栏目简介

伴随数字化和网络安全深入发展，网络安全市场的政策性特征日渐显著，合规需求已与攻防需求一道，成为引领网络安全产业发展的两大核心驱动力。

本栏目立足团队在网络安全政策法规方面的日常跟踪，分析筛选国内外近期部分热点政策法规文件，并重点结合网络安全产业发展，对其内容跟和影响等进行简析。栏目分为国内篇和国外篇，本期筛选分析2023年2月国内外发布的热点政策法规。

欢迎共同研讨和批评指正。

本期目录

  +

+

国外篇

1.美国国防部发布新版《网络安全参考框架》

【内容概述】2023年2月7日，美国国防部发布《国防部网络安全参考框架》（5.0版本）（Department of Defense Cybersecurity Reference Architecture）（以下简称《框架》）。《框架》与美国国防部数字现代化战略保持一致，旨在指导国防部实现网络安全现代化，并通过集成零信任原则来推动国防部的国防业务系统、国家安全系统和关键基础设施/关键资源（包括国防部信息技术及运营技术）的演进。

《框架》主要内容包括：一是描述了架构中的操作活动（Operational Activities），包含识别、管理、控制、保护、检测、分析、自动化和协作等8项活动；二是提出了架构应当具备的能力（Capabilities），包含识别、保护、检测、应对和恢复等5项能力；三是列举了为满足作战人员要求所必需的特殊主题领域，包括云计算（Cloud Computing）、跨域服务（Cross Domain）、控制系统（Control Systems）和太空系统（Space Systems）等4个领域。

【导读分析】《网络安全参考框架》最早于2012年发布，经历了多个版本的更迭，名称也由“单一安全架构（Single Security Architecture, SSA）参考架构”变为“网络安全参考架构”。本次发布的《框架》旨在落实《关于改善国家网络安全行政令》和《关于改善国家安全、国防部和情报界系统的网络安全备忘录》等文件要求，并与美国国防部《零信任战略》要求相结合。《框架》将重点推进两项战略部署：一是通过自动响应行动实现综合威慑（Integrated Deterrence）；二是通过采购计划合作保持持久优势（Enduring Advantages）。

从《框架》及其内容演变来看，加速云化成为美国防部数字化转型的重要方向，随着网络边界的日益淡化，云上资产与数据的安全保障需求将持续加大。对于该《框架》，我们可以从以下两个方面深化研究和理解：一是持续关注美方网络安全现代化相关政策举措的落地，了解其一系列相关战略、政策的基本脉络，并关注其在具体推进过程中的关键动作和具体成效；二是夯实现代化背景下网络安全供给能力和体系，强化供应链安全并探索以新的技术手段、服务模式，为云、跨域、太空等网络安全需求提供支撑和战略储备。

原文链接：https://dodcio.defense.gov/Portals/0/Documents/Library/CS-Ref-Architecture.pdf

  +

+

国内篇

1.国家互联网信息办公室印发《个人信息出境标准合同办法》

【内容概述】2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），旨在保护个人信息权益，规范个人信息出境活动。《办法》规定了个人信息出境标准合同（以下简称标准合同）的适用范围、和备案要求，明确了标准合同范本，为向境外提供个人信息提供了具体指引。

《办法》内容主要包括以下3方面：第一，明确了个人信息出境标准合同的适用对象。一是非关键信息基础设施运营者；二是处理个人信息不满100万人的；三是自上年1月1日起累计向境外提供个人信息不满10万人的；四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的等。第二，规定了个人信息出境订立标准合同的流程。一是开展个人信息保护影响评估；二是与境外接收方订立标准合同；三是在标准合同生效之日起10个工作日内向所在地省级网信部门备案；四是在标准合同有效期内出现变化时应当重新开展影响评估、补充或重新订立标准合同、并履行相应备案手续。第三，确定了监管主体。《办法》明确规定了省级网信部门的监管责任，包括备案管理、举报受理、约谈整改等。此外，《办法》还对法律责任、标准合同范本等作出了规定。

【导读分析】近年来，我国高度重视个人信息出境安全保护。《个人信息保护法》第38条明确规定了个人信息出境的相关条件，即通过国家网信部门组织的安全评估、进行个人信息保护认证、以及与境外接收方订立标准合同等。本次出台的《个人信息出境标准合同办法》，与此前发布的《数据出境安全评估办法》、《个人信息保护认证实施规则》形成互补，一同构建起完整的个人信息出境安全保护体系，为我国个人信息安全保护工作奠定了坚实基础。

对行业来说，有两方面需要重点关注。一是个人信息出境安全评估业务机会，深化技术研究，针对个人信息出境安全评估推出定制化工具，及时抢占市场先机；二是要强化内部合规管理，强化相关信息处理分析过程中的技术防护，切实加强对涉及个人信息数据的保护。

原文链接：http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

2.中共中央 国务院印发《数字中国建设整体布局规划》

【内容概述】2023年2月27日，中共中央、国务院印发了《数字中国建设整体布局规划》（以下简称《规划》），全面系统阐述了数字中国建设要点。《规划》明确，数字中国建设按照“2522”的整体框架进行布局，即夯实数字基础设施和数据资源体系“两大基础”，推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合，强化数字技术创新体系和数字安全屏障“两大能力”，优化数字化发展国内国际“两个环境”。

在网络安全方面，《规划》强调要筑牢可信可控的数字安全屏障。一是切实维护网络安全，完善网络安全法律法规和政策体系。二是增强数据安全保障能力，建立数据分类分级保护基础制度，健全网络数据监测预警和应急处置工作体系。

【导读分析】《规划》的发布，可以带来四个方面的突破引领。一是以体系化完善发展格局，《规划》通过“2522”的框架，及面向体系化、生态化的设计，助力我国网络和数据安全产业扩大规模。二是以务实性拓展应用需求，《规划》将重点应用领域同在建或将要建设的大工程、大平台相衔接，无疑将有助于启发和扩展网络数据安全应用的增量市场。三是以内生性明确供给方向，《规划》提出技术自立、安全可控的要求，会成为引领和拓展市场增长的重要突破口。四是以重点化强化机制保障，《规划》通过具体化机构、资金等保障措施，以及强化对“党政领导干部和公务员”的考核与技能要求等，拓宽网络和数据安全市场的发展维度。

原文链接：http://www.cac.gov.cn/2023-02/27/c_1679136694986243.htm

附录：2023年2月国内外重要政策一览表