2025年Q1国内网络安全领域重要政策及标准速览

1. 2025年1月6日，国家网信办发布《个人信息出境个人信息保护认证办法（征求意见稿）》并公开征集意见

《办法》明确了个人信息出境个人信息保护认证重点评定的内容包括个人信息出境的目的、范围、方式等的合法性、正当性、必要性，境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律以及网络和数据安全环境对出境个人信息安全的影响等。

2. 2025年1月6日，国家发改委、国家数据局、工信部联合发布《国家数据基础设施建设指引》（发改数据〔2024〕1853号）

《指引》在安全防护方面，明确国家数据基础设施安全保障体系建设重点是构建多层次、全方位、立体化的国家数据基础设施安全保障框架，贯穿数据生命周期全流程，帮助各参与方提升数据安全保障能力，确保数据的可信性、完整性和安全性。

3. 2025年1月13日，国家发改委、国家数据局、财政部、人社部联合发布《关于促进数据标注产业高质量发展的实施意见》（发改数据〔2024〕1822号）

《指导意见》提出，到2027年，数据标注产业专业化、智能化及科技创新能力显著提升，产业规模大幅跃升，年均复合增长率超过20%，并提出要建立健全数据标注安全性风险识别、监测预警、应急响应等相关规范，落实数据标注全过程相关主体的安全责任。合理保护数据标注企业在数据流通过程中形成的相关权益。加强数据标注隐私保护、人工智能对齐、安全评估能力建设。

4. 2025年1月14日，工信部发布《关于加强互联网数据中心客户数据安全保护的通知》（工信厅网安〔2025〕5号）

《通知》提出互联网数据中心业务经营者应建立客户管理机制，按照客户类别和数据保护需求，提供差异化安全保护措施供客户选用，并分别从服务器托管业务场景、数据存储与计算业务场景给出客户数据安全保护实施指引。

5. 2025年1月15日，国家发改委、国家数据局、中央网信办、工信部等六部门联合发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（发改数据〔2025〕18号）

《实施方案》提出了七大主要任务，包括明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障、完善数据流通安全责任界定机制、加强数据流通安全技术应用、丰富数据流通安全服务供给、防范数据滥用风险。

6. 2025年1月20日，国家发改委、国家数据局联合发布《公共数据资源授权运营实施规范（试行）》（发改数据规〔2025〕27号）

《规范》在运营管理方面，要求运营机构应履行数据安全主体责任，加强内控管理、技术管理和人员管理，不得超授权范围使用公共数据资源，严防数据加工、处理、运营、服务等环节数据安全风险；实施机构应建立健全管理制度，强化数据治理，提升数据质量，落实数据分类分级保护制度要求，加强技术支撑保障和数据安全管理。

7. 2025年1月20日，国家发改委、国家数据局联合发布《公共数据资源登记管理暂行办法》（发改数据规〔2025〕26号）

《办法》要求登记机构应建立健全数据资源登记管理责任机制，履行数据安全保护义务，强化数据安全保护技术应用，妥善保管登记信息；登记主体在申请登记前应在保障安全的前提下对公共数据资源进行存证，确保来源可查、加工可控。

8. 2025年1月24日，中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》并公开征集意见

《办法》明确了网络安全事件分级管理要求，提出特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则，并且明确了网络安全事件报告总体要求，细化报告流程、内容、时限、途径和责任认定处置等规定。

9. 2025年2月10日，国务院发布《公共安全视频图像信息系统管理条例》（国令第799号）

《条例》严格规范了公共安全视频系统建设，严禁非法乱建，明确了公共安全视频系统的建设要求，以及安全要求，对保存期限届满后已实现处理目的的视频图像信息应当予以删除，严格规范国家机关、个人查阅调取视频图像信息的权限、程序，要求公开传播视频图像信息时严格保护个人、组织相关信息。

10. 2025年2月14日，国家网信办发布《个人信息保护合规审计管理办法》（国家互联网信息办公室令 第18号）

《办法》明确了个人信息处理者开展合规审计的两种情形，一是个人信息处理者自行开展合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

11. 2025年2月25日，中共中央 国务院发布《国家突发事件总体应急预案》

《应急预案》将网络安全、网络数据安全、信息安全事件划分为事故灾难类别，并提出各地各有关部门应当完善监测网络，整合信息资源，加强对网络数据安全、人工智能安全等综合监测，推动专业监测和群测群防深度融合，多种途径收集获取并共享信息，建立健全基础信息数据库，加强信息综合和分析研判，及早发现可能引发突发事件的苗头性信息，提出预警和处置措施建议。

12. 2025年2月28日，工信部和市场监管总局联合发布《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》（工信部联通装〔2025〕45号）

《通知》提出推动构建智能网联汽车质量认证体系，围绕组合驾驶辅助系统的数据安全、网络安全、功能安全、预期功能安全等领域积极推行自愿性认证，服务智能网联汽车产业健康发展，根据智能网联汽车标准制修订情况，及时将相关强制性国家标准纳入汽车强制性产品认证。

13. 2025年3月13日，工信部、中央宣传部、中央网信办等15部门办公厅（秘书局、办公室、综合司）联合发布《关于促进中小企业提升合规意识加强合规管理的指导意见》（工信厅联企业〔2025〕14号）

《意见》明确合规管理的十大重点领域，其中网络和数据安全合规方面引导中小企业遵守网络安全、数据安全等方面法律法规，加强安全防护和安全意识教育；制定实施数据安全合规管理制度，加强对数据的分类分级和权限管理，加强人员管理和技术控制，履行重要数据识别备案、分级防护、风险评估等责任义务，防范并及时应对和处理数据泄露、篡改、丢失事件。

14. 2025年3月14日，国家网信办、工信部、公安部、国家广播电视总局四部门联合发布《人工智能生成合成内容标识办法》（国信办通字〔2025〕2号）

《办法》明确人工智能生成合成内容标识主要包括显式标识和隐式标识两种形式，显式标识是指在生成合成内容或者交互场景界面中添加的，以文字、声音、图形等方式呈现并可以被用户明显感知到的标识；隐式标识是指采取技术措施在生成合成内容文件数据中添加的，不易被用户明显感知到的标识。

15. 2025年3月14日，工信部发布《关于做好2025年信息通信业安全生产和网络运行安全工作的通知》（工信厅通信函〔2025〕82号）

《通知》提出要持续开展信息通信网络运行安全管理年活动，组织开展信息通信网络运行安全三年行动，深化云服务安全运行全链条治理。组织开展网络运行安全技能竞赛和专项演练，开展云服务业务连续性应急实战演练。制定信息通信网络重大风险隐患判定标准，建立风险隐患信息共享平台。

16. 2025年3月20日，工信部发布《工业互联网安全分类分级管理办法》（工信部网安〔2024〕68号）

《办法》明确工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。

17. 2025年3月21日，国家网信办、公安部联合发布《人脸识别技术应用安全管理办法》（国家互联网信息办公室 中华人民共和国公安部 令 第19号）

《办法》明确应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施；人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

18. 2025年3月21日，国家密码管理局发布《电子认证服务使用密码管理办法（征求意见稿）》并公开征集意见

《办法》规定了电子认证服务使用密码许可条件、许可申请材料和申请受理程序，同时对电子认证服务机构的安全管理、系统运行维护、合规性评估、人员培训等提出了规范要求，保障电子认证服务系统安全可靠运行和电子认证服务使用密码安全。

19. 2025年3月28日，国家网信办发布《中华人民共和国网络安全法（修正草案再次征求意见稿）》并公开征集意见

《修正草案》加强了与《数据安全法》《个人信息保护法》《行政处罚法》等相关法律有机衔接，重点强化了网络安全法律责任，加大对违法行为处罚力度，主要修改内容包括合理设置了网络运行安全的法律责任、网络信息安全的法律责任、个人信息和重要数据安全的法律责任，以及从轻、减轻或者不予行政处罚的情形。

1. 2025年1月24日，国家标准GB/T 45230-2025《数据安全技术 机密计算通用框架》发布

本标准确立了机密计算通用框架，描述了框架的核心组件和基础功能，并提供了机密计算服务及实现机制，适用于机密计算相关方设计、开发、使用和部署机密计算相关产品或解决方案时参考，也可为开展机密计算能力评估活动提供参考。

2. 2025年1月24日，国家标准GB/T 43710-2025《科学数据安全审计要求》发布

本标准规定了科学数据安全审计的相关要求，包括总体要求、一般审计要求和专项审计要求，适用于科学数据机构，对科学数据相关活动中所涉及的安全控制活动进行审计。

3. 2025年2月28日，国家标准GB/T 37027-2025《网络安全技术 网络攻击和网络攻击事件判定准则》发布

本标准确立了网络攻击和网络攻击事件的描述信息要素、判定和计数的方法，适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。

4. 2025年2月28日，国家标准GB/T 45279-2025《IPv4/IPv6网络安全防护技术规范》系列标准发布

该系列标准包含第1-4部分，分别规定了IP承载网、移动通信网、互联网数据中心、内容分发网络在IPv4、IPv6、双栈环境下的网络安全防护要求和测试方法，包括网络安全、设备安全、物理环境安全和管理安全、软件及业务系统安全等方面，适用于指导支持IPv4/IPv6协议的各类网络安全防护工作开展和推进。

5. 2025年2月28日，国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》发布

本标准规定了人工智能生成合成内容标识方法，适用于生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动。

6. 2025年2月28日，国家标准GB/T 19713-2025《网络安全技术 公钥基础设施在线证书状态协议》发布

本标准给出了一种无需请求证书撤销列表(CRL )即能查询数字证书状态的机制，即在线证书状态协，包括在线证书状态协议的协议内容、语法规范。

7. 2025年3月28日，国家标准GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》发布

本标准规定了数据安全评估机构的能力要求，包括基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力。

8. 2025年3月28日，国家标准GB/T 45392-2025《数据安全技术 基于个人信息的自动化决策安全要求》发布

本标准规定了个人信息处理者进行自动化决策处理活动时，在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。

9. 2025年3月28日，国家标准GB/T 45396-2025《数据安全技术 政务数据处理安全要求》发布

本标准规定了政务数据处理的安全要求，明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。

10. 2025年3月28日，国家标准GB/T 45399-2025《信息技术 云计算 超融合系统通用技术要求》发布

本标准确立了超融合系统的参考模型，包括计算虚拟化组件、存储虚拟化组件、网络虚拟化组件、安全虚拟化组件和运维管理，适用于为超融合系统厂商设计和制造超融合产品提供指导，同时为第三方测评机构实施超融合系统测试和评价提供参考。

11. 2025年3月28日，国家标准GB/T 45404-2025《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》发布

本标准规定了大型互联网企业建立和运行个人信息保护监督机构的要求，包括个人信息保护监督机构的设置、职责、工作规则，以及个人信息保护监督机构的成员等要求。

12. 2025年3月28日，国家标准GB/T 45406-2025《网络关键设备安全技术要求 可编程逻辑控制器（PLC）》发布

本标准规定了符合网络关键设备规定范围的可编程逻辑控制器安全功能要求以及安全保障要求，适用于网络关键设备可编程逻辑控制器的研发、测试等工作。

13. 2025年3月28日，国家标准GB/T 45409-2025《网络安全技术 运维安全管理产品技术规范》发布

本标准规定了运维安全管理产品的安全功能要求、自身安全要求、安全保障要求及测试评价方法，适用于运维安全管理产品的设计、研发、生产、服务、检测和认证。

14. 2025年3月31日，公安部网安局公布了行业标准GA/T 2182-2024《关键信息基础设施安全测评要求》

本标准规定了针对关键信息基础设施开展安全测评的要求和方法，适用于规范关基运营者及网络安全服务机构开展关基安全测评工作。