網路安全政策法規月月談（第一期）

欄目簡介

伴隨數字化和網路安全深入發展，網路安全市場的政策性特徵日漸顯著，合規需求已與攻防需求一道，成為引領網路安全產業發展的兩大核心驅動力。

本欄目立足團隊在網路安全政策法規方面的日常跟蹤，分析篩選國內外近期部分熱點政策法規檔案，並重點結合網路安全產業發展，對其內容跟和影響等進行簡析。欄目分為國內篇和國外篇，本期篩選分析2022年11月國內外發布的熱點政策法規。

歡迎共同研討和批評指正。

國外篇

1.美國國防部發布零信任戰略和路線圖

【內容概述】2022年11月22日，美國國防部（DoD）釋出《國防部零信任戰略》（DoD Zero Trust Strategy）（以下簡稱《戰略》）和《國防部零信任能力執行路線圖》（DoD Zero Trust Capability Execution Roadmap）（以下簡稱《路線圖》），旨在應對當前存在的威脅，並明確了美國國防部到2027財年實現“目標零信任”（Zero Trust goals and objectives）所需採取的措施。

《戰略》概述了部署零信任架構的四項綜合戰略目標：一是培育零信任文化（Zero Trust Cultural），即在美國國防部內培養零信任思維和文化，指導美軍對零信任生態系統中資訊科技的設計、開發、整合和部署。二是保護和捍衛美國國防部資訊系統，即在國防部新舊資訊系統中納入零信任架構，增強資訊系統彈性，實現防護能力整體升級。三是加速推動美國國防部零信任技術發展，即在國防部內以等同或超過行業進步水平的速度部署零信任技術，使技術水平在變化的威脅環境中保持領先。四是賦能美國國防部零信任工作，即要求國防部及其下屬機構的工作流程、政策和資金安排應與零信任工作同步。

此外，《戰略》提出了三個行動方案（COA），以最終實現美國國防部設想的零信任目標：一是建立零信任“基線”，本次釋出的《路線圖》提供了實現該目標的指南，包括國防部零信任能力、零信任能力時間線等；二是依靠商業供應商開發符合零信任的雲環境；三是利用政府擁有的私有云。未來國防部還將制定針對後兩項措施的路線圖以加速零信任的部署應用。

原文連結：https://www.defense.gov/News/Releases/Release/Article/3225919/department-of-defense-releases-zero-trust-strategy-and-roadmap/

【導讀分析】伴隨著日益激烈的地緣政治博弈，針對國防資訊系統的惡意攻擊逐漸突顯，傳統的網路防護手段已無法應對新形勢下的安全挑戰，由此美國政府加快推進零信任領域的戰略部署，相繼釋出《推動美國政府向網路安全零信任原則邁進備忘錄》（Moving the U.S. Government Toward Zero Trust Cybersecurity Principles）、《國防部零信任參考架構》（The Department of Defense’s Zero Trust Reference Architecture）、《實施零信任架構》（Implementing a Zero Trust Architecture）等一系列政策和標準檔案。本次釋出的《戰略》和《路線圖》進一步完善了美國國防部零信任安全建設體系，對於全面建立綜合清晰的國防安全系統網路安全體系具有重大意義。

目前，我國正在積極推進零信任相關政策及標準制定，如《網路安全產業高質量發展三年行動計劃（2021-2023年）》、《資訊保安技術 零信任參考體系架構》（徵求意見稿）等對零信任做出相關部署。美國本次及此前釋出的零信任戰略檔案和標準規範，在工作體系和具體內容上均有值得我們借鑑之處：一是從頂層設計到實施落地的全面工作體系；二是從目標設定到實現方法的具體指導內容。對行業而言，可重點關注美國國防部設定的零信任支柱（使用者；裝置；網路和環境；應用程式和工作負載；資料；可見性和分析；以及自動化和排列）及其具體實現的技術等，輔助最佳化零信任領域產品、技術和解決方案。

2.美國網路安全和基礎設施安全域性釋出新版《基礎設施彈性規劃框架》

【內容概述】2022年11月22日，美國網路安全和基礎設施安全域性（CISA）釋出更新後的《基礎設施彈性規劃框架》（Infrastructure Resilience Planning Framework, IRPF）（以下簡稱《框架》），旨在幫助使用者識別關鍵基礎設施、評估相關風險以及開發和實施彈性的解決方案。

《框架》確定了五個關鍵步驟，透過解決關鍵基礎設施的依賴性問題來增強系統彈性。一是奠定基礎。包括如何組建協作規劃小組，讓基礎設施利益相關者參與進來，並審查可能與規劃工作相關的現有資訊。二是識別關鍵基礎設施。包括如何識別對組織至關重要的基礎設施以及基礎設施系統和資產之間的依賴關係。三是評估風險。包括評估關鍵基礎設施風險的方法，可以為緩解措施的制定和優先排序提供資訊。四是制定行動。包括關於確定緩解策略以解決優先基礎設施風險和實現組織彈性目標的指南。五是實施和評估。包括組織如何透過現有的規劃機制、潛在的資金來源和技術援助計劃實施優先的彈性解決方案。

原文連結：

https://www.cisa.gov/news-events/news/cisa-updates-infrastructure-resilience-planning-framework

【導讀分析】《基礎設施彈性規劃框架》可以被應用於美國《總統政策指令21：關鍵基礎設施安全和彈性》（Presidential Policy Directive 21：Critical Infrastructure Security and Resilience）確定的16類關鍵基礎設施，包括通訊、能源、金融、醫療、資訊科技等，這些設施的網路資訊系統類似於我國的“關鍵資訊基礎設施”。《基礎設施彈性規劃框架》於2021年首次釋出，旨在幫助美國各地方政府將關鍵基礎設施的彈性因素納入部門規劃活動。本次更新的《框架》增加了重要資源和實現工具，如提供關鍵基礎設施識別資料集指南、增加CISA評估地方基礎設施彈性的方法等，從而能夠更好地支援合作伙伴應對不斷變化的威脅環境。

《框架》在關鍵基礎設施的認定、網路安全事件應對處置等方面提出了許多可操作性的舉措，或對我國相應工作有所啟示。例如在關鍵基礎設施認定方面，我國在《關鍵資訊基礎設施安全保護條例》中提出了原則性的要求，如“保護工作部門結合本行業、本領域實際，制定關鍵資訊基礎設施認定規則，並報國務院公安部門備案”等。同樣，對於網路安全事件應對處置方面，可操作性需求也較為突出。跟蹤觀察美國在這些方面的後續行動和效果，不失為完善我國相關制度的途徑之一。

國內篇

1.國家市場監督管理總局、國家網際網路資訊辦公室釋出《關於實施個人資訊保護認證的公告》及《個人資訊保護認證實施規則》

【內容概述】2022年11月18日，國家市場監督管理總局、國家網際網路資訊辦公室聯合釋出《關於實施個人資訊保護認證的公告》（以下簡稱《公告》），鼓勵個人資訊處理者透過認證方式提升個人資訊保護能力。同時釋出的《個人資訊保護認證實施規則》（以下簡稱《認證規則》）還明確了認證物件、認證流程與合規要求等內容。

第一，《認證規則》明確了個人資訊保護認證適用的主體與行為。一是個人資訊保護認證的適用物件為“個人資訊處理者”；二是個人資訊保護認證的適用範圍為：“開展個人資訊收集、儲存、使用、加工、傳輸、提供、公開、刪除”等處理活動；開展個人資訊“跨境”處理活動。第二，《認證規則》對個人資訊保護認證實施程式做出了詳細規定，獲得認證需經過“認證申請-資料審查-技術驗證-現場稽核-認證決定-獲證後監督”等一系列環節。第三，《認證規則》明確指出《資訊保安技術 個人資訊保安規範》（GB/T 35273）是個人資訊保護認證的主要依據，此外對於開展跨境處理活動的個人資訊處理者，還應當遵循《網路安全標準實踐指南—個人資訊跨境處理活動安全認證規範》（TC260-PG-20222A）。

原文連結：

http://www.cac.gov.cn/2022-11/18/c_1670399936658129.htm

【導讀分析】網路安全、資料安全和個人資訊保護是當前我國網路安全工作的三個主要領域。此前，我國發布了一系列相關領域的認證。其中，網路安全領域認證包括：網路關鍵裝置和網路安全專用產品安全認證、網路安全審計服務資質認證等；資料安全領域認證包括：資料安全管理認證、資料安全能力成熟度認證等；個人資訊保安領域認證包括：移動網際網路應用程式（App）安全認證、個人資訊保安管理體系認證等。本次個人資訊保護認證工作的啟動，進一步補充完善了個人資訊保安管理領域的認證體系，對個人資訊處理者提升自身個人資訊保護能力提供了新的重要途徑。

個人資訊保護認證對網路安全產業發展的影響和促進主要體現在以下兩方面：一是，在資料安全產業供給側，《認證規則》將帶動個人資訊保護認證相關服務的發展。此前，國家市場監管總局開展“移動網際網路應用程式（App）個人資訊保安測試專案”能力驗證計劃，由此可推斷個人資訊保護認證領域也不排除組織開展類似專項計劃的可能、並繼而推進建立健全技術檢測機構（或實驗室）的准入機制。二是，在資料安全產業需求側，將在一定程度上促進企業提高對個人資訊保護落地的自覺性，主動構建和完善自身個人資訊保安防護體系。對行業而言，可重點關注規範個人資訊處理安全技術要求、建立個人資訊保安管理制度和規範個人資訊跨境處理活動等三方面工作要求。

附錄：2022年11月國內外重要政策一覽表