利用后可能带来的潜在影响,将数据划分为3个级别;第四章分级管理,针对有关主管部门和企业建立数据管理制度、实施差异化管理进行描述,为DCMM贯标等提供参考依据。


新版《信息安全技术 个人信息安全规范》等8项国标正式发布 


3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》等8项国家标准正式发布。具体清单如下:


十一部门联合印发《整治虚假违法广告部际联席会议2020年工作要点》和《整治虚假违法广告部际联席会议工作制度》


3月9日,为了进一步创新广告监管机制、监管方式,加强部际联席会议成员单位之间的协调配合,完善广告协同监管体系,不断提高广告协同监管能力和水平,市场监管总局、中央宣传部、中央网信办、工业和信息化部、公安部、卫生健康委、人民银行、广电总局、银保监会、中医药局、药监局等十一部门联合制定了《整治虚假违法广告部际联席会议2020年工作要点》,修订了《整治虚假违法广告部际联席会议工作制度》。


工信部办公厅发布《关于推动工业互联网加快发展的通知》


为深入贯彻落实党中央、国务院决策部署,推动工业互联网加快发展,3月20日,工信部办公厅发布《关于推动工业互联网加快发展的通知》,明确提出加快新型基础设施建设、加快健全安全保障体系等6个方面20项具体举措。要求必须统筹发展与安全,落实网络安全“三同步”原则,建立企业分级安全管理制度,建设国家、省、企业三级协同的安全技术监测体,完善安全通报处置、事件报告和检查检测等安全工作机制,促进网络安全技术、产品和解决方案的创新突破。


工信部发布《关于开展2020IPv6端到端贯通能力提升专项行动的通知》


3月23日,工信部发布《关于开展2020年IPv6端到端贯通能力提升专项行动的通知》。工信部以《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字〔2017〕47号)第一阶段(2018年)和第二阶段(2019-2020年)发展目标为导向,从优化IPv6网络接入能力,增强内容分发网络(CDN)、云服务平台、数据中心(IDC)IPv6服务性能,提升终端设备IPv6支持能力,提高行业网站及互联网应用IPv6浓度,强化IPv6网络安全保障能力等方面提出了新的工作要求和任务举措。


市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见


商用密码检测认证工作坚持“统一管理、共同实施、规范有序、保障安全”的基本原则。市场监管总局、国家密码管理局根据部门职责,加强检测认证工作的组织实施、监督管理和结果采信,营造有利于商用密码发展的良好市场环境。 


商用密码认证目录由市场监管总局、国家密码管理局共同发布,商用密码认证规则由市场监管总局发布。市场监管总局、国家密码管理局联合组建商用密码认证技术委员会,协调解决认证实施过程中出现的技术问题,为管理部门提供技术支撑、提出工作建议等。 



四月



《中国气象局网络安全管理办法(试行)》印发


4月7日,《中国气象局网络安全管理办法(试行)》(简称《管理办法》)印发,贯彻《中华人民共和国网络安全法》,落实网络安全工作责任制,进一步完善气象部门网络安全管理体系,提高网络安全保护能力。


《管理办法》明确中国气象局网络安全工作的管理范围、职责分工、组织方式、全生命期全流程管控要求、保障措施以及追责问责等方面内容,主要从四方面提出具体要求:一是明确网络安全工作责任制,建立健全气象部门网络安全管理体系;二是落实网络安全等级保护制度,按照“谁主管谁负责、谁建设谁负责,谁运行谁负责,谁使用谁负责”原则,实现“同步规划、同步建设、同步运行”;三是加强对等级保护对象技术管控要求;四是落实网络安全工作“人、财、物”保障和细化考核、奖惩、追责问责等措施。


两部门牵头建立跨部委打击危害公民个人信息和数据安全违法犯罪长效机制


近日,经中央领导批准,公安部与中央网信办牵头,建立打击危害公民个人信息和数据安全违法犯罪长效机制。机制成员单位包括公安部、中央网信办、最高人民法院、最高人民检察院、工业和信息化部、国家市场监督管理总局等。


针对公民个人信息泄露事件频发、侵犯公民个人信息违法犯罪活动突出等问题,各部门依托该机制,紧密围绕危害公民个人信息和数据安全的隐患,充分发挥职能优势,严厉惩治犯罪,加强法律指导,突出联合整治,加强行业监管,加强宣传教育引导,构建保护公民个人信息和数据安全的社会综合治理体系。


《网络安全审查办法》发布


2020年04月13日,国家网信办等十二部门联合印发《网络安全审查办法》。《办法》明确指出,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。


《办法》进一步明确了审查内容,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。《办法》还对申报材料及流程、审查时限等做出了相关规定。


26项网络安全国家标准获批发布


4月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第8号),全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》等26项国家标准正式发布。具体清单如下:


《个人健康信息码》系列国家标准发布


2020年4月29日,市场监管总局(标准委)发布《个人健康信息码》系列国家标准。《个人健康信息码》系列国家标准包括《个人健康信息码 参考模型》(GB/T 38961-2020)、《个人健康信息码 数据格式》(GB/T 38962-2020)和《个人健康信息码 应用接口》(GB/T 38963-2020)3项内容。


《个人健康信息码 参考模型》规定了健康码的组成和展现形式,提出了健康码应用系统的参考模型和跨地区互认的技术机制。《个人健康信息码 数据格式》规定了疫情防控所需个人健康信息的数据结构、数据元属性和数据管理要求。



五月


市场监管总局、国家密码管理局联合发布《商用密码产品认证目录(第一批)》和《商用密码产品认证规则》


公告规定了应实施认证的商用密码产品,以及实施认证的基本原则和要求。其中《认证目录》明确智能密码钥匙、IPSec VPN产品/安全网关等22项需认证的商用密码产品,以及产品相应的描述和认证依据。《认证规则》从商用密码产品认证的适用范围、认证模式、认证单元划分、认证实施程序、认证证书、认证标志、认证实施细则和认证责任八个方面对商用密码产品的认证工作进行规定。


农业农村部印发《2020年农业农村部网络安全和信息化工作要点》


近日,为贯彻落实《数字乡村发展战略纲要》部署,围绕数字乡村建设重点任务,强化工作举措,扎实推进各项工作,指导各级农业农村部门推动实施《数字农业农村发展规划(2019—2025年)》,农业农村部印发《2020年农业农村部网络安全和信息化工作要点》。


推进国家数字农业农村创新中心和重要农产品全产业链大数据建设,进一步优化数字农业试点县项目布局和设计,加强项目建设过程管理和指导,加快构建农业农村基础数据资源体系,推动农业农村数字化转型,探索可复制、可推广的数字农业农村建设模式。


《工业和信息化部关于工业大数据发展的指导意见》发布


《意见》明确工业互联网平台中的数据属于工业大数据,提出促进工业数据汇聚共享、融合创新,提升数据治理能力,加强数据安全管理,着力打造资源富集、应用繁荣、产业进步、治理有序的工业大数据生态体系。


《意见》部署了三项重点任务来推动全面采集、高效互通和高质量汇聚,在国家层面把基础数据汇聚起来,建设以大数据为手段支撑政府精准施策、精准管理的平台,强调部署了“建设国家工业互联网大数据中心”、“建立多级联动的国家工业基础大数据库”等具体手段,以更好地服务政府决策和企业发展。



六月


自然资源部印发《2020年自然资源部网络安全与信息化工作要点》


《要点》提出要加快自然资源三维立体“一张图”和国土空间基础信息平台建设,推进新一代信息技术与自然资源管理的深度融合,提升自然资源网络安全与信息化的治理水平。


《要点》明确,深化自然资源政务管理系统集成与应用。要在统一的国土空间基础信息平台上,通过整合完善、扩建新建行政审批、业务管理、监管分析等自然资源政务管理系统,初步形成一体化的自然资源政务管理信息化支撑体系,进一步提升自然资源管理和便民利民服务水平。


《要点》还就网络安全作出部署,要求各级自然资源部门落实责任,强化网络安全监测预警,进一步提升网络安全综合防护能力。


六部门印发《国家电子政务标准体系建设指南》


日前,市场监管总局办公厅、中共中央办公厅机要局、国务院办公厅电子政务办公室、中央网信办秘书局、国家发展改革委办公厅和工业和信息化部办公厅六部门联合印发《国家电子政务标准体系建设指南》(以下简称《指南》),旨在加强电子政务领域标准化顶层设计,推动电子政务标准体系建设,支撑电子政务实施应用。


《指南》发布了标准体系结构图、政务数据共享开发标准子体系、公告数据资源开发利用标准子体系、电子文件标准子体系、“互联网+政务”标准子体系及电子政务现行及在研标准体系表。


《指南》明确,2020年,调研现有电子政务标准使用情况,完成对现有电子政务标准的复审,搭建国家电子政务标准体系。


《浙江省公共数据开放与安全管理暂行办法》发布


《办法》总共7章48条,包括总则、数据开放、数据利用、数据安全、监督管理、法律责任以及附则。


《办法》对县级以上人民政府的公共数据开放与安全管理职责作了规定;明确了大数据局的主管部门地位,并规定了相应的责任;对公共数据开放主体作了具体要求;同时还对有关单位数据安全方面的责任作了规定。


《办法》从两个方面界定了公共数据,一是从技术上说,公共数据开放是指向社会提供具备原始性、可机器读取、可供社会化利用的数据集。将其界定为数据集,以区别于政府信息。二是从性质上说,公共数据开放是公共管理和服务机构提供的一项公共服务,从性质上将其与政府信息公开等具体行政行为区分开来。


《贵州省大数据标准化体系建设规划(2020-2022)》印发


近日,贵州省大数据发展管理局、省市场监督管理局印发《贵州省大数据标准化体系建设规划(2020-2022年)》。规划到2022年,支撑贵州省大数据高质量发展的标准化体系基本建成,在国内外有较高的影响力和贡献,“国家技术标准创新基地(贵州大数据)”建成并运行良好。大数据标准化工作加快推进,大数据标准化的有效性、先进性和适用性显著增强。大数据标准化体制机制健全,大数据标准化服务更加高效,基本形成“供给快、重应用、谋创新”的新局面。



七月



《数据安全法(草案)》发布


草案共七章五十一条,主要包括适用范围、支持促进数据安全与发展的措施、数据安全制度、数据安全保护义务、政务数据安全与开放、数据安全工作职责等六方面内容。在有效应对境内外数据安全风险方面,草案要求建立健全国家数据安全管理制度,完善国家数据安全治理体系。数据是国家基础性战略资源,没有数据安全就没有国家安全。因此,应当按照总体国家安全观的要求,通过立法加强数据安全保护,建立健全各项制度措施,规范数据活动,完善数据安全治理体系,明确政务数据安全管理制度和开放利用规则,切实保障国家数据安全。


国务院办公厅关于同意调整完善网络市场监管部际联席会议制度的函


为进一步加强网络市场监管,强化部门间协调配合,促进网络市场持续健康发展,经国务院同意,调整完善网络市场监管部际联席会议(以下简称联席会议)制度。


联席会议由市场监管总局、中央宣传部、工业和信息化部、公安部、商务部、文化和旅游部、人民银行、海关总署、税务总局、网信办、林草局、邮政局、药监局、知识产权局等14个单位组成,市场监管总局为牵头单位。


联席会议各成员单位要按职责分工依法做好联席会议各项工作,主动研究提出网络市场监管有关问题,认真落实联席会议确定的工作任务和议定事项。充分发挥联席会议作用,按照“各尽其责、协同管网”要求,加强对地方指导和部门间协调协作,增强监管合力。


天津网信办印发《天津市公共数据资源开放管理暂行办法》


为了规范和促进公共数据资源开放,发挥公共数据资源在提高社会治理能力、提升公共服务水平、优化营商环境等方面的作用,加快数据要素有效流动,推动数字经济发展,经天津市人民政府同意,天津市互联网信息办公室近日印发《天津市公共数据资源开放管理暂行办法》。


该《办法》共七章三十七条,就公共数据资源的定义、开放机制、开放平台、开发利用、监督保障等方面进行了阐述,为公民、法人和其他组织获取公共数据资源做出指导。《办法》明确,以天津市已上线的天津市信息资源统一开放平台为公共数据资源获取渠道,实行目录管理,同时对开放申请审核时限做出了“两个工作日”的要求,提升资源流转效率,体现资源时间价值。


《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》发布


《意见》以深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置重大网络安全事件,切实保障关键信息基础设施、重要网络和数据安全。《意见》明确等保工作的三大基本原则和四大工作目标,提出在建立并实施关键信息基础设施安全保护制度上要做好组织基础认定、职能分工、重点防护、重要数据分析、核心人员产品与服务要点等六大要点。在落实网络安全等级保护制度基础上,强化保护措施,切实维护关键信息基础设施安全。



八月


《关于印发全面深化服务贸易创新发展试点总体方案的通知》发布


8月14日,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,在北京、天津、上海、广州、深圳、河北雄安新区、贵州贵安新区、陕西西咸新区等28 个省市(区域)开展试点,试点期限为 3 年。


通知提出全面探索提升便利水平,推动数字营商环境便利化。对标国际高标准高水平,探索构建与我国数字经济创新发展相适应、与我国数字经济国际地位相匹配的数字营商环境。在条件相对较好的试点地区开展数据跨境传输安全管理试点。在试点任务、具体举措及责任分工当中,数据跨境传输安全管理试点任务由中央网信办指导并制定政策保障措施,北京、上海、海南、雄安新区等试点地区负责推进。


工信部印发《关于运用大数据推进防范治理电信网络诈骗长效机制建设工作方案》


《方案》围绕技术平台、监管能力、工作机制,明确了相关具体工作任务。在技术平台方面,《方案》提出打造信息通信行业反诈大数据技术手段,持续提升大数据技术管控水平。在提升监管能力方面,《方案》明确进一步强化行业源头治理,健全创新事前防范、责任落实、成效评价、信用管理等制度。在完善工作机制方面,《方案》指出持续优化跨政企、跨行业、跨部门的联防联控工作机制,充分释放大数据在防范治理电信网络诈骗方面的强大效能。


针对技术平台建设,《方案》提出了三项工作要求。一是建设完善行业互联网反诈数据统一资源库和互联网反诈平台,加大数据汇聚范围,具备线索发现、追踪溯源等能力,实现对涉诈IP、域名、APP有效研判和处置。二是开展省级反诈大数据平台建设试点,提升属地反诈大数据运用能力,逐步在全国范围内推进反诈大数据平台建设。三是开展反诈大数据技术标准研究,研究制定电信网络诈骗治理标准体系架构,推进急需标准出台。


《中国禁止出口限制出口技术目录》发布


《目录》共涉及53项技术条目。限制出口中,新增了密码安全技术、高性能检测技术、信息防御技术、信息对抗技术等内容,删去信息安全防火墙软件技术条目。根据规定,凡是涉及向境外转移技术,无论是采用贸易还是投资或是其他方式,均要严格遵守《条例》的规定,其中限制类技术出口必须到省级商务主管部门申请技术出口许可,获得批准后方可对外进行实质性谈判,签订技术出口合同。



九月


银保监会发文规范保险公司健康管理服务 确保相关数据和信息安全


为进一步规范保险公司健康管理服务行为,提升相关服务质量和水平,保护消费者合法权益,银保监会近日印发了《关于规范保险公司健康管理服务的通知》。


《通知》要求,保险公司提供健康管理服务应遵循以下要求:


1. 根据公司自身服务能力、客户需求和健康保险业务特性,科学合理设定健康管理服务内容、确定服务价格;

2. 主动告知客户健康管理服务的内容、流程、标准、期限以及注意事项和可能发生的风险,并获得客户的知情同意。如有第三方服务合作机构参与,须一并告知;

3. 获取客户健康数据时应当获得客户授权同意;

4. 未经客户授权不得对外提供客户个人信息或任何健康数据,依法保证数据安全和保护个人隐私;

5. 建立客户健康管理服务评价反馈及投诉处理机制;


《北京国际大数据交易所设立工作实施方案》发布


9月7日,北京市经济和信息化局、市商务局、市金融监管局和市委网信办正式发布北京国际大数据交易所设立工作实施方案》。


《北京国际大数据交易所设立工作实施方案》规划设计了北京大数据交易基础设施的建设内容,明确了北京国际大数据交易所“权威的数据信息登记平台、受到市场广泛认可的数据交易平台、覆盖全链条的数据运营管理服务平台、以数据为核心的金融创新服务平台、新技术驱动的数据金融科技平台”五大功能定位。北京国际大数据交易所将整合数据要素资源、规范数据交易行为,推动数据要素的网络化共享、集约化整合、协作化开发和高效化利用,引导数据要素向先进生产力集聚,助力北京产业升级和经济高质量发展。


《中国人民银行金融消费者权益保护实施办法》发布


《办法》共七章,六十八条。第一章总则,主要对立法依据、适用范围及基本原则进行了规定。第二章金融机构行为规范,主要从银行、支付机构金融消费者权益保护顶层设计、全流程管控、信息披露和金融营销宣传等方面进行规范。第三章消费者金融信息保护,从消费者金融信息安全权角度,进一步强化了信息知情权和信息自主选择权。第四章金融消费争议解决,对争议解决的程序性规定以及非诉第三方解决机制进行了细化和完善。第五章监督与管理机制,根据人民银行新“三定”方案,就制度制定、协调机制、监管执法合作等进行明确。第六章法律责任,规定了银行、支付机构责任、高管责任以及人民银行工作人员责任。第七章附则,明确了参照适用的机构类型、解释权、生效和废止等内容。


《政务信息系统密码应用与安全性评估工作指南》发布


《指南》可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作,也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。各级地方政务信息化项目建设单位和使用单位也可参照《指南》开展相关工作。


正文部分分为三章,第一章为政务信息系统密码应用与安全性评估实施过程指南,依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法(试行)》,给出了政务信息系统规划、建设、运行阶段,项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。第二章为政务信息系统密码应用措施指南,主要依据GM/T 0054《信息系统密码应用基本要求》,介绍了密码在政务信息系统中发挥的主要功能,并给出了密码应用措施方面的建议,可供项目建设单位结合自身实际进行选择和调整。第三章为政务信息系统密码应用与安全性评估质量保障指南,给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。



十月


《个人信息保护法(草案)》发布


草案确立了以“告知-同意”为核心的个人信息处理规则,明确了个人信息处理者的合规管理和义务,要求其采取相应的安全技术措施,保护个人信息安全。草案全文涵盖了八章,七十条的内容。分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。蕴涵着立法者对人脸识别、人肉搜索、数据跨境传输、自动化决策、信息脱敏等热点问题的对策及解答。


两部委印发《工业互联网+安全生产行动计划(2021-2023年)》


“工业互联网+安全生产”是通过工业互联网在安全生产中的融合应用,增强工业安全生产的感知、监测、预警、处置和评估能力,加速安全生产从静态分析向动态感知、事后应急向事前预防、单点防控向全局联防的转变,提升工业生产本质安全水平。


行动计划提出要建设“工业互联网+安全生产”新型基础设施,打造基于工业互联网的安全生产新型能力,深化工业互联网和安全生产的融合应用,构建“工业互联网+安全生产”支撑体系。工业和信息化主管部门负责工业互联网在安全生产中的应用,组织开发技术和解决方案。应急管理部门负责创新基于工业互联网的安全生产监管方式,加强对企业接入工业互联网安全生产监管平台的管理,建立与行政许可换证挂钩等激励约束机制。


中国证券业协会发布《证券行业信息系统运维及信息安全技术实践汇编(2020版)》


协会党委书记、执行副会长安青松在《汇编》序言中指出,近年来,为提升数字化治理能力,各证券公司普遍加大了信息化建设的投入,与此同时,信息安全管理也面临更大挑战,随着数字化进程的加快,新老系统相互交织耦合,加重了系统运维管理的压力,也对从业人员的技术能力提出了更高的要求,不同类型证券公司间的运维能力差异进一步加大。


本次《汇编》共选取了国信、中信、国泰君安等19家不同规模和类型证券公司的59篇典型案例,具体细分为运行管理、基础架构、工具平台和信息安全四个方面,通过聚焦行业信息系统运维的热点与发展趋势,总结近年来新技术、新理念在证券行业的应用与实践,为行业提供了很多有益的借鉴和经验,有着极强的实用性。


市场监管总局等十四部门 《关于印发2020网络市场监管专项行动(网剑行动)方案的通知》


按照通知要求,2020网络市场监管专项行动(网剑行动)将围绕七项重点任务开展:一是落实电商平台责任,夯实监管基础。二是重拳打击不正当竞争行为,规范网络市场竞争秩序。三是集中治理网上销售侵权假冒伪劣商品,守住安全底线。四是严厉打击野生动植物及其制品非法交易行为,保护野生动植物资源和公共卫生安全。五是强化互联网广告监管,维护互联网广告市场秩序。六是依法整治社会热点问题,营造良好网络市场环境。七是依法查处其他网络交易违法行为,保护消费者合法权益。 



十一月



《新能源汽车产业发展规划(2021—2035年)》印发


《规划》中要求健全新能源汽车网络安全管理制度,构建统一的汽车身份认证和安全信任体系,推动密码技术深入应用,加强车载信息系统、服务平台及关键电子零部件安全检测,强化新能源汽车数据分级分类和合规应用管理,完善风险评估、预警监测、应急响应机制,保障“车端—传输管网—云端”各环节信息安全。


中国支付清算协会印发《商业银行应用程序接口安全管理检测规范》、《移动金融客户端应用软件安全检测规范》


为落实人民银行和国家认监委关于金融科技产品认证工作的要求,加强金融科技产品认证工作的自律管理,中国支付清算协会起草了《商业银行应用程序接口安全管理检测规范》和《移动金融客户端应用软件安全检测规范》。


本规范规定了商业银行应用程序接口在安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等方面的检测要求。适用于开展商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方。并为第三方安全评估机构等单位开展安全检查与评估工作提供参考。


全国信安标委发布《网络安全标准实践指南移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》


为帮助App提供者使用SDK时防范SDK安全和合规风险,帮助SDK提供者保障SDK安全和用户个人信息,秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》。


《实践指南》给出了SDK常见安全风险,针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题,结合当前移动互联网技术及应用现状,给出了App提供者、SDK提供者针对SDK安全问题的实践指引。


中央网信办、教育部联合印发《关于进一步加强涉未成年人网课平台规范管理的通知》


《通知》提出,要加强备案管理,对已备案网课平台的相关信息实现动态更新,对应备案未备案的网课平台按规定督促整改,将其他面向中小学的非学科类网课平台纳入网络生态巡查监看范围,建立工作台账。


要强化日常监管,督促涉未成年人网课平台以正确价值导向为引领,加强网课教学大纲和图文、视频授课内容等审核把关,将弹窗、边栏、悬浮框、信息流加载、互动社交等环节纳入重点管理范畴。要提升人员素质,加强涉未成年人网课平台授课教师资质审核,端正产品设计和运营推广人员理念,增强其未成年人保护意识。


要注重协同治理,建立涉未成年人网课平台跨部门巡查机制,针对巡查情况适时开展专项整治,运用暂停更新、关闭下架等多种手段,对违法违规网课平台保持高压严打态势,动员社会各界广泛参与治理,形成工作合力。



十二月



信息系统密码应用测评要求》等5 密码应用与安全性评估指导性文件发布


该文件依据《中华人民共和国密码法》等法律法规,由中国密码学会密评联委会组织编制,可供相关单位开展商用密码应用于安全性评估工作参考。


本文件规定了信息系统不同等级密码应用的测评要求,从密码算法和密码技术合规性、密钥管理安全性方面,提出第一级到第五级的密码应用通用测评要求;从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评要求;从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求。


中共中央印发《法治社会建设实施纲要(20202025年)》 


纲要推动社会治理从现实社会向网络空间覆盖,建立健全网络综合治理体系,加强依法管网、依法办网、依法上网,全面推进网络空间法治化,营造清朗的网络空间。


通过立改废释并举等方式,推动现有法律法规延伸适用到网络空间。完善网络信息服务方面的法律法规,修订互联网信息服务管理办法,研究制定互联网信息服务严重失信主体信用信息管理办法,制定完善对网络直播、自媒体、知识社区问答等新媒体业态和算法推荐、深度伪造等新技术应用的规范管理办法。


完善网络安全法配套规定和标准体系,建立健全关键信息基础设施安全保护、数据安全管理和网络安全审查等网络安全管理制度,加强对大数据、云计算和人工智能等新技术研发应用的规范引导。


国家广电总局发布《广播电视网络安全等级保护定级指南》


12月9日,国家广播电视总局批准发布了广播电视和网络视听推荐性行业标准《广播电视网络安全等级保护定级指南》。


《指南》建议,根据广电行业实际情况,按照定级对象的基本特征,综合考虑定级对象的责任单位、业务类型和业务重要性等因素,将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类。各单位根据本单位网络业务功能,进行参照定级,安全等级应不低于建议级别。对于承载多个业务功能的网络,应以建议的最高安全等级进行定级。


9部门发文,加快成都网络信息安全产业高质量发展


12月23日,市经信局和市委组织部、市委网信办等9部门联合印发了《成都市加快网络信息安全产业高质量发展的若干政策》。该政策从提高产业创新能力、建设产业人才高地、提升产业服务能级、实施应用示范工程、营造产业发展环境5个方面提出了18条支持政策。


此次出台的《若干政策》也将提高产业创新能力放在了首位。《若干政策》提出我市将鼓励承担国家重大安全专项、支持打造国家重大战略平台、推动产学研用创新发展以及鼓励主导技术标准制(修)订。


工信部印发《电信和互联网行业数据安全标准体系建设指南》


电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理和重点领域等标准。其中,基础共性标准包括术语定义、数据安全框架、数据分类分级等,为各类标准提供基础支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期维度,对数据安全关键技术进行规范。


安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准主要是结合相关领域的实际情况和具体要求,指导行业有效开展重点领域数据安全保护工作。


工业和信息化部印发《工业互联网标识管理办法》


《管理办法》的发布,对于完善基础资源管理、规范标识解析体系、加快标识规模应用具有深远意义,既为标识服务机构规范从业明确底线要求,也为标识服务进一步纵深发展奠定坚实基础。工业互联网标识的重要作用之一,是能够使工业互联网上面的物理对象和数字对象有一个准确的定位、溯源,也能够通过标识实现对它们的控制、管理,使得这些对象之间实现交互。


《管理办法》采取分类分级的模式,将标识服务机构分为五类,包括根节点运行机构、国家顶级节点运行机构、标识注册管理机构、标识注册服务机构和递归节点运行机构,并分别设置了相应的服务要求和安全要求等。




推荐阅读




盘点|2020各省市网络安全园区建设与扶持政策

盘点 | 2020网络安全融资大事记:迎向未来的风

盘点|2020国内网络安全典型执法案件

盘点 | 2020红红火火的网络安全大会

盘点 | 2020网络安全报告最全大合集(PDF下载)

盘点 | 2020网络安全热词:疫情阻不住关注和期待

盘点 | 2020网安职场回顾与总结:黑天鹅下,风雨兼程



盘点 | 2020年网安法规政策:百花齐放,日臻完善
盘点 | 2020年网安法规政策:百花齐放,日臻完善

齐心抗疫 与你同在 盘点 | 2020年网安法规政策:百花齐放,日臻完善




盘点 | 2020年网安法规政策:百花齐放,日臻完善

点【在看】的人最好看


盘点 | 2020年网安法规政策:百花齐放,日臻完善

本文始发于微信公众号(安在):盘点 | 2020年网安法规政策:百花齐放,日臻完善

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: