欄目簡介
伴隨數字化和網路安全深入發展,網路安全市場的政策性特徵日漸顯著,合規需求已與攻防需求一道,成為引領網路安全產業發展的兩大核心驅動力。
本欄目立足團隊在網路安全政策法規方面的日常跟蹤,分析篩選國內外近期部分熱點政策法規檔案,並重點結合網路安全產業發展,對其內容跟和影響等進行簡析。欄目分為國內篇和國外篇,本期篩選分析2023年2月國內外發布的熱點政策法規。
歡迎共同研討和批評指正。
本期目錄
1 | 美國國防部發布新版《網路安全參考框架》 |
2 | 國家網際網路資訊辦公室印發《個人資訊出境標準合同辦法》 |
3 | 中共中央 國務院印發《數字中國建設整體佈局規劃》 |
+
+
國外篇
1.美國國防部發布新版《網路安全參考框架》
【內容概述】2023年2月7日,美國國防部發布《國防部網路安全參考框架》(5.0版本)(Department of Defense Cybersecurity Reference Architecture)(以下簡稱《框架》)。《框架》與美國國防部數字現代化戰略保持一致,旨在指導國防部實現網路安全現代化,並透過整合零信任原則來推動國防部的國防業務系統、國家安全系統和關鍵基礎設施/關鍵資源(包括國防部資訊科技及運營技術)的演進。
《框架》主要內容包括:一是描述了架構中的操作活動(Operational Activities),包含識別、管理、控制、保護、檢測、分析、自動化和協作等8項活動;二是提出了架構應當具備的能力(Capabilities),包含識別、保護、檢測、應對和恢復等5項能力;三是列舉了為滿足作戰人員要求所必需的特殊主題領域,包括雲端計算(Cloud Computing)、跨域服務(Cross Domain)、控制系統(Control Systems)和太空系統(Space Systems)等4個領域。
【導讀分析】《網路安全參考框架》最早於2012年釋出,經歷了多個版本的更迭,名稱也由“單一安全架構(Single Security Architecture, SSA)參考架構”變為“網路安全參考架構”。本次釋出的《框架》旨在落實《關於改善國家網路安全行政令》和《關於改善國家安全、國防部和情報界系統的網路安全備忘錄》等檔案要求,並與美國國防部《零信任戰略》要求相結合。《框架》將重點推進兩項戰略部署:一是透過自動響應行動實現綜合威懾(Integrated Deterrence);二是透過採購計劃合作保持持久優勢(Enduring Advantages)。
從《框架》及其內容演變來看,加速雲化成為美國防部數字化轉型的重要方向,隨著網路邊界的日益淡化,雲上資產與資料的安全保障需求將持續加大。對於該《框架》,我們可以從以下兩個方面深化研究和理解:一是持續關注美方網路安全現代化相關政策舉措的落地,瞭解其一系列相關戰略、政策的基本脈絡,並關注其在具體推進過程中的關鍵動作和具體成效;二是夯實現代化背景下網路安全供給能力和體系,強化供應鏈安全並探索以新的技術手段、服務模式,為雲、跨域、太空等網路安全需求提供支撐和戰略儲備。
原文連結:https://dodcio.defense.gov/Portals/0/Documents/Library/CS-Ref-Architecture.pdf
+
+
國內篇
1.國家網際網路資訊辦公室印發《個人資訊出境標準合同辦法》
【內容概述】2023年2月24日,國家網際網路資訊辦公室公佈《個人資訊出境標準合同辦法》(以下簡稱《辦法》),旨在保護個人資訊權益,規範個人資訊出境活動。《辦法》規定了個人資訊出境標準合同(以下簡稱標準合同)的適用範圍、和備案要求,明確了標準合同範本,為向境外提供個人資訊提供了具體指引。
《辦法》內容主要包括以下3方面:第一,明確了個人資訊出境標準合同的適用物件。一是非關鍵資訊基礎設施運營者;二是處理個人資訊不滿100萬人的;三是自上年1月1日起累計向境外提供個人資訊不滿10萬人的;四是自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的等。第二,規定了個人資訊出境訂立標準合同的流程。一是開展個人資訊保護影響評估;二是與境外接收方訂立標準合同;三是在標準合同生效之日起10個工作日內向所在地省級網信部門備案;四是在標準合同有效期內出現變化時應當重新開展影響評估、補充或重新訂立標準合同、並履行相應備案手續。第三,確定了監管主體。《辦法》明確規定了省級網信部門的監管責任,包括備案管理、舉報受理、約談整改等。此外,《辦法》還對法律責任、標準合同範本等作出了規定。
【導讀分析】近年來,我國高度重視個人資訊出境安全保護。《個人資訊保護法》第38條明確規定了個人資訊出境的相關條件,即透過國家網信部門組織的安全評估、進行個人資訊保護認證、以及與境外接收方訂立標準合同等。本次出臺的《個人資訊出境標準合同辦法》,與此前釋出的《資料出境安全評估辦法》、《個人資訊保護認證實施規則》形成互補,一同構建起完整的個人資訊出境安全保護體系,為我國個人資訊保安保護工作奠定了堅實基礎。
對行業來說,有兩方面需要重點關注。一是個人資訊出境安全評估業務機會,深化技術研究,針對個人資訊出境安全評估推出定製化工具,及時搶佔市場先機;二是要強化內部合規管理,強化相關資訊處理分析過程中的技術防護,切實加強對涉及個人資訊資料的保護。
原文連結:http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
2.中共中央 國務院印發《數字中國建設整體佈局規劃》
【內容概述】2023年2月27日,中共中央、國務院印發了《數字中國建設整體佈局規劃》(以下簡稱《規劃》),全面系統闡述了數字中國建設要點。《規劃》明確,數字中國建設按照“2522”的整體框架進行佈局,即夯實數字基礎設施和資料資源體系“兩大基礎”,推進數字技術與經濟、政治、文化、社會、生態文明建設“五位一體”深度融合,強化數字技術創新體系和數字安全屏障“兩大能力”,最佳化數字化發展國內國際“兩個環境”。
在網路安全方面,《規劃》強調要築牢可信可控的數字安全屏障。一是切實維護網路安全,完善網路安全法律法規和政策體系。二是增強資料安全保障能力,建立資料分類分級保護基礎制度,健全網路資料監測預警和應急處置工作體系。
【導讀分析】《規劃》的釋出,可以帶來四個方面的突破引領。一是以體系化完善發展格局,《規劃》透過“2522”的框架,及面向體系化、生態化的設計,助力我國網路和資料安全產業擴大規模。二是以務實性擴充應用需求,《規劃》將重點應用領域同在建或將要建設的大工程、大平臺相銜接,無疑將有助於啟發和擴充套件網路資料安全應用的增量市場。三是以內生性明確供給方向,《規劃》提出技術自立、安全可控的要求,會成為引領和擴充市場增長的重要突破口。四是以重點化強化機制保障,《規劃》透過具體化機構、資金等保障措施,以及強化對“黨政領導幹部和公務員”的考核與技能要求等,拓寬網路和資料安全市場的發展維度。
原文連結:http://www.cac.gov.cn/2023-02/27/c_1679136694986243.htm
附錄:2023年2月國內外重要政策一覽表