速度收藏！2022上半年国内网安政策法规整理

2022-07-06 09:22:16来源：深圳融安网络科技有限公司

2022年是实施“十四五”规划的关键之年，是党的“二十大”召开之年，也是数字经济全面发力的一年。2022年上半年，我国各级政府继续高度重视网络安全工作，在工业互联网、数据安全、车联网等多个领域密集出台了多项网络安全法律法规和政策文件，有效促进了网络安全领域的技术创新和应用落地，为筑牢国家网络安全屏障、推进网络强国提供强有力的支撑。整理如下，以供大家参考。

国家重磅政策

1、《网络安全审查办法》

发布日期：2022年1月4日

国家互联网信息办公室等十三部门修订发布《网络安全审查办法》，已于2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。

2、《“十四五”数字经济发展规划》

发布日期：2022年1月12日

由国务院印发，明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。《规划》指出要着力强化数字经济安全体系，增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。

3、《2022年政府工作报告》

发布日期：2022年3月5日

《政府工作报告》提到2022年重点工作，其中包含强化网络安全、数据安全和个人信息保护。这是自2021年政府工作报告以来，再次对数据安全和个人信息保护的强调。

4、《关于加强数字政府建设的指导意见》

发布日期：2022年6月23日

4月19日，中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十五次会议，审议通过了《关于加强数字政府建设的指导意见》。习主席在主持会议时强调，要全面贯彻网络强国战略，把数字技术广泛应用于政府管理服务，推动政府数字化、智能化运行，为推进国家治理体系和治理能力现代化提供有力支撑。

……

工业互联网安全领域

1、《2022年电力安全监管重点任务》

发布日期：2022年3月1日

为确保电力系统安全稳定运行和电力可靠供应，推动全国电力安全生产形势持续稳定向好，国家能源局制定了《2022年电力安全监管重点任务》，明确电力安全监管目标，并对2022年的电力安全工作进行了部署。《任务》强调要做好电力安全日常监管工作，推进“明目”“赋能”“强基”三大行动，加快网络安全态势感知平台建设，组织开展网络安全实战演习，评估遴选一批电力行业网络安全分靶场，组织开展关键信息基础设施安全保护监督检查，建立电力行业网络安全等级体系。

2、《关于“十四五”推动石化化工行业高质量发展的指导意见》

发布日期：2022年4月7日

4月7日，工业和信息化部、国家发展和改革委员会、科学技术部、生态环境部、应急管理部、国家能源局联合印发《关于“十四五”推动石化化工行业高质量发展的指导意见》。提出到2025年我国石化化工行业基本形成自主创新能力强、结构布局合理、绿色安全低碳的高质量发展格局，高端产品保障能力大幅提高，核心竞争能力明显增强，高水平自立自强迈出坚实步伐。并在创新发展、产业结构、产业布局、数字化转型、绿色安全等五个方面明确了具体发展目标。

3、《工业互联网专项工作组2022年工作计划》

发布日期：2022年4月13日

4月13日，工业和信息化部印发《工业互联网专项工作组2022年工作计划》，从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面，提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等15大类任务83项具体举措。

4、《电力可靠性管理办法（暂行）》

发布日期：2022年4月27日

4月27日，国家发改委发布《电力可靠性管理办法(暂行)》，自2022年6月1日起施行，办法新增“第七章网络安全”专章，并重点提出了网络安全防护、网络安全监测、风险评估、隐患排查治理、网络安全责任落实等电力行业网络安全相关要求。

5、《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》征求意见

发布日期：2022年6月12日

6月12日，为进一步规范工作流程、加强工作协调、提升工作效能，国家能源局综合司发布《电力行业网络安全管理办法（修订征求意见稿）》《电力行业网络安全等级保护管理办法（修订征求意见稿）》，并向社会广泛征求意见，这是时隔八年后对《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）、《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）的首次修订，意见反馈截止日期为2022年7月13日。

……

数据安全领域

1、《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）

发布日期：2022年2月10日

2月10日，工信部再次征求对《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）的意见。明确数据处理者对数据处理活动负安全主体责任，对各类数据实行分级防护。要求跨主体提供、转移、委托处理核心数据的，应当评估安全风险，采取必要的安全保护措施并报批。

2、《工业和信息化部办公厅关于做好工业领域数据安全管理试点工作的通知》

发布日期：2022年2月21日

由工业和信息化部发布，《通知》要求试点地区加快提升行政执法能力，加大对行政执法人员和企业培训力度，鼓励有条件的地区统筹建立专业执法队伍。要强化政策支持和资金投入，加强数据安全监测、风险报送、事件处置等技术能力建设，全面提升本地区数据安全监管能力。

3、《关于开展数据安全管理认证工作的公告》

发布日期：2022年6月5日

6月5日，国家市场监督管理总局、国家互联网信息办公室发布《关于开展数据安全管理认证工作的公告》，并公布《数据安全管理认证实施规则》，公告中提出国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立，并按照《数据安全管理认证实施规则》实施认证。《数据安全管理认证实施规则》规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

……

其他网络安全领域

金融业

1、《关于银行业保险业数字化转型的指导意见》

1月10日，银保监会印发《关于银行业保险业数字化转型的指导意见》。要求完善数据安全管理体系，建立数据分级分类管理制度，落实技术和管理措施。强化对数据的安全访问控制，建立数据全生命周期的安全闭环管理机制。构建云环境、分布式架构下的技术安全防护体系。

2、《金融标准化“十四五”发展规划》

2月8日，中国人民银行、市场监管总局、银保监会、证监会发布了《金融标准化“十四五”发展规划》。《规划》提出要强化金融网络安全标准防护，健全金融业网络安全与数据安全标准体系。建立健全金融业关键信息基础设施保护标准体系，支持提升安全防护能力。加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设，助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。

车联网

《车联网网络安全和数据安全标准体系化建设指南》

2月25日，工信部发布《车联网网络安全和数据安全标准体系化建设指南》，聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等，着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给，覆盖车联网网络安全、数据安全的关键领域和环节。

医药业

《药品监管网络安全与信息化建设“十四五”规划》

5月11日，国家药监局关于印发《药品监管网络安全与信息化建设“十四五”规划》的通知。《规划》分为4大部分，总结了“十三五”时期，药监部门信息化建设工作成效，提出“十四五”期间，坚持“系统思维，统筹协同”“业务引领，数据驱动”“技术赋能，融合创新”“集约建设，安全可控”4个基本原则，重点明确了升级“两品一械”智慧监管能力、提升政务一体化服务能力、推进监管数据融合与驱动、筑牢药品智慧监管数字底座、夯实网络安全综合保障能力5个方面重点任务。

……

15项国家标准简析（行业相关）

1、GB/T 25069-2022《信息安全技术术语》代替GB/T 25069-2010版本

发布日期：2022年3月9日

施行日期：2022年10月1日

本标准界定了信息安全技术领域中基本或通用概念的术语和定义，并对其进行了分类。适用于对信息安全技术概念的理解、其他信息安全技术标准的制定以及信息安全技术的国内外交流。

2、GB/T 20278-2022《信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法》代替GB/T 20278--2013、GB/T 20280-2006版本

发布日期：2022年3月9日

施行日期：2022年10月1日

本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法，并将网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求四方面。适用于脆弱性扫描产品的设计、开发与测试。

3、GB/Z 41290-2022《信息安全技术移动互联网安全审计指南》

发布日期：2022年3月9日

施行日期：2022年10月1日

本标准提供了移动互联网安全审计活动角色职责、审计范围、审计内容等方面的指导和建议，给出了安全审计活动的框架、功能任务及其具体内容等信息。

4、GB/Z 41288-2022《信息安全技术重要工业控制系统网络安全防护导则》

发布日期：2022年3月9日

施行日期：2022年10月1日

本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求，以建立重要工业控制系统的网络安全防护体系。

5、GB/T 41241-2022《核电厂工业控制系统网络安全管理要求》

发布日期：2022年3月9日

施行日期：2022年10月1日

本标准适用于核电厂领域工业控制系统生命周期的所有阶段（包括设计、开发、工程实施、运行和维护、退役等）网络安全活动，也适用于指导核电厂工业控制系统用户改善和提高生产系统中网络安全防护能力的系统维护活动。

6、GB/T 41267-2022《网络关键设备安全技术要求交换机设备》、GB/T 41266-2022《网络关键设备安全检测方法交换机设备》

发布日期：2022年3月9日

施行日期：2022年10月1日

两项标准互为配套，一个规定了列入网络关键设备目录的交换机设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中，安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。

7、 GB/T 41269-2022《网络关键设备安全技术要求路由器设备》、GB/T 41268-2022《网络关键设备安全检测方法路由器设备》

发布日期：2022年3月9日

施行日期：2022年10月1日

两项标准互为配套，一个规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中，安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。

8、GB/T 41274-2022《可编程控制系统内生安全体系架构》

发布日期：2022年3月9日

施行日期：2022年10月1日

本标准规定了可编程控制系统内生安全体系架构，描述了可编程控制系统内生安全的目标和各单元模块的相关安全需求，规定了可编程控制系统的内生安全要求。其中，可编程控制系统内生安全的目标为保障可编程控制系统的完整性，各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。

9、GB/T 41388-2022《信息安全技术可信执行环境基本安全规范》

发布日期：2022年4月15日

施行日期：2022年11月1日

本标准确立了可信执行环境系统整体技术架构，描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。

10、GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》

发布日期：2022年4月15日

施行日期：2022年11月1日

本标准规定了SM9密码算法的使用要求，描述了密钥、加密与签名的数据格式，主体内容包括SM9的密钥对、技术要求、证实方法，并在附录中提供了数据格式编码测试用例。