虽迟但到 2023年常用网络安全政策标准集锦来喽~

2023年

国家网络安全政策和标准密集发布

逐渐形成

以《中华人民共和国网络安全法》为核心的

网络空间安全保障体系~

2023年，网络安全等级保护制度以《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）文件和《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见》（公网安〔2022〕1058号）文件为指引，继续深化实施。

其中1960号文件的“三化六防”措施已经成为网络安全规划设计、建设运营的重要指导原则，并逐步落实。1058号文件的34项重点措施成为深化网络安全等级保护建设整改、检查检测、监测预警、应急处置等各项重点工作的抓手，指导各单位各部门深入实施网络安全等级保护制度。

关键信息基础设施保护（以下简称“关基保护”）发布了首个重要标准：《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》，并于2023年5月1日正式实施。该标准规定了关基保护的三大基本原则：以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。并规定了六个活动：分析识别、安全防护、检测评估、监测预警、主动防御、事件处置。该标准对关基保护工作具有基础性、规范性、引领性的作用。

同时，我国关键信息基础设施安全保护工作的部门也陆续发布了配套政策文件，如：

这些政策文件起到了承上启下的作用。上用于承接并行业化《关键信息基础设施安全保护条例》，下用于指导并细化关基运营者开展关基保护工作，相信2024年会有更多的关基保护工作部门，发布更多的行业指导文件。

各企事业单位数据安全体系建设渐入深水区，各种新技术应用层出不穷，国家政策监管体系越发完善。国家数据局正式成立，发布了《“数据要素×”三年行动计划（2024-2026年）》。

该文件要求，充分发挥数据要素乘数效应，赋能经济社会发展，激活数据要素潜能，加速打造典型应用场景。并强调加强数据安全保障，落实数据安全法规制度，建立健全数据安全治理体系，完善数据分类分级保护制度，落实网络安全等级保护、关键信息基础设施安全保护等制度，加强个人信息保护，提升数据安全保障水平。

网信办发布的《个人信息出境标准合同办法》和《个人信息出境标准合同备案指南（第一版）》，与《数据出境安全评估办法》和《数据出境安全评估申报指南（第一版）》一起构成了我国数据出境安全评估和备案的框架体系，用于规范数据和个人信息出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全流动。

在网络信息安全领域，国家加大了新技术领域的监管要求，如人工智能等领域。网信办、工信部、公安部联合发布《互联网信息服务深度合成管理规定》，明确了深度合成服务的一般规定。强调不得利用深度合成服务从事法律、行政法规禁止的活动。国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》，提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管，明确了提供和使用生成式人工智能服务总体要求。

网信办发布的《网络安全事件报告管理办法（征求意见稿）》，该文件要求，运营者在发生网络安全事件时，应当及时启动应急预案进行处置。按照《网络安全事件分级指南》的要求，属于较大、重大或特别重大网络安全事件的，应当于 1小时内进行报告。该文件配套了《网络安全事件分级指南》、《网络安全事件信息报告表》，为具体开展工作提供了参考和指引。

2023年4月，网信办、工信部、公安部、财政部、国家认证认可监督管理委员会联合发布《关于调整网络安全专用产品安全管理有关事项的公告》，调整了网络安全专用产品安全管理有关事项。要求列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《GB 42250-2022信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

四部委会定期发布更新《网络关键设备和网络安全专用产品目录》、《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。该文件的发布，说明新的网络安全专用产品强制检测认证制度已经形成。

《未成年人网络保护条例》（国务院令第766号）正式发布，该法规是我国出台的第一部专门性的未成年人网络保护综合立法，营造有利于未成年人身心健康的网络环境，保障未成年人合法权益，体现了党和国家对未成年人成长成才的高度重视和亲切关怀，为未成年人在网络空间的健康成长提供了坚实的法治保障。

此外，我国也加强了个人信息保护认证工作，首批5家企业获颁首批个人信息保护认证证书，个人信息保护认证是支撑政府个人信息保护监管的有效手段，也是适应市场经济体制下企业合规发展的需要，这标志着我国个人信息保护认证实施工作迈出了重要一步。

2023年4月，国务院发布了《商用密码管理条例》（国务院令第760号）。该条例的制定旨在规范商用密码应用和管理，鼓励和促进商用密码产业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。为规范商用密码检测活动和商用密码应用安全性评估工作，加强商用密码检测机构管理，10月，国家密码管理局发布了《商用密码检测机构管理办法》（国家密码管理局令第2号）和《商用密码应用安全性评估管理办法》（国家密码管理局令第3号）。规范商用密码应用安全性评估工作，加强商用密码检测机构管理，规范商用密码检测活动。

随着《密码法》颁布实施，商用密码应用安全性评估制度依法确立，商用密码应用安全性评估机构纳入商用密码检测机构统一管理。随着新的法规和政策文件的发布，商用密码应用推广迎来新时代。

2023年，信安标委共发布网络安全新标准47项，涵盖商用密码、网络安全产品、数据安全、网络安全从业人员、个人信息保护、安全服务、云安全、移动安全、电子政务、新技术安全等领域。2023年发布的网络安全标准清单如下：

此外，信安标委还发布了多个《网络安全标准实践指南》，涵盖网络数据安全风险评估、人脸识别支付、生成式人工智能、互联网平台网络安全评估等领域，为网络安全热点需求的实施提供标准化实践指引。清单如下：

此外，启明星辰资深专家通过长期参与国家网络安全标准的立项和编写工作，依据近几年在标准规范方面的研究，将常用的网络安全标准进行了抽取、分类及整理，绘制成《常用网络安全标准-思维导图2023版》。

此版本共收录网络安全标准280个，以项目实施的类型和需求为导向进行分类，共分28大类，以国标为主，根据需要收录了少量的行标、团标、地标。供大家在咨询规划、售前交流、方案编写、项目实施中参考。