2023年第一季度国内网络安全相关法律、政策文件和标准

伴随着互联网的发展，网路安全立法经历了从无到有、从少到多、由点到面、由面到体的发展过程，现在我国已基本产生以宪法为根本，以法律、行政法规、部门规章和地方性法规、地方政府规章为借助，以网路安全标准为手册的网路安全保障机制，为国家网路安全建设提供了坚固的机制保障。小编为你们整理了2023年第一季度国外网路安全相关重要法律、政策文件和标准，供你们参考。

2023Q1新政揭秘

#

1.2023年1月6日，美国期货业商会向券商下发《证券公司网路和信息安全两年提高计划（2023-2025）》（征询意见稿） #

《提升计划》聚焦期货公司网路和信息安全能力领域普遍存在的基础性和深层次问题，从科技整治能力、科技投入模式、信息系统构架规划设计、研发检测效能与品质、系统运行保障能力和网路信息安全防护机制等六个方面明晰提出提高方向和要求。其中，在科技投入体系方面，鼓励有条件的公司2023-2025三个年度信息科技投入平均总额不超过上述三个年度平均净收益的8%或平均营业收入的6%，其中网路和信息安全投入不高于信息科技投入的7%。 #

2.2023年1月13日，住建部、网信办、发改委、公安部等十六部委联合公布《工业和信息化部等十六部委关于推动数据安全产业发展的指导意见》（住建部联网安〔2022〕182号）

《意见》聚焦数据安全保护及相关数据资源开发运用需求：一是提出推动数据安全产业发展的总体要求，并按2025年、2035年两个阶段提出产业发展目标，其中2023环境风险评价技术导则，到2025年，数据安全产业规模超出1500万元，年复合下降率少于30%；到2035年，数据安全产业步入繁荣成熟期。二是明晰推动数据安全产业发展的七项重点任务。三是提出强化组织协调、加大新政支撑和优化产业发展环境三方面保障举措。 #

3.2023年2月1日，国家邮局势举行市长办帮派，审议并原则通过《寄递服务用户个人信息安全管理规定（报批稿）》

#

《规定》指出邮局管理部委要落实好监管责任，督促寄递企业推进网路安全、数据安全和个人信息保护工作，并针对寄递企业不同工作步骤分别提出了相应的用户个人信息保护要求，加强了个人信息安全实时检测能力，严密防控和遏止重大安全风险、事件发生。

4.2023年2月24日，国家网信办公布《个人信息入境标准协议方法》（国家互联网信息办公室令第13号） #

《办法》明确通过签订标准协议的形式举办个人信息入境活动，必须坚持自主缔约与备案管理相结合、保护权益与防控风险相结合，保障个人信息跨境安全、自由流动。 #

5.2023年2月27日，共青团中央、国务院公布《数字美国建设整体布局规划》 #

《规划》指出要加强数字美国关键能力。一是构建自立自强的数字技术创新机制；二是构筑可信可控的数字安全屏障，主要提及着力维护网路安全，建立网路安全法律法规和新政机制，提高数据安全保障能力，构建数据分类分级保护基础机制，建立网路数据检测预警和应急处置工作机制。

6.2023年3月3日，美国证监会公布《证券证券业网路和信息安全管理方法》（证监会令【第218号】）

#

《办法》全面覆盖了包括期货证券业关键信息基础设施营运者、核心机构、经营机构、信息技术系统服务机构等各种主体，以安全保障为基本原则，从网路和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全推动与发展、监督管理和法律责任等方面提出要求。

7.2023年3月16日2023环境风险评价技术导则，国务院新闻办公室公布《新时代的美国网路法制建设》白皮书 #

《白皮书》全面介绍了美国网路法制建设状况，分享了美国网路法制建设的经验做法，其中在网路安全方面提及，网路安全是国家安全的新课题和新内容，是攸关全局的重大问题，美国通过制订国家安全法、网络安全法、数据安全法等法律，系统建立了网路安全法律体制，并举行了一系列网路安全执法工作，机制化建立起网路时代的安全环境。

8.2023年3月28日，市场监管总署、中央网信办、工信部、公安部公布《关于召开网路安全服务认证工作的推行意见》（国市监认证规〔2023〕3号）

#

《意见》旨在推动网路安全服务认证机制建设，提高网路安全服务机构能力水平和服务品质。其中，明晰提出现阶段网路安全服务认证目录包括测试评估、安全维保、安全咨询和等级保护评测等服务类型。

#

2023Q1标准揭秘

#

1.2023年2月7日，行业标准JR/T0276—2023《证券证券业信息系统渗透检测手册》发布

#

本标准提供了在期货证券业信息系统建设过程中举行渗透检测的整体步骤，同时提供了在渗透检测企划、渗透检测设计、渗透检测执行、渗透检测小结、渗透检测风险管理等环节怎样保障检测品质、控制安全风险的操作手册。 #

2.2023年3月1日，国家职业标准2-02-38-12《数据安全安装工程技术人员国家职业标准》和2-02-38-13《密码安装工程技术人员国家职业标准》发布

两项标准根据《国家职业标准编制技术细则(专业技术类)》有关要求，分别对数据安全安装工程从业者、密码安装工程技术从业人员的专业活动内容进行规范细腻描述,明晰了各等级专业技术人员的工作领域、工作内容以及知识水平、专业能力和实践要求。

#

3.2023年3月17日，国家标准GB/T15843.3-2023《信息技术安全技术实体分辨第3部份：选用数字签名技术的模式》发布 #

本标准规定了选用基于非对称技术的数字签名的实体辨别模式，主要给出了两类模式，第一类共五种模式不引进在线可信第三方，第二类共五种模式引进在线可信第三方。在这两类体系中，分别各有两种模式实现双向鉴定，各有三种模式实现单向鉴定。 #

4.2023年3月17日，国家标准GB/T17902.1-2023《信息技术安全技术带附表的数字签名第1部份：绪论》发布 #

本标准规范了一系列的任意消息宽度的带附表的数字签名模式，包含了一系列带附表的数字签名的基本原则与要求，同时也包括了该系列标准的所有部份都用到的定义与符号。

#

5.2023年3月17日，国家标准GB/T20274.1-2023《信息安全技术信息系统安全保障评估框架第1部份：简介和通常模型》发布

#

本标准给出了信息系统安全保障模型，确立了信息系统安全保障建设和评估的框架，并确立了信息系统安全技术保障、管理保障和安装工程保障建设，以及给出了评估要求和内容。 #

6.2023年3月17日，国家标准GB/T21053-2023《信息安全技术私钥基础设施PKI系统安全技术要求》、GB/T20234-2023《信息安全技术私钥基础设施PKI系统安全评测办法》发布 #

两项标准互为配套，《技术要求》规定了五个等级的PKI系统的技术要求，每位等级的技术要求包括：化学安全、角色与责任、访问控制、密钥管理、轮廓管理、证书管理、配置管理、分发与操作等。而《测评办法》则规定了不同等级PKI系统所须要满足的评估内容。 #

7.2023年3月17日，国家标准GB/T32922-2023《信息安全技术IPSecVPN安全接入基本要求与推行手册》发布 #

本标准明晰了选用IPSecVPN技术实现安全接入的场景，提出了IPSecVPN安全接入应用过程中有关网段、客户端以及安全管理等方面的要求，同时给出了IPSecVPN安全接入的推行过程指导。

8.2023年3月17日，国家标准GB/T33134-2023《信息安全技术公共域名服务系统安全要求》发布 #

本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求，适用于顶尖域名服务系统，其他各级域名服务系统、递归域名服务系统的开发和管理，也适用于举行公共域名服务系统的单位使用。

#

9.2023年3月17日，国家标准GB/T42446-2023《信息安全技术网路安全从业人员能力基本要求》发布

本标准建立了网路安全从业人员分类，规定了各种从业人员具有的知识和技能要求，适用于党政机关、网络营运者、网络安全教育和科研机构等各种组织对网路安全从业人员的使用、培养、评价、管理等。 #

10.2023年3月17日，国家标准GB/T42447-2023《信息安全技术联通领域数据安全手册》发布 #

本标准提出了联通领域大数据分类分级方式，基于联通领域大数据生存周期安全和通用安全从管理和技术两方面给出了防护手册，并针对平台与组件安全给出了实现手册。

11.2023年3月17日，国家标准GB/T42453-2023《信息安全技术网路安全态势感知通用技术要求》发布 #

本标准描述了进行网路安全态势感知能力建设的单位应考虑的技术方面的能力要求，可为政府部委、企事业单位等组织机构的网路安全态势感知能力建设提供参考，也适用于第三方机构对网路安全态势感知能力进行测试和评估。 #

12.2023年3月17日，国家标准GB/T42460-2023《信息安全技术个人信息去标示化疗效评估手册》发布

#

本标准提出了个人信息去标示化疗效的分级评估方式，包括个人信息去标示化疗效评估步骤和评估推行，适用于个人信息去标示化活动，也适用于举办个人信息安全管理、监管和评估。 #

13.2023年3月17日，国家标准GB/T42461-2023《信息安全技术网路安全服务费用测度手册》发布

本标准建立了网路安全服务费用构成，提供了网路安全服务费用测度手册，标准中的网路安全服务费用不包含收益，适用于网路安全服务供求双方举行网路安全服务费用决算、项目招招标、项目预算以及相关协议编制等活动。

#

14.2023年3月17日，国家标准GB/T42456-2023《工业手动化和控制系统信息安全IACS组件的安全技术要求》发布 #

本标准定义了适于工业手动化和控制系统（IACS）组件的信息安全技术要求，包括通用控制系统安全约束、标识和鉴定控制、使用控制、系统完整性、数据保密性、受限的数据流、对丑闻的及时响应、资源可用性、软件应用要求、嵌入式设备要求、主机设备要求、网络设备要求等内容。 #

15.2023年3月17日，国家标准GB/T42457-2023《工业手动化和控制系统信息安全产品安全开发生命周期要求》发布 #

本标准定义了一个适于开发和维护安全产品的安全开发生命周期（SDL），包括信息安全管理、信息安全要求规范、安全设计、信息安全施行、信息安全验证和确认检测、管理与安全有关的问题、安全更新管理、信息安全导则等内容。 #

以体制建设不断提升国家网路安全保障能力，天融信作为国外首家网路安全企业，定当不忘初心，恪守使命，坚定不移当好网路安全新政的弘扬者、网络安全标准的贡献者。未来，天融信将持续关注国家新政，积极参与标准研发，为网路安全产业发展和建设贡献力量。 #