在網(wǎng)絡(luò)強國戰(zhàn)略思想指引下，我國網(wǎng)絡(luò)安全工作取得了積極進展，網(wǎng)絡(luò)安全政策法規(guī)體系不斷健全，網(wǎng)絡(luò)安全工作體制機制日益完善，各項工作走上法治化軌道，網(wǎng)絡(luò)安全防線也越織越密、越織越牢。小編為大家整理了2023年第三季度國內(nèi)網(wǎng)絡(luò)安全相關(guān)政策文件和安全標準，供大家參考。

政策

第一部分

1. 2023年7月3日，網(wǎng)信辦發(fā)布關(guān)于調(diào)整《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的公告(2023年第2號）

《目錄》給出了4類網(wǎng)絡(luò)關(guān)鍵設(shè)備和34類網(wǎng)絡(luò)安全專用產(chǎn)品的名單。2017年發(fā)布的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）同步廢止，本次目錄的調(diào)整主要針對網(wǎng)絡(luò)安全專用產(chǎn)品，從第一批目錄的15款產(chǎn)品類別增加到34款產(chǎn)品類別，包括虛擬專用網(wǎng)產(chǎn)品、防病毒網(wǎng)關(guān)、統(tǒng)一威脅管理產(chǎn)品、病毒防治產(chǎn)品、網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品、負載均衡產(chǎn)品等。

2. 2023年7月13日，國家網(wǎng)信辦、國家發(fā)改委、教育部、科技部等七部門聯(lián)合發(fā)布《生成式人工智能服務(wù)管理暫行辦法》（令 第15號）

《辦法》提出了促進生成式人工智能技術(shù)發(fā)展的具體措施，明確了訓(xùn)練數(shù)據(jù)處理活動和數(shù)據(jù)標注等要求，規(guī)定了生成式人工智能服務(wù)規(guī)范，明確生成式人工智能服務(wù)提供者應(yīng)當依法承擔網(wǎng)絡(luò)信息內(nèi)容生產(chǎn)者責任，履行網(wǎng)絡(luò)信息安全義務(wù)，涉及個人信息的，依法承擔個人信息處理者責任，履行個人信息保護義務(wù)，此外，還規(guī)定了安全評估、算法備案、投訴舉報等制度，明確了法律責任。

3. 2023年7月17日，工信部、國家金融監(jiān)督管理總局聯(lián)合發(fā)布《兩部門關(guān)于促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見》（工信部聯(lián)網(wǎng)安〔2023〕95號）

《意見》是我國網(wǎng)絡(luò)安全保險領(lǐng)域的首份政策文件，圍繞完善政策標準、創(chuàng)新產(chǎn)品服務(wù)、強化技術(shù)支持、促進需求釋放、培育產(chǎn)業(yè)生態(tài)等提出意見。一是聚焦提升行業(yè)認知、完善行業(yè)規(guī)范，健全完善網(wǎng)絡(luò)安全保險支持政策；二是聚焦豐富網(wǎng)絡(luò)安全保險產(chǎn)品類型、創(chuàng)新保險服務(wù)模式，全方位加強網(wǎng)絡(luò)安全保險產(chǎn)品服務(wù)創(chuàng)新；三是聚焦提升風(fēng)險量化評估能力、加強全生命周期風(fēng)險監(jiān)測，強化網(wǎng)絡(luò)安全技術(shù)賦能保險發(fā)展；四是聚焦推進網(wǎng)絡(luò)安全保險落地應(yīng)用、促進企業(yè)網(wǎng)絡(luò)安全能力提升，撬動網(wǎng)絡(luò)安全產(chǎn)業(yè)需求釋放；五是聚焦培育網(wǎng)絡(luò)安全保險優(yōu)質(zhì)企業(yè)、加強網(wǎng)絡(luò)安全保險推廣，培育網(wǎng)絡(luò)安全保險發(fā)展生態(tài)。

4.2023年7月18日，國家鐵路局發(fā)布《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護管理辦法(征求意見稿)》公開征求意見

《管理辦法》圍繞鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認定、運營者責任和義務(wù)、保障和監(jiān)督等方面提出安全管理要求，其中，規(guī)定運營者應(yīng)當在國家網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，突出保護重點，落實防護措施，加強全生命周期管理，保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。此外，從機構(gòu)設(shè)置、人員配備、工作職責、供應(yīng)鏈安全、數(shù)據(jù)安全、風(fēng)險評估、監(jiān)測預(yù)警和應(yīng)急響應(yīng)等方面給出規(guī)范。

5. 2023年7月24日，中國人民銀行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見

《管理辦法》主要提出了數(shù)據(jù)分類分級要求、數(shù)據(jù)安全保護總體要求，明確壓實數(shù)據(jù)處理活動全流程安全合規(guī)底線，以及細化風(fēng)險監(jiān)測、評估審計、事件處置等合規(guī)要求，并明確中國人民銀行及其分支機構(gòu)可對數(shù)據(jù)處理者數(shù)據(jù)安全保護義務(wù)落實情況開展執(zhí)法檢查，以及數(shù)據(jù)處理者違反規(guī)定時對應(yīng)的法律責任。

6. 2023年7月24日，北京市通信管理局發(fā)布《北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實施細則》

《實施細則》規(guī)定電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當每年至少開展一次數(shù)據(jù)梳理工作，并根據(jù)實際工作需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負責數(shù)據(jù)處理活動的安全監(jiān)督管理，加強權(quán)限審批管理，定期開展數(shù)據(jù)安全審計和數(shù)據(jù)安全風(fēng)險監(jiān)測，對數(shù)據(jù)處理活動負安全主體責任，建立健全全流程數(shù)據(jù)安全管理制度，針對不同級別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程。

7. 2023年7月26日，工信部、國標委聯(lián)合發(fā)布《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南（智能網(wǎng)聯(lián)汽車）（2023版）》（工信部聯(lián)科〔2023〕109號）

《建設(shè)指南》提出到2025年，系統(tǒng)形成能夠支撐組合駕駛輔助和自動駕駛通用功能的智能網(wǎng)聯(lián)汽車標準體系，制修訂100項以上智能網(wǎng)聯(lián)汽車相關(guān)標準；到2030年，全面形成能夠支撐實現(xiàn)單車智能和網(wǎng)聯(lián)賦能協(xié)同發(fā)展的智能網(wǎng)聯(lián)汽車標準體系，制修訂140項以上智能網(wǎng)聯(lián)汽車相關(guān)標準并建立實施效果評估和動態(tài)完善機制。標準體系涵蓋組合駕駛輔助、自動駕駛關(guān)鍵系統(tǒng)、網(wǎng)聯(lián)基礎(chǔ)功能及操作系統(tǒng)、高性能計算芯片及數(shù)據(jù)應(yīng)用等標準，并貫穿功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等安全標準，充分發(fā)揮標準對車聯(lián)網(wǎng)產(chǎn)業(yè)關(guān)鍵技術(shù)、核心產(chǎn)品和功能應(yīng)用的引領(lǐng)作用。

8. 2023年8月3日，國家網(wǎng)信辦發(fā)布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》公開征求意見

《管理辦法》指出個人信息處理者開展合規(guī)審計的情形分為兩種，一是自行定期開展審計，二是應(yīng)監(jiān)管要求審計，在開展個人信息保護合規(guī)審計的對象及頻次方面，明確處理超過100萬人個人信息的個人信息處理者，應(yīng)當每年至少開展一次個人信息保護合規(guī)審計，其他個人信息處理者應(yīng)當每兩年至少開展一次個人信息保護合規(guī)審計，并以附件的形式提出個人信息保護合規(guī)審計參考要點。

9. 2023年8月8日，國家網(wǎng)信辦發(fā)布《人臉識別技術(shù)應(yīng)用安全管理規(guī)定（試行）（征求意見稿）》公開征求意見

《辦法》對相關(guān)組織或個人如何規(guī)范使用人臉識別技術(shù)提出了具體安全要求，明確了人臉識別技術(shù)應(yīng)用的“最小使用原則”、“告知-同意原則”和“最小存儲原則”，并規(guī)定人臉識別技術(shù)使用者處理人臉信息，應(yīng)當事前進行個人信息保護影響評估，以及每年對圖像采集設(shè)備、個人身份識別設(shè)備的安全性和可能存在的風(fēng)險進行檢測評估，并根據(jù)檢測評估情況改進安全策略，調(diào)整置信度閾值，采取有效措施保護圖像采集設(shè)備、個人身份識別設(shè)備免受攻擊、侵入、干擾和破壞。

10. 2023年8月10日，國家認監(jiān)委發(fā)布《關(guān)于修訂網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則的公告》（2023年第14號）

《公告》發(fā)布之后，《關(guān)于發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則的公告》（國家認監(jiān)委2018年第28號公告）同時廢止，此前已經(jīng)頒發(fā)的有效安全認證證書可繼續(xù)使用，證書轉(zhuǎn)換工作采取到期換證、產(chǎn)品變更、標準換版等自然過渡的方式完成。

11. 2023年9月28日，國家網(wǎng)信辦發(fā)布《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》公開征求意見

《規(guī)定》圍繞申報數(shù)據(jù)出境安全評估義務(wù)、個人信息出境標準合同簽署與備案義務(wù)、開展個人信息保護認證義務(wù)的全新觸發(fā)條件展開，其中對數(shù)據(jù)跨境給出了更為明確的定義與界定，以及對于何時、在哪些情境下需要進行數(shù)據(jù)出境安全評估，以及何時可以豁免等，都提供了更加明確的指引。

標準

第二部分

一、國家標準

1. 2023年8月6日，國家標準GB/T 35274-2023《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》發(fā)布

本標準規(guī)定了大數(shù)據(jù)服務(wù)提供者的大數(shù)據(jù)服務(wù)安全能力要求，包括大數(shù)據(jù)組織管理安全能力、大數(shù)據(jù)處理安全能力和大數(shù)據(jù)服務(wù)安全風(fēng)險管理能力的要求。

2. 2023年8月6日，國家標準GB/T 42884-2023《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序（App）生命周期安全管理指南》發(fā)布

本標準提供了移動互聯(lián)網(wǎng)應(yīng)用程序（App）生命周期階段管理過程和風(fēng)險監(jiān)測管理過程的安全管理指南，并給出了App存在的安全問題分類及描述。

3. 2023年8月6日，國家標準GB/T 42888-2023《信息安全技術(shù) 機器學(xué)習(xí)算法安全評估規(guī)范》發(fā)布

本標準規(guī)定了機器學(xué)習(xí)算法技術(shù)和服務(wù)的安全要求和評估方法，以及機器學(xué)習(xí)算法安全評估流程，并給出了算法推薦服務(wù)安全要求和評估方法。

4. 2023年8月6日，國家標準GB/Z 42885-2023《信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南》發(fā)布

本標準確立了網(wǎng)絡(luò)安全信息共享活動要素和基本原則，描述了共享活動的范圍和過程，并給出了網(wǎng)絡(luò)安全信息共享活動和模式的示例。

5. 2023年8月6日，國家標準GB/T 42926-2023《金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》發(fā)布

本標準確立了金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估工作的要點、原則、要素和原理，規(guī)定了風(fēng)險評估準備階段、識別階段、風(fēng)險計算及處理階段工作的要求。

6. 2023年8月6日，國家標準GB/T 42708-2023《金融網(wǎng)絡(luò)安全威脅信息共享指南》發(fā)布

本標準給出了金融網(wǎng)絡(luò)安全威脅信息的共享框架、共享原則、共享方式、共享流程、質(zhì)量管理、保障機制、安全管理等方面的建議。

7. 2023年8月6日，國家標準GB/T 42775-2023《證券期貨業(yè)數(shù)據(jù)安全風(fēng)險防控 數(shù)據(jù)分類分級指引》發(fā)布

本標準提供了證券期貨業(yè)數(shù)據(jù)分類分級的適用數(shù)據(jù)范圍、保障措施、數(shù)據(jù)分類分級的原則和方法、數(shù)據(jù)分類分級中的關(guān)鍵問題處理的建議。

8. 2023年8月6日，國家標準GB/T 42929-2023《互聯(lián)網(wǎng)金融智能風(fēng)險防控技術(shù)要求》發(fā)布

本標準規(guī)定了互聯(lián)網(wǎng)金融場景下智能風(fēng)險防控技術(shù)所需滿足的技術(shù)框架、功能要求、技術(shù)要求、實現(xiàn)的安全要求以及運行要求等。

9. 2023年8月6日，國家標準GB/T 42930-2023《互聯(lián)網(wǎng)金融 個人身份識別技術(shù)要求》發(fā)布

本標準規(guī)定了應(yīng)用于互聯(lián)網(wǎng)金融服務(wù)的個人身份識別技術(shù)要求，包括技術(shù)框架、憑據(jù)技術(shù)要求、身份識別技術(shù)要求以及安全要求。

10. 2023年9月7日，國家標準GB/T 32914-2023《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求》發(fā)布

本標準規(guī)定了網(wǎng)絡(luò)安全服務(wù)機構(gòu)開展網(wǎng)絡(luò)安全服務(wù)應(yīng)具備的能力要求。適用于指導(dǎo)網(wǎng)絡(luò)安全服務(wù)機構(gòu)開展網(wǎng)絡(luò)安全服務(wù)，以及評價網(wǎng)絡(luò)安全服務(wù)機構(gòu)的能力水平，也可為網(wǎng)絡(luò)安全服務(wù)需求方選擇網(wǎng)絡(luò)安全服務(wù)機構(gòu)時提供參考。

11. 2023年9月7日，國家標準GB/T 32916-2023《信息安全技術(shù) 信息安全控制評估指南》發(fā)布

本標準等同采用國際標準ISO/IEC TS 27008:2019《Information technology-Security techniques-Guidelines for the assessment of information security controls》, 為GB/T 22080中所給出的信息安全管理過程、確定的相關(guān)信息安全控制措施及要求，如何建設(shè)組織適用、有效且高效的信息安全控制措施提供了實施指南。

12. 2023年9月7日，國家標準GB/T 43206-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用測評要求》發(fā)布

本標準規(guī)定了信息系統(tǒng)第一級到第四級密碼應(yīng)用的通用測評要求、技術(shù)測評要求、管理測評要求，并給出了整體測評要求、風(fēng)險分析和評價、測評結(jié)論的要求，其中，信息系統(tǒng)密碼應(yīng)用等級與GB/T 39786-2021規(guī)定的密碼應(yīng)用等級一致。

13. 2023年9月7日，國家標準GB/T 43207-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用設(shè)計指南》發(fā)布

本標準給出了信息系統(tǒng)密碼應(yīng)用方案設(shè)計技術(shù)指南，為商用密碼應(yīng)用“三同步一評估”過程中規(guī)劃、建設(shè)、運行、密評等工作提供了重要指導(dǎo)和參考建議。

二、行業(yè)標準

1. 2023年7月28日，行業(yè)標準YD/T 4207-2023《基于容器的平臺安全能力要求》發(fā)布

本標準規(guī)定了基于容器的平臺基礎(chǔ)級、增強級和先進級的安全能力要求，該標準內(nèi)容包括基礎(chǔ)設(shè)施安全能力要求、軟件供應(yīng)鏈安全能力要求、容器運行時安全能力要求以及日志管理能力要求。

2. 2023年7月28日，行業(yè)標準YD/T 4208-2023《面向云計算的安全運營中心能力要求》發(fā)布

本標準規(guī)定了面向云計算的安全運營中心的能力要求，分為安全運營中心技術(shù)平臺能力要求、運營流程管控能力要求及人員服務(wù)能力要求三大部分，從平臺、人員、運營三方面對于面向云計算的安全運營中心能力進行規(guī)范。

3. 2023年7月28日，行業(yè)標準YD/T 4323-2023《物聯(lián)網(wǎng)管理平臺安全防護要求》發(fā)布

本標準規(guī)定了物聯(lián)網(wǎng)管理平臺分安全保護等級的安全防護要求，涉及到業(yè)務(wù)數(shù)據(jù)安全、業(yè)務(wù)及應(yīng)用安全、網(wǎng)絡(luò)安全、設(shè)備及軟件系統(tǒng)安全、接入終端安全、物理安全和管理安全。

4. 2023年7月28日，行業(yè)標準YD/T 4324-2023《無人機管理（服務(wù)）平臺安全防護要求》發(fā)布

本標準規(guī)定了無人機管理（服務(wù)）平臺按安全保護等級的安全防護要求，涉及業(yè)務(wù)應(yīng)用安全、網(wǎng)絡(luò)安全、設(shè)備安全、物理環(huán)境安全和管理安全。

5. 2023年7月28日，行業(yè)標準YD/T 4325-2023《電信網(wǎng)和互聯(lián)網(wǎng)安全防護要求及檢測方法 存儲設(shè)備》發(fā)布

本標準規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)中所使用的存儲設(shè)備應(yīng)具備的安全能力要求，及存儲設(shè)備供應(yīng)商在設(shè)計開發(fā)存儲設(shè)備時應(yīng)滿足的過程要求，以保障電信網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)安全可靠的運行。

6. 2023年7月28日，行業(yè)標準YD/T 4326-2023《物聯(lián)網(wǎng)業(yè)務(wù)安全態(tài)勢感知系統(tǒng)技術(shù)要求》發(fā)布

本標準規(guī)定了物聯(lián)網(wǎng)業(yè)務(wù)安全態(tài)勢感知系統(tǒng)的總體技術(shù)架構(gòu)、功能要求、數(shù)據(jù)要求和性能要求等，適用于基礎(chǔ)電信企業(yè)及物聯(lián)網(wǎng)平臺企業(yè)的物聯(lián)網(wǎng)業(yè)務(wù)安全態(tài)勢感知系統(tǒng)的設(shè)計與開發(fā)。

7. 2023年7月28日，行業(yè)標準YD/T 4327-2023《物聯(lián)網(wǎng)終端安全態(tài)勢感知系統(tǒng)技術(shù)要求》發(fā)布

本標準規(guī)定了物聯(lián)網(wǎng)終端安全態(tài)勢感知系統(tǒng)的總體技術(shù)架構(gòu)、功能要求、安全要求和性能要求等，適用于基礎(chǔ)電信企業(yè)及物聯(lián)網(wǎng)平臺企業(yè)的物聯(lián)網(wǎng)終端安全態(tài)勢感知系統(tǒng)的設(shè)計與開發(fā)。

8. 2023年7月28日，行業(yè)標準YD/T 4338-2023《面向電信網(wǎng)的安全威脅信息分析系統(tǒng)技術(shù)要求》發(fā)布

本標準規(guī)定了基礎(chǔ)電信企業(yè)安全威脅信息分析系統(tǒng)的組網(wǎng)架構(gòu)、功能架構(gòu)、功能要求，以及可靠性、可擴展性等非功能性要求，適用于基礎(chǔ)電信網(wǎng)絡(luò)安全威脅信息分析系統(tǒng)的開發(fā)及檢測。

9. 2023年7月28日，行業(yè)標準YD/T 2387-2023《網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)技術(shù)要求》發(fā)布

本標準規(guī)定了網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的功能要求、性能要求、技術(shù)要求以及接口要求，適用于計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)組織的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，也可供其他相關(guān)部門參考使用。

以制度建設(shè)不斷提高國家網(wǎng)絡(luò)安全保障能力，天融信將堅定不移爭做網(wǎng)絡(luò)安全政策的踐行者、網(wǎng)絡(luò)安全標準的貢獻者，持續(xù)關(guān)注國家政策，積極參與標準研制，為網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展和建設(shè)貢獻力量。