首页
社区
课程
招聘

网络安全政策法规月月谈(第4期)

2023-05-16 11:17

栏目简介

伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。

本栏目立足团队在网络安全政策法规方面的日常跟踪,分析筛选国内外近期部分热点政策法规文件,并重点结合网络安全产业发展,对其内容跟和影响等进行简析。栏目分为国内篇和国外篇,本期筛选分析2023年2月国内外发布的热点政策法规。

欢迎共同研讨和批评指正。


本期目录

1

美国国防部发布新版《网络安全参考框架》

2

国家互联网信息办公室印发《个人信息出境标准合同办法》

3

中共中央 国务院印发《数字中国建设整体布局规划》

4

附录  2023年2月国内外重要政策一览表


  +

+

国外篇


1.美国国防部发布新版《网络安全参考框架》


【内容概述】2023年2月7日,美国国防部发布《国防部网络安全参考框架》(5.0版本)(Department of Defense Cybersecurity Reference Architecture)(以下简称《框架》)。《框架》与美国国防部数字现代化战略保持一致,旨在指导国防部实现网络安全现代化,并通过集成零信任原则来推动国防部的国防业务系统、国家安全系统和关键基础设施/关键资源(包括国防部信息技术及运营技术)的演进。


《框架》主要内容包括:一是描述了架构中的操作活动(Operational Activities),包含识别、管理、控制、保护、检测、分析、自动化和协作等8项活动;二是提出了架构应当具备的能力(Capabilities),包含识别、保护、检测、应对和恢复等5项能力;三是列举了为满足作战人员要求所必需的特殊主题领域,包括云计算(Cloud Computing)、跨域服务(Cross Domain)、控制系统(Control Systems)和太空系统(Space Systems)等4个领域。


【导读分析】《网络安全参考框架》最早于2012年发布,经历了多个版本的更迭,名称也由“单一安全架构(Single Security Architecture, SSA)参考架构”变为“网络安全参考架构”。本次发布的《框架》旨在落实《关于改善国家网络安全行政令》和《关于改善国家安全、国防部和情报界系统的网络安全备忘录》等文件要求,并与美国国防部《零信任战略》要求相结合。《框架》将重点推进两项战略部署:一是通过自动响应行动实现综合威慑(Integrated Deterrence);二是通过采购计划合作保持持久优势(Enduring Advantages)。


从《框架》及其内容演变来看,加速云化成为美国防部数字化转型的重要方向,随着网络边界的日益淡化,云上资产与数据的安全保障需求将持续加大。对于该《框架》,我们可以从以下两个方面深化研究和理解:一是持续关注美方网络安全现代化相关政策举措的落地,了解其一系列相关战略、政策的基本脉络,并关注其在具体推进过程中的关键动作和具体成效;二是夯实现代化背景下网络安全供给能力和体系,强化供应链安全并探索以新的技术手段、服务模式,为云、跨域、太空等网络安全需求提供支撑和战略储备。


原文链接:https://dodcio.defense.gov/Portals/0/Documents/Library/CS-Ref-Architecture.pdf


  +

+

国内篇


1.国家互联网信息办公室印发《个人信息出境标准合同办法》


【内容概述】2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),旨在保护个人信息权益,规范个人信息出境活动。《办法》规定了个人信息出境标准合同(以下简称标准合同)的适用范围、和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。


《办法》内容主要包括以下3方面:第一,明确了个人信息出境标准合同的适用对象。一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的等。第二,规定了个人信息出境订立标准合同的流程。一是开展个人信息保护影响评估;二是与境外接收方订立标准合同;三是在标准合同生效之日起10个工作日内向所在地省级网信部门备案;四是在标准合同有效期内出现变化时应当重新开展影响评估、补充或重新订立标准合同、并履行相应备案手续。第三,确定了监管主体。《办法》明确规定了省级网信部门的监管责任,包括备案管理、举报受理、约谈整改等。此外,《办法》还对法律责任、标准合同范本等作出了规定。


【导读分析】近年来,我国高度重视个人信息出境安全保护。《个人信息保护法》第38条明确规定了个人信息出境的相关条件,即通过国家网信部门组织的安全评估、进行个人信息保护认证、以及与境外接收方订立标准合同等。本次出台的《个人信息出境标准合同办法》,与此前发布的《数据出境安全评估办法》、《个人信息保护认证实施规则》形成互补,一同构建起完整的个人信息出境安全保护体系,为我国个人信息安全保护工作奠定了坚实基础。


对行业来说,有两方面需要重点关注。一是个人信息出境安全评估业务机会,深化技术研究,针对个人信息出境安全评估推出定制化工具,及时抢占市场先机;二是要强化内部合规管理,强化相关信息处理分析过程中的技术防护,切实加强对涉及个人信息数据的保护。


原文链接:http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm



2.中共中央 国务院印发《数字中国建设整体布局规划》


【内容概述】2023年2月27日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),全面系统阐述了数字中国建设要点。《规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。


在网络安全方面,《规划》强调要筑牢可信可控的数字安全屏障。一是切实维护网络安全,完善网络安全法律法规和政策体系。二是增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。


【导读分析】《规划》的发布,可以带来四个方面的突破引领。一是以体系化完善发展格局,《规划》通过“2522”的框架,及面向体系化、生态化的设计,助力我国网络和数据安全产业扩大规模。二是以务实性拓展应用需求,《规划》将重点应用领域同在建或将要建设的大工程、大平台相衔接,无疑将有助于启发和扩展网络数据安全应用的增量市场。三是以内生性明确供给方向,《规划》提出技术自立、安全可控的要求,会成为引领和拓展市场增长的重要突破口。四是以重点化强化机制保障,《规划》通过具体化机构、资金等保障措施,以及强化对“党政领导干部和公务员”的考核与技能要求等,拓宽网络和数据安全市场的发展维度。


原文链接:http://www.cac.gov.cn/2023-02/27/c_1679136694986243.htm


附录:2023年2月国内外重要政策一览表



声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论