加入收藏 |

网络安全政策法规月月谈(第五期-国内篇)

作者: 时间:2023-09-11 点击数:



           

栏目简介

伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。


本栏目基于团队在网络安全政策法规方面的日常跟踪,筛选国内外近期热点政策法规文件,并重点结合网络安全产业发展,对其内容和影响等进行分析。本期选取并分析2023年3月国内发布的热点政策法规。


欢迎共同研讨和批评指正。


本期目录

1

中国证券监督管理委员会发布《证券期货业网络和信息安全管理办法》

2

工业和信息化部等四部门联合印发《关于开展网络安全服务认证工作的实施意见》

               


✦  +

+

国内篇


1.中国证券监督管理委员会发布《证券期货业网络和信息安全管理办法》


【内容概述】2023年3月3日,中国证券监督管理委员会发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》),并于2023年5月1日起正式实施。《办法》旨在进一步落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规要求,保障证券期货业网络和信息安全。


《办法》共8章75条,对证券期货业网络和信息安全体系建设提出了5方面要求。一是建立网络和信息安全管理机制,主要包括:明确机构管理机制、建立机构网络和信息安全管理和监管制度、完善网络和信息安全防护体系等;二是强化投资者个人信息保护,主要包括:建立健全个人信息保护管理机制、完善个人信息处理流程、明确安全防护的技术要求等;三是加强网络和信息安全应急处置,主要包括:建立风险监测预警体制、完善应急处理机制、规范网络安全事件报告和调查制度等;四是落实关键信息基础设施安全保护,主要包括:确保资金投入、完善组织保障、分类和分级保护关键信息基础设施等;五是平衡网络和信息安全促进与发展,主要包括:加强网络和信息安全监管专业支撑、强化行业人才队伍建设、鼓励网络和信息安全技术的创新应用等。


原文链接:

http://www.csrc.gov.cn/csrc/c100028/c7202729/content.shtml


【导读分析】证券期货业的行业性质决定了其发展与网络、数据密不可分,其面临的网络安全挑战也更加突出和复杂。2012年以来,证监会相继发布了《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》等规范性文件,推进行业网络和信息安全治理体系建设。以此为基础,2022年4月,证监会又发布了《证券期货业网络安全管理办法(征求意见稿)》(以下简称《征求意见稿》),面向社会公开征求意见。


相比《征求意见稿》,《办法》主要有3方面重要变化。一是拓展规范对象范围,规范对象由原来的“网络安全”调整为“网络和信息全”;二是突出个人信息保护,将原来的“数据安全统筹管理”一章整体变更为“投资者个人信息保护”,相关内容也更加聚焦于核心机构和经营机构的个人信息保护义务;三是进一步明确细化相关规定,如细化了对于人员职责、运行标准、管理制度等方面的要求,增加了新业务模式安全的规定等等。


《办法》的发布,或将带来网络安全产业发展的新契机。一是在证券期货行业网络和信息安全方面,《办法》明确了监测预警、入侵检测和防御、态势感知等方面的建设需求,有助于促进网络安全咨询和评估、网络安全运维、网络安全事件响应等业务的发展。二是在证券期货行业个人信息保护方面,《办法》重点强调了个人信息保护相关的加密、脱敏、备份和恢复、审计监督等保护措施,无疑将带动与个人信息保护强相关的数据信息处理技术研发、数据信息审计溯源等业务发展。三是在关键信息基础设施安全保护方面,《办法》将《关键信息基础设施安全保护条例》的相关要求在证券期货行业落地,并具体化为关键信息基础设施分类分级保护、关键信息基础设施产品风险监测和评估检测、关键信息基础设施应急保障等,也有助于促进关键信息基础设施网络安全相关产品、方案和服务的发展。四是在行业网络安全基础方面,《办法》所明确的人才培育、资金投入、技术支持等保障举措,对于进一步优化网络安全人才实训、推进行业网络安全产业生态构建等,也会有较直接的促进。


2.工业和信息化部等四部门联合印发《关于开展网络安全服务认证工作的实施意见》


【内容概述】2023年3月28日,国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部以及公安部四部门发布《关于开展网络安全服务认证工作的实施意见》(以下简称《实施意见》)。《实施意见》旨在推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量。


《实施意见》主要包括以下5个方面内容。第一,确立网络安全服务认证原则,即“统一管理、共同实施、统一标准、规范有序”;第二,制定网络安全服务认证目录,包括检测评估、安全运维、安全咨询和等级保护测评等服务类别;第三,完善网络安全服务认证工作组织架构,包括组建网络安全服务认证技术委员会、设立从事网络安全服务认证活动的认证机构等;第四,明确网络安全服务认证机构工作要求,主要包括:一是建立可追溯工作机制;二是公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态;三是按照有关要求依法开展网络安全服务工作,确保持续符合认证要求等;第五,明确监管部门职责,主要包括:一是市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理,依法查处认证违法行为;二是网信部门、工业和信息化部门、公安部门负责推动认证结果采信应用,加强网络安全服务监督管理,促进网络安全服务产业发展。


原文链接:

https://gkml.samr.gov.cn/nsjg/rzjgs/202303/t20230328_354213.html


【导读分析】本次发布的《实施意见》,相较2022年7月发布的《关于开展网络安全服务认证工作的实施意见(征求意见稿)》,主要有4方面修改:一是突出监管目标,进一步强调了“促进网络安全服务产业健康有序发展”的目标和原则;二是健全监管机制,将工业和信息化部纳入监管体系;三是细化监管职责,增加网信部门、工业和信息化部门、公安部门“依法查处有关违法行为”的权力;四是明确监管要求,强化网络安全服务机构的主体责任,要求其“确保持续符合认证要求”。


此次《实施意见》进一步推动网络安全服务认证工作的体系化、规范化和有序化发展,对完善我国网络安全认证体系具有现实意义。一是立足解决当网络安全服务机构面临的重复认证等问题,推动网络安全服务认证的一体化发展;二是推进完善、优化网络安全服务认证体系,明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排;三是实现政策间的衔接,例如《实施意见》将等级保护测评纳入认证目录,与此前发布的《检验机构能力认可准则在网络安全等级测评领域的应用说明》等制度设计保持一致。


对于网络安全厂商而言,“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别?现有的网络安全服务认证资质在申请流程等方面是否有变化?都与业务开展密切相关。因此:一方面,可加强对后续政策和相关机构跟进,密切关注服务认证要求的动态变化;另一方面,开展服务资质梳理工作,并基于这些梳理和思考,争取将实际问题和诉求反映到即将出台的认证目录、认证规则等规范文件中。



附录:2023年3月国内重要政策一览表


             



            

( 依据互联网公开信息整理)



Copyright© 2019 All Rights Reserved.郑州大学网络管理中心版权所有