網路安全政策法規月月談（第4期）

欄目簡介

伴隨數字化和網路安全深入發展，網路安全市場的政策性特徵日漸顯著，合規需求已與攻防需求一道，成為引領網路安全產業發展的兩大核心驅動力。

本欄目立足團隊在網路安全政策法規方面的日常跟蹤，分析篩選國內外近期部分熱點政策法規檔案，並重點結合網路安全產業發展，對其內容跟和影響等進行簡析。欄目分為國內篇和國外篇，本期篩選分析2023年2月國內外發布的熱點政策法規。

歡迎共同研討和批評指正。

本期目錄

  +

+

國外篇

1.美國國防部發布新版《網路安全參考框架》

【內容概述】2023年2月7日，美國國防部發布《國防部網路安全參考框架》（5.0版本）（Department of Defense Cybersecurity Reference Architecture）（以下簡稱《框架》）。《框架》與美國國防部數字現代化戰略保持一致，旨在指導國防部實現網路安全現代化，並透過整合零信任原則來推動國防部的國防業務系統、國家安全系統和關鍵基礎設施/關鍵資源（包括國防部資訊科技及運營技術）的演進。

《框架》主要內容包括：一是描述了架構中的操作活動（Operational Activities），包含識別、管理、控制、保護、檢測、分析、自動化和協作等8項活動；二是提出了架構應當具備的能力（Capabilities），包含識別、保護、檢測、應對和恢復等5項能力；三是列舉了為滿足作戰人員要求所必需的特殊主題領域，包括雲端計算（Cloud Computing）、跨域服務（Cross Domain）、控制系統（Control Systems）和太空系統（Space Systems）等4個領域。

【導讀分析】《網路安全參考框架》最早於2012年釋出，經歷了多個版本的更迭，名稱也由“單一安全架構（Single Security Architecture, SSA）參考架構”變為“網路安全參考架構”。本次釋出的《框架》旨在落實《關於改善國家網路安全行政令》和《關於改善國家安全、國防部和情報界系統的網路安全備忘錄》等檔案要求，並與美國國防部《零信任戰略》要求相結合。《框架》將重點推進兩項戰略部署：一是透過自動響應行動實現綜合威懾（Integrated Deterrence）；二是透過採購計劃合作保持持久優勢（Enduring Advantages）。

從《框架》及其內容演變來看，加速雲化成為美國防部數字化轉型的重要方向，隨著網路邊界的日益淡化，雲上資產與資料的安全保障需求將持續加大。對於該《框架》，我們可以從以下兩個方面深化研究和理解：一是持續關注美方網路安全現代化相關政策舉措的落地，瞭解其一系列相關戰略、政策的基本脈絡，並關注其在具體推進過程中的關鍵動作和具體成效；二是夯實現代化背景下網路安全供給能力和體系，強化供應鏈安全並探索以新的技術手段、服務模式，為雲、跨域、太空等網路安全需求提供支撐和戰略儲備。

原文連結：https://dodcio.defense.gov/Portals/0/Documents/Library/CS-Ref-Architecture.pdf

  +

+

國內篇

1.國家網際網路資訊辦公室印發《個人資訊出境標準合同辦法》

【內容概述】2023年2月24日，國家網際網路資訊辦公室公佈《個人資訊出境標準合同辦法》（以下簡稱《辦法》），旨在保護個人資訊權益，規範個人資訊出境活動。《辦法》規定了個人資訊出境標準合同（以下簡稱標準合同）的適用範圍、和備案要求，明確了標準合同範本，為向境外提供個人資訊提供了具體指引。

《辦法》內容主要包括以下3方面：第一，明確了個人資訊出境標準合同的適用物件。一是非關鍵資訊基礎設施運營者；二是處理個人資訊不滿100萬人的；三是自上年1月1日起累計向境外提供個人資訊不滿10萬人的；四是自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的等。第二，規定了個人資訊出境訂立標準合同的流程。一是開展個人資訊保護影響評估；二是與境外接收方訂立標準合同；三是在標準合同生效之日起10個工作日內向所在地省級網信部門備案；四是在標準合同有效期內出現變化時應當重新開展影響評估、補充或重新訂立標準合同、並履行相應備案手續。第三，確定了監管主體。《辦法》明確規定了省級網信部門的監管責任，包括備案管理、舉報受理、約談整改等。此外，《辦法》還對法律責任、標準合同範本等作出了規定。

【導讀分析】近年來，我國高度重視個人資訊出境安全保護。《個人資訊保護法》第38條明確規定了個人資訊出境的相關條件，即透過國家網信部門組織的安全評估、進行個人資訊保護認證、以及與境外接收方訂立標準合同等。本次出臺的《個人資訊出境標準合同辦法》，與此前釋出的《資料出境安全評估辦法》、《個人資訊保護認證實施規則》形成互補，一同構建起完整的個人資訊出境安全保護體系，為我國個人資訊保安保護工作奠定了堅實基礎。

對行業來說，有兩方面需要重點關注。一是個人資訊出境安全評估業務機會，深化技術研究，針對個人資訊出境安全評估推出定製化工具，及時搶佔市場先機；二是要強化內部合規管理，強化相關資訊處理分析過程中的技術防護，切實加強對涉及個人資訊資料的保護。

原文連結：http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

2.中共中央 國務院印發《數字中國建設整體佈局規劃》

【內容概述】2023年2月27日，中共中央、國務院印發了《數字中國建設整體佈局規劃》（以下簡稱《規劃》），全面系統闡述了數字中國建設要點。《規劃》明確，數字中國建設按照“2522”的整體框架進行佈局，即夯實數字基礎設施和資料資源體系“兩大基礎”，推進數字技術與經濟、政治、文化、社會、生態文明建設“五位一體”深度融合，強化數字技術創新體系和數字安全屏障“兩大能力”，最佳化數字化發展國內國際“兩個環境”。

在網路安全方面，《規劃》強調要築牢可信可控的數字安全屏障。一是切實維護網路安全，完善網路安全法律法規和政策體系。二是增強資料安全保障能力，建立資料分類分級保護基礎制度，健全網路資料監測預警和應急處置工作體系。

【導讀分析】《規劃》的釋出，可以帶來四個方面的突破引領。一是以體系化完善發展格局，《規劃》透過“2522”的框架，及面向體系化、生態化的設計，助力我國網路和資料安全產業擴大規模。二是以務實性擴充應用需求，《規劃》將重點應用領域同在建或將要建設的大工程、大平臺相銜接，無疑將有助於啟發和擴充套件網路資料安全應用的增量市場。三是以內生性明確供給方向，《規劃》提出技術自立、安全可控的要求，會成為引領和擴充市場增長的重要突破口。四是以重點化強化機制保障，《規劃》透過具體化機構、資金等保障措施，以及強化對“黨政領導幹部和公務員”的考核與技能要求等，拓寬網路和資料安全市場的發展維度。

原文連結：http://www.cac.gov.cn/2023-02/27/c_1679136694986243.htm

附錄：2023年2月國內外重要政策一覽表