Q1重要政策及標準速覽

隨著我國網絡安全政策法規不斷健全，網絡安全工作機制也日漸成熟，各項工作已穩步步入法治化的軌道，與此同時，網絡安全標準體系逐步清晰，安全防線日益堅固，為國家的網絡安全建設提供了堅實的基礎。小編為大家整理了2024年第一季度國內網絡安全相關重要政策文件和標準，供大家參考。

第一部分：政策

1. 2024年1月3日，交通運輸部發布《鐵路關鍵信息基礎設施安全保護管理辦法》（中華人民共和國交通運輸部令2023年第20號）

《管理辦法》圍繞鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監督等方面提出安全管理要求，其中，規定運營者應建立鐵路關鍵信息基礎設施全過程保護制度，要求安全保護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用，并明確規定了運營者在機構設置、人員配備、經費保障、產品和服務采購、數據保護、密碼應用等方面的責任和義務。

2. 2024年1月4日，國家數據局、中央網信辦、科技部、工信部、中國人民銀行等十七部門聯合發布《“數據要素×”三年行動計劃（2024—2026年）》（國數政策〔2023〕11號）

《行動計劃》提出到2026年底，數據要素應用廣度和深度大幅拓展，在經濟發展領域數據要素乘數效應得到顯現，打造300個以上示范性強、顯示度高、帶動性廣的典型應用場景，數據產業年均增速超過20%，場內交易與場外交易協調發展，數據交易規模倍增，并從應用場景出發，明確提出了12項“數據要素×”重點行動。

3. 2024年1月11日，財政部發布《關于加強數據資產管理的指導意見》（財資〔2023〕141號）

《指導意見》要求數據資產各權利主體均應落實數據資產安全管理責任，按照分類分級原則，在網絡安全等級保護制度的基礎上，落實數據安全保護制度，把安全貫徹數據資產開發、流通、使用全過程，提升數據資產安全保障能力。

4. 2024年1月12日，工信部、中央網信辦、國標委聯合發布《區塊鏈和分布式記賬技術標準體系建設指南》（工信部聯科〔2023〕260號）

《建設指南》提出到2025年，初步形成支撐區塊鏈發展的標準體系，制定30項以上區塊鏈相關標準，基本滿足我國區塊鏈標準化需求，并明確區塊鏈和分布式記賬技術標準體系結構包括“A基礎”、“B技術和平臺”、“C應用和服務”、“D開發運營”、“E安全保障”五個部分。其中，“E安全保障”標準包括EA應用服務安全、EB系統設計安全、EC基礎組件安全，用于提升區塊鏈的安全防護能力。

5. 2024年1月30日，工信部發布《工業控制系統網絡安全防護指南》（工信部網安〔2024〕14號）

《防護指南》圍繞安全管理、技術防護、安全運營、責任落實四方面提出安全防護要求，一是聚焦安全風險管控，突出管理重點對象，提升工業企業工控安全管理能力；二是聚焦安全薄弱關鍵環節，強化技術應對策略，提升工業企業工控安全防護能力；三是聚焦易發網絡安全風險，增強威脅發現及處置能力，提升工業企業安全運營能力；四是聚焦工業企業資源保障，堅持統籌發展和安全，督促企業落實網絡安全責任。

6. 2024年2月1日，國家郵政局就《寄遞服務用戶個人信息安全管理辦法（征求意見稿）》公開征求意見

《管理辦法》規定寄遞企業應當根據用戶個人信息的處理目的、處理方式、個人信息的種類，以及對用戶個人權益的影響、可能存在的安全風險等，制定內部安全管理制度，采取必要的技術措施，確保用戶個人信息處理活動合法合規，防止未經授權的訪問以及用戶個人信息泄露、丟失等風險發生。

7. 2024年2月19日，國家數據局、中央網信辦、工業和信息化部、公安部聯合發布《關于開展全國數據資源調查的通知》（國數綜資源〔2024〕5號）

《通知》明確了數據資源調查的對象包括省級數據管理機構、工業和信息化主管部門、公安廳（局）；各省重點數據采集和存儲設備商、消費互聯網平臺和工業互聯網平臺企業、大數據和人工智能技術企業、應用企業、數據交易所、國家實驗室等單位；中央企業；行業協會商會和國家信息中心，并明確了調查內容和方式，給出了相應的調查表。

8. 2024年2月26日，工業和信息化部發布《工業領域數據安全能力提升實施方案（2024-2026年）》（工信部網安〔2024〕34號）

《實施方案》一是明確了指導思想、基本原則和總體目標，在總體目標中細化了各項關鍵任務指標；二是圍繞提升工業企業數據保護、數據安全監管、數據安全產業支撐三類能力，明確提出11項任務；三是圍繞《實施方案》落地實施的保障需求，提出了加強組織協調、加大資源保障、強化成效評估、做好宣傳引導4項工作。

9. 2024年2月27日，中華人民共和國第十四屆全國人民代表大會常務委員會第八次會議修訂通過《中華人民共和國保守國家秘密法》（中華人民共和國主席令第20號）

《保密法》是我國保密領域的基礎性、綜合性法律，1988年制定、2010年第一次修訂、2024年第二次修訂。本次保密法的修訂從法律制度上明確了進一步加強黨對保密工作的領導，高度重視保密科技創新和科技防護，并完善了網絡信息、數據保密管理，此外，還加強了與《數據安全法》的協同銜接，新增涉密數據管理及匯聚、關聯后涉及國家秘密數據管理的原則規定。

10. 2024年3月11日，中國民航局就《民航數據管理辦法（征求意見稿）》《民航數據共享管理辦法（征求意見稿）》公開征求意見

《民航數據管理辦法》給出了民航數據管理工作的職責與分工、數據資源目錄管理方式，并提出了數據采集與治理、數據共享、數據應用、數據安全等方面要求。其中，明確民航數據處理主體對數據處理活動負安全主體責任，應建立覆蓋數據采集、傳輸、存儲、使用、共享以及銷毀等數據全生命周期的安全保護機制，并鼓勵通過加密、脫敏、隱私計算、溯源認證等技術手段加強數據安全保護。

《民航數據共享管理辦法》明確了民航數據共享類型、目錄管理、數據歸集、數據獲取與使用等方面的要求。其中，規定數據平臺方應建立和完善數據安全管理制度，采取數據安全保護、安全服務和安全監測等技術措施，確保平臺運行正常和數據安全。

11. 2024年3月22日，國家金融監督管理總局就《銀行保險機構數據安全管理辦法（征求意見稿）》公開征求意見

《管理辦法》包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。其中，明確銀行保險機構應建立數據安全責任制，制定數據分類分級保護制度，按照國家數據安全與發展政策要求，根據自身發展戰略建立數據安全管理制度和數據處理管控機制，并建立數據安全技術架構，明確數據保護策略方法，采取技術手段保障數據安全。

12. 2024年3月22日，國家網信辦發布《數據出境安全評估申報指南（第二版）》和《個人信息出境標準合同備案指南（第二版）》

兩項指南分別對申報數據出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明，對數據處理者需要提交的相關材料進行了優化簡化，指導和幫助數據處理者規范有序申報數據出境安全評估、備案個人信息出境標準合同。

13. 2024年3月22日，國家網信辦發布《促進和規范數據跨境流動規定》（國家互聯網信息辦公室令 第16號）

《規定》對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出了優化調整，其中，明確了重要數據出境安全評估申報標準，規定了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件，同時，還明確了應當申報數據出境安全評估的兩類數據出境活動條件。

14. 2024年3月22日，自然資源部發布《自然資源領域數據安全管理辦法》（自然資發〔2024〕57號）

《管理辦法》分別從數據分類分級管理、數據全生命周期安全管理、數據安全監測預警與應急管理等方面提出明確要求。其中，規定了數據處理者應當對數據處理活動安全負主體責任，對各類數據實行分級防護，并且在數據全生命周期處理過程中，應記錄數據處理、權限管理、人員操作等日志，采用商用密碼技術保護日志的完整性。

第二部分：標準

一、國家標準

1. 2024年3月15日，國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》發布

本標準規定了數據分類分級的基本原則、框架、方法和流程。在數據分類部分，提出先按行業領域再按業務屬性進行數據分類的思路，并給出了具體的分類方法；在數據分級部分，提出了確定分級對象、分級要素識別、數據影響分析、綜合確定級別的分級方法，并對各環節進行了詳細闡述；在分類分級流程部分，分別給出行業領域數據和處理者數據的分類分級流程；標準還在規范性附錄中給出了重要數據的識別指南。

2. 2024年3月15日，國家標準GB/T 15843.4-2024《信息技術 安全技術 實體鑒別 第4部分：采用密碼校驗函數的機制》發布

本標準修改采用國際標準ISO/IEC 9798-4:1999（Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function），規定了采用密碼校驗函數的實體鑒別機制，包括單向鑒別和雙向鑒別兩種鑒別機制。

3. 2024年3月15日，國家標準GB/T 17903.1-2024《信息技術 安全技術 抗抵賴 第1部分：概述》發布

本標準修改采用國際標準ISO/IEC 13888-1:2020（Information security - Non-repudiation - Part 1: General），給出了抗抵賴機制的一般模型，作為GB/T 17903的其它部分中規定的使用密碼技術的抗抵賴機制的一般模型。

4. 2024年3月15日，國家標準GB/T 17903.3-2024《信息技術 安全技術 抗抵賴 第3部分：采用非對稱技術的機制》發布

本標準修改采用國際標準SO/IEC 13888-3:2020（Information security - Non-repudiation - Part 3: Mechanisms using asymmetric techniques），確立了若干特定的抗抵賴機制，用于提供原發抗抵賴、交付抗抵賴、傳輸抗抵賴和提交抗抵賴。

5. 2024年3月15日，國家標準GB/T 31497-2024《信息技術 安全技術 信息安全管理 監視、測量、分析和評價》發布

本標準等同采用國際標準ISO/IEC 27004:2016（Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation），規定了信息安全績效的監視和測量、ISMS（包括其過程和控制措施）有效性的監視和測量、以及監視和測量結果的分析和評價。

二、行業標準

1. 2024年1月15日，金融行業標準JR/T 0285-2024《基于數字證書的移動終端金融安全身份認證規范》發布

本標準規定了基于數字證書的移動終端金融安全身份認證的服務描述、移動終端生命周期管理、服務生命周期管理、密鑰管理、安全及功能、風險控制和運營管理的要求。

2. 2024年1月15日，3項金融行業標準JR/T 0289-2024《金融業開源技術 術語》、JR/T 0290-2024《金融業開源軟件應用 管理指南》、JR/T 0291-2024《金融業開源軟件應用 評估規范》發布

《術語》統一了金融機構對開源技術相同名詞的表述；《管理指南》提供了金融機構在應用開源軟件時的全流程管理指南，對開源軟件的使用和管理提供了配套組織架構、配套管理規章制度、生命周期流程管理、風險管理、存量管理、工具化管理等方面的指導；《評估規范》規定了金融機構在應用開源軟件時的評估要求，對開源軟件的引入、維護和退出提出了實現要求、評估方法和判定準則。

3. 2024年1月15日，金融行業標準JR/T 0299-2024《個人征信電子授權安全技術指南》發布

本標準提供了個人征信電子授權安全技術指南，包括個人征信電子授權機制、線上有效鑒別個人身份、簽發數字證書、簽署有效征信授權電子協議、存證有效征信授權電子數據、數據安全、個人信息保護等內容。

在互聯網無處不在、社會信息化快速發展的時代條件下，網絡既是人們生產生活的重要空間，也是黨和政府服務群眾、了解民意、治理社會的重要平臺。 “健全網絡綜合治理體系，推動形成良好網絡生態”是黨的二十大報告對網絡生態治理工作提出的指導性意見。網絡安全工作正向有法可依、有據可查大步邁進，天融信將持續關注國家政策，積極參與標準研制，為網絡安全產業發展和建設貢獻力量。