网络安全政策法规月月谈(第三期)
日期:2023年05月15日 阅:111
栏目简介
伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。
本栏目立足团队在网络安全政策法规方面的日常跟踪,分析筛选国内外近期部分热点政策法规文件,并重点结合网络安全产业发展,对其内容跟和影响等进行简析。栏目分为国内篇和国外篇,本期筛选分析2023年1月国内外发布的热点政策法规。
欢迎共同研讨和批评指正。
国外篇
1.《关于在欧盟全境实现高度统一网络安全措施的指令》正式生效
【内容概述】2023年1月16日,《关于在欧盟全境实现高度统一网络安全措施的指令》(Directive on measures for a high common level of cybersecurity across the Union)(以下简称《指令》)正式生效。欧盟成员国据此须在2024年10月17日之前发布遵循《指令》的必要措施。
《指令》主要在增强监管和执法力度、加强欧盟成员国合作和网络安全风险管理等方面对《网络和信息安全指令》进行了更新。一是在增强监管和执法力度方面,对违反网络安全风险管理规定的行为实施罚款、建立安全事件报告机制等;二是在加强欧盟成员国合作方面,包括加强信息共享、协调漏洞披露等;三是在网络安全风险管理方面,包括加强关键信息和通信技术的供应链安全、简化事件报告义务等。
原文链接:
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1672747885309&from=EN
【导读分析】为应对数字化发展带来的网络安全威胁,欧盟于2016年7月通过关于网络安全的第一部综合性立法——《网络和信息系统安全指令》(《NIS指令》),旨在欧盟范围内实现统一、高水平的网络和信息系统安全,为提升欧盟成员国网络安全水平发挥了指引作用。本次发布的《指令》在《NIS指令》的基础上,扩大了被约束对象的范围,增至包括公共电子通信网络和服务、数据中心服务、医疗卫生和关键产品制造等关键部门与实体。同时该指令还是“欧盟数字战略”的重要组成部分。
近年来,我国建立起了以《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》为纲领的“三法一条例”网络安全法律框架,但在“网络安全事件报告”“供应链安全”等诸多细分领域,尚亟待出台具体的规章制度和管理规范等实施层面的政策文件。《指令》对于我国开展相关制度完善工作具有参考价值。
2.美国CISA宣布联合网络防御协作组织的2023年规划议程
【内容概述】2023年1月26日,美国网络安全和基础设施安全局(CISA)发布了联合网络防御协作组织(JCDC)的2023年规划议程(2023 JCDC Planning Agenda)(以下简称《议程》)。JCDC意图通过将关键行业合作伙伴的能力与政府机构的定制化需求相结合,创建共同合作的方法来对抗恶意行为者和重大网络风险。
JCDC制定的规划议程主要包括以下3个领域:第一,系统性风险,包括解决开源软件,远程监控和管理供应商、托管服务提供商和托管安全服务提供商,能源,水务行业等4个领域的风险。第二,集体网络响应,包括更新国家网络事件响应计划(NCIRP),阐明非联邦实体在组织和执行国家事件响应活动中的具体作用。第三,高风险组织机构,通过与政府和重要行业利益相关者的合作规划,加强对面临更高风险的民间社会组织的保护等。
原文链接:
【导读分析】JCDC由CISA及其合作伙伴在2021年成立,旨在落实《2021年国防授权法案》中“增加和扩大公共和私营部门人员对联邦网络防御和安全工作的参与和整合”等相关规定。JCDC的核心职能包括制定网络防御行动计划、推动公私部门协作与信息共享以及制定网络防御指南等,其主要成员包括政府组织、服务提供商、基础设施运营商和网络安全公司等。本次发布的《议程》是该组织制定的首份规划文件,对于促进美国在网络安全领域的合作与健全美国政府部门信息共享机制具有里程碑意义。
建立网络安全多方协同机制也是我国相关主管部门推进网络安全工作的一个重要内容。对于行业来说,可加强对国外企事业单位参与参与国家网络安全协同机制做法的借鉴,重点维度如:威胁情报分析、信息共享平台建设、知识图谱画像等方面。
国内篇
1.工业和信息化部、国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》
【内容概述】2023年1月13日,工业和信息化部、国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》(以下简称《指导意见》),旨在推动数据安全产业高质量发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放。《指导意见》提出了促进数据安全产业发展的九个方面、十九条具体指导意见,明确了以下两方面内容。
一方面,《指导意见》对事关数据安全产业发展的重要基础性问题进行了明确。一是明确数据安全产业的基本内涵。即“数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态”。二是明确数据安全产业的发展目标。《指导意见》对于数据安全产业发展目标从定量与定性、近期和远期相结合的角度给出了设定。仅从产业总规模这一指标来看,到2025年实现1500亿元、复合增长率30%的发展目标。另一方面,《指导意见》进一步阐明了如何构建数据安全产业体系和能力的问题。一是明确了数据安全产业的基本体系。《指导意见》提出了数据安全产业发展的七大项重点任务,其中前四项任务(创新、服务、标准、应用)侧重于产业体系的构建。二是明确了数据安全产业的发展要素。《指导意见》提出的数据安全产业发展七项重点任务的后三项,即产业生态、人才资源、国际合作,则是侧重于从要素层面布局推进数据安全产业的发展。
原文链接:
http://www.cac.gov.cn/2023-01/14/c_1675346873856103.htm
【导读分析】《指导意见》的出台,正值“数据二十条”的发布契机,是我国数据安全政策法规体系的重要组成部分,是加速落实完善数据安全产业体系和能力的重大政策举措。不仅进一步丰富了数据安全产业的基础理论,更明确了数据安全产业的体系和要素,必将为数据安全供给侧的企业发展赋予强大动能。
对行业来说,可重点开展三方面工作。一是强化产品创新,结合《指导意见》明确的创新需求,重点围绕新计算模式、新网络架构和新应用场景等数据安全需求加强创新,持续完善自身数据安全技术产品体系。二是强化服务创新,结合《指导意见》提出的数据安全服务需求,重点强化规划咨询、建设运维、检测评估与认证、权益保护、违约鉴定等服务。三是强化基础要素保障,拓展企业现有产学研用合作攻关平台建设、加大数据安全实战人才培养和选拔等。
附录:2023年1月国内外重要政策一览表