请选择 进入手机版 | 继续访问电脑版

3A资讯网

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 129|回复: 0

年终盘点|2019网络安全保护新举措之政策篇

[复制链接]

1744

主题

1744

帖子

5232

积分

网站编辑

Rank: 8Rank: 8

积分
5232
发表于 2020-2-13 22:24:37 | 显示全部楼层 |阅读模式
作者:网安视界


编者按

2019年,全球已经步入大数据时代。但大数据如同一把双刃剑,在我们享受大数据分析带来的精准信息的同时,其所带来的安全问题也开始成为企业的隐患。信息泄露、黑客袭击、病毒传播等等互联网信息安全问题层出不穷。政府、企业和个人对信息安全日益关注,近几年,世界各国相继出台系列政策支持网络安全行业的发展。下面,小编就和大家一起来盘点下国内外2019年新颁布的网络安全政策。



国内政策篇

1

《区块链信息服务管理规定》

2019年1月10日,国家互联网信息办公室发布《区块链信息服务管理规定》,自2019年2月15日起施行。

《规定》提出,区块链信息服务提供者应当落实信息内容安全管理主体责任;配备与其服务相适应的技术条件;制定和公开管理规则和平台公约;落实真实身份信息认证制度;不得利用区块链信息服务从事法律、行政法规禁止的活动或者制作、复制、发布、传播法律、行政法规禁止的信息内容;对违反法律、行政法规和服务协议的区块链信息服务使用者,应当依法依约采取处置措施。

《规定》要求,区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报备案信息,变更服务项目、平台网址等事项或者终止服务的,应当办理变更或注销手续。服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。

《规定》原文链接:

http://www.cac.gov.cn/2019-01/10/c_1123971164.htm

2

《工业互联网网络建设及推广指南》

2019年1月18日,工信部发布《工业互联网网络建设及推广指南》,明确提出将以构筑支撑工业全要素、全产业链、全价值链互联互通的网络基础设施为目标,着力打造工业互联网标杆网络、创新网络应用,规范发展秩序,加快培育新技术、新产品、新模式、新业态。到2020年,形成相对完善的工业互联网网络顶层设计。

工信部提出,到2020年,初步建成工业互联网基础设施和技术产业体系,包括建设满足试验和商用需求的工业互联网企业外网标杆网络,建设一批工业互联网企业内网标杆网络,建成一批关键技术和重点行业的工业互联网网络实验环境,建设20个以上网络技术创新和行业应用测试床,形成先进、系统的工业互联网网络技术体系和标准体系等。

工信部特别提出,建立工业互联网网络发展监测评估机制,加强网络资源管理和安全保障,提升安全防护能力。

2019年1月18日,链接:

http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c6605217/content.html

3

《关于加强工业互联网安全工作的指导意见(征求意见稿)》

4月15日,工信部发布《关于加强工业互联网安全工作的指导意见(征求意见稿)》,向社会公开征求意见。

征求意见稿提出,通过落实推动工业互联网安全责任落实、构建工业互联网安全管理体系、提升企业工业互联网安全防护水平、强化工业互联网数据安全保护能力、建设国家工业互联网安全技术手段等七项主要任务,致力于到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

发布于2019年4月15日,链接:

http://scca.miit.gov.cn/2/3/2019-04-17/3501.html

4

网络安全等级保护制度2.0系列标准正式发布

5月13日,《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》三项国家标准正式发布,并将于2019年12月1日正式实施。

据了解,原来的保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等,在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

发表于2019年5月16日,链接:

http://it.people.com.cn/n1/2019/0516/c1009-31087714.html

5

《网络安全审查办法(征求意见稿)》

5月24日,国家互联网信息办公室发布《网络安全审查办法(征求意见稿)》(以下简称“征求意见稿”),公开征求公众意见。意见反馈截止时间为2019年6月24日。《征求意见稿》共21条,对网络安全审查原则、监管机制,以及应当进行网络安全审查的情形、程序等做出了规定。

征求意见稿规定,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。网络安全审查工作由中央网络安全和信息化委员会统一领导。网络安全审查重点评估采购活动可能带来的国家安全风险,主要考虑以下因素:

(1)对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性;

(2)导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;

(3)产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;

(4)对国防军工、关键信息基础设施相关技术和产业的影响;

(5)产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;

(6)产品和服务提供者受外国政府资助、控制等情况;

(7)其他可能危害关键信息基础设施安全和国家安全的因素。

《征求意见稿》原文链接:

http://www.cac.gov.cn/2019-05/24/c_1124532846.htm

6

《网络安全漏洞管理规定(征求意见稿)》

2019年6月18日,工信部发布《网络安全漏洞管理规定(征求意见稿)》,向社会公开征求意见。

征求意见稿共十二条,明确由工信部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;需要用户或相关技术合作方采取漏洞修补或防范措施的,应在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工信部网络安全威胁信息共享平台报送相关漏洞情况。

征求意见稿原文链接:

http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7005976/content.html?tsrrctlfqtf=

7

《儿童个人信息网络保护规定》

8月23日,《儿童个人信息网络保护规定》正式出台,并将于2019年10月1日起施行。

该规定主要规范在中华人民共和国境内网上儿童个人信息的有关活动,规定了“任何组织和个人”“网络运营者”“儿童监护人”“互联网行业组织”等主体的责任和义务,覆盖了儿童个人信息的收集、存储、使用、转移、披露等全生命周期,确定了儿童个人信息网络保护的原则和具体处理规则,明确了网信部门和其他有关部门的监管职责,同时也规定了违法责任以及信用记录等内容。

《规定》原文链接:

http://www.cac.gov.cn/2019-08/23/c_1124913903.htm

8

《加强工业互联网安全工作的指导意见》

8月28日,工信部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局十部门联合发布《加强工业互联网安全工作的指导意见》。

《指导意见》规定工业互联网安全工作应坚持筑牢安全、保障发展;统筹指导、协同推进;分类施策、分级管理;融合创新、重点突破的基本原则。计划到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

《指导意见》提出七项主要任务,分别是:(1)推动工业互联网安全责任落实;(2)构建工业互联网安全管理体系;(3)提升企业工业互联网安全防护水平;(4)强化工业互联网数据安全保护能力;(5)建设国家工业互联网安全技术手段;(6)加强工业互联网安全公共服务能力;(7)推动工业互联网安全科技创新与产业发展。

发表于2019年8月30日,链接:

http://www.miit.gov.cn/n1146295/n7281315/c7368827/content.html

《指导意见》原文链接:

http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c7281215/content.html?tsrehhyrfwf=&from=singlemessage&isappinstalled=0

9

《密码法》

10月26日,第十三届全国人大常委会第十四次会议正式通过《密码法》,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。《密码法》共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施;第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施;第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度;第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果;第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。发表于2019年10月28日。

链接:http://www.npc.gov.cn/npc/c30834/201910/6b6e86cd0703456aa7f41ed6ca919af3.shtml

《密码法》原文链接:http://www.npc.gov.cn/npc/c238/201910/a48b204760ed4d3d856d4440fa723c64.shtml

10

澳门《网络安全法》

12月22日,澳门《网络安全法》(第13/2019号法律)正式实施。澳门《网络安全法》事构建澳门网络安全防范性管理体系的法律基础,并且与《打击电脑犯罪法》相辅相成,让澳门进入事前预防和事后打击相结合的维护网安新时代。

22日,澳门司法司法警察局(PJ)官网发布消息称,由司法警察局统筹,并与行政公职局及邮电局联合组成的网络安全事故预警及应急中心,开始投入运作。

根据《网络安全法》有关规定,预警及应急中心是一个专门技术性机构。预警及应急中心实行每周7天、每天24小时的运作模式,由专业的技术人员轮值无间断守护各个关键基础设施的网络安全。其职责主要涉及三大核心业务,包括:

一、网络安全风险预警──实时检视关键基础设施营运者的网络安全状况(不包括资讯内容),并于发现攻击苗头时发出预警讯息,协助营运者及早防范,避免事故发生。

二、网络安全事故应急协调──集中接收营运者的网络安全事故通报,与监管实体共同跟进事态发展,促进事故处理的效率和成效,致力减低事故对社会造成的影响。

三、行政及技术支援──预警及应急中心作为整个网络安全管理体系的沟通枢纽,一方面向网络安全委员会提供行政和技术支援,协助推行委员会制定的政策方针;另一方面为监管实体和营运者提供技术支援,例如协助分析网安事故的成因并建议改善措施,避免同类事故再次发生。

发表于2019年12月22日,链接:

https://www.gov.mo/zh-hans/news/274655/

2019年网络安全国内政策篇汇总如下:

月份

国内政策


1月

1月2日,公安部发布《公安机关办理刑事案件电子数据取证规则》

1月2日,教育部办公厅下发《关于严禁有害APP进入中小学校园的通知》

1月10日,国家互联网信息办公室发布《区块链信息服务管理规定》

1月18日,工信部发布《工业互联网网络建设及推广指南》

1月24日,山东印发《关于促进全省移动互联网健康有序发展的实施意见》

1月25日,四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》

2月

2月1日,全国信安标委发布国家标准《信息安全技术个人信息安全规范(草案)》征求意见

2月1日,全国信安标委发布国家标准《信息安全技术社交网络平台信息标识规范(征求意见稿)》征求意见

2月12日,工信部等三部门联合发布《关于加强绿色数据中心建设的指导意见》

2月18日,中共中央、国务院印发《粤港澳大湾区发展规划纲要》

3月

3月1日,教育部办公厅发布《2019年教育信息化和网络安全工作要点》

3月7日,国资委发布《中央企业负责人经营业绩考核办法》

3月15日,市场监管总局、中央网信办发布公告,将开展APP安全认证工作

3月28日,中国人民银行发布《中国人民银行关于进一步加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知》

3月29日,国务院发布意见,对大数据、人工智能等产业发展及监管分工做出部署

4月

4月1日,工信部发布《工业和信息化部关于开展互联网信息服务备案用户真实身份信息电子化核验试点工作的通知》

4月3日,广电总局发布《未成年人节目管理规定》

4月11日,中宣部、广电总局再发“县级融媒体中心”三大规范

4月15日,工信部发布《关于加强工业互联网安全工作的指导意见(征求意见稿)》

4月15日,国务院发布修订后的《政府信息公开条例》

4月21日,《民法典》人格权编二审,增加对未成年人信息保护规定

4月28日,中央网信办等四部门联合印发《2019年网络扶贫工作要点》

4月30日,《上海市公共数据开放管理办法(草案)》公开征求意见

4月30日,国务院公布《国务院关于在线政务服务的若干规定》

5月

5月5日,全国信息安全标准化委员会发布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》

5月8日,天津市互联网信息办公室发布《天津市数据安全管理办法(暂行)》(征求意见稿)

5月8日,工信部、国资委发布通知,开展深入推进宽带网络提速降费,支撑经济高质量发展2019专项行动

5月11日,国务院办公厅发布《国务院2019年立法工作计划》,涉及多个网络安全立法项目

5月13日,网络安全等级保护制度2.0系列标准正式发布

5月16日,中共中央办公厅、国务院办公厅印发《数字乡村发展战略纲要》

5月16日,全国信息安全标准化委员会发布《网络关键设备和网络安全专用产品相关国家标准要求(征求意见稿)》

5月24日,国家互联网信息办公室发布《网络安全审查办法(征求意见稿)》

5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》

5月30日,工信部发布《关于做好2019年电信和互联网行业网络安全行政检查工作的通知》

5月31日,国家互联网信息办公室发布《儿童个人信息网络保护规定(征求意见稿)》

6月

6月1日,全国信安标委发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》

6月5日,工信部发布《网络关键设备安全检测实施办法(征求意见稿)》

6月6日,工信部修订《电信业务分类目录(2015年版)》

6月10日,国务院发布《中华人民共和国人类遗传资源管理条例》

6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》

6月14日,工信部发布《互联网电视接收设备技术规范(报批稿)》

6月18日,工信部发布《网络安全漏洞管理规定(征求意见稿)》

6月20日,市场监管总局等部门印发通知,部署2019网络市场监管专项行动

6月25日,密码法草案首次亮相,明确密码分类管理原则

6月25日,全国信安标委发布通知,对《信息安全技术 个人信息安全规范》等8项国家标准公开征求意见

6月27日,国家邮政局、商务部发布《关于规范快递与电子商务数据互联共享的指导意见》

6月28日,工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》

7月

7月1日,天津市互联网信息办公室发布《天津市数据安全管理办法(暂行)》

7月12日,国家密码管理局发布《商用密码产品生产和保障能力建设规范》等13项密码行业标准

7月12日,教育部等六部门发布《关于规范校外线上培训的实施意见》

7月14日,发展改革委发布《优化营商环境条例(征求意见稿)》

7月16日,国务院办公厅发布《关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》

7月18日,中央网信办等三部门联合发布《关于不再指导企业主办的商业性网络安全会议、竞赛活动的通知》

7月22日,国家互联网信息办公室发布《互联网信息服务严重失信主体信用信息管理办法(征求意见稿)》

7月22日,四部委联合发布《云计算服务安全评估办法》

7月23日,工信部公开征集对《网络安全专用产品通用安全技术要求》强制性国家标准计划项目的意见

7月24日,中央全面深化改革委员会通过《关于加快建立网络综合治理体系见》

7月25日,交通运输部发布《数字交通发展规划纲要》

7月30日,公安部网络安全保卫局:推进安全信息共享机制深入发展

7月30日,中央网信办网络安全协调局:要加快出台数据安全法

7月30日,上海发布《中国(上海)自由贸易试验区临港新片区管理办法》,加强重点领域监管,试点开展数据跨境流动安全评估

7月31日,北京市教委发布《北京促进人工智能与教育融合发展行动计划》

7月31日,工信部信息通信管理局发布《携号转网服务管理暂行办法(征求意见稿)》

8月

8月1日,贵州省出台《贵州省大数据安全保障条例》

8月1日,科技部发布《国家新一代人工智能开放创新平台建设工作指引》

8月6日,国务院发布上海临港新片区总体方案,试点开展数据跨境流动安全评估

8月8日,全国信安标委发布《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》

8月8日,国务院办公厅发布《关于促进平台经济规范健康发展的指导意见》

8月9日,国家网信办发布公告,对《区块链信息服务管理规定》安全评估条款要求进行说明

8月9日,工信部办公厅发布通知,开展2019年制造业与互联网融合发展试点示范工作

8月13日,科技部等六部门印发《关于促进文化和科技深度融合的指导意见》

8月14日,全国信安标委发布《网络关键设备和网络安全专用产品相关国家标准要求(第二版征求意见稿)》

8月16日,水利部发布《水利网络安全管理办法(试行)》

8月22日,民法典人格权编草案提请三审,强化对隐私权及个人信息保护

8月23日,国家互联网信息办公室正式发布《儿童个人信息网络保护规定》

8月28日,十部门联合发布《加强工业互联网安全工作的指导意见》

8月29日,科技部发布《国家新一代人工智能创新发展试验区建设工作指引》

8月30日,28项信安标委归口的国家标准获批发布

9月

9月4日,工信部发布《工业大数据发展指导意见(征求意见稿)》

9月5日,教育部等八部门发布《关于引导规范教育移动互联网应用有序健康发展的意见》

9月10日,国家互联网信息办公室发布《网络生态治理规定(征求意见稿)》

9月10日,上海市政府发布《上海市公共数据开放暂行办法》

9月16日,青海省发布《关于加强网络视听节目直播服务管理通知》

9月19日,中共中央、国务院发布《交通强国建设纲要》,推动新技术与交通行业深度融合

9月27日,工信部印发《关于进一步做好电话用户实名登记管理有关工作的通知》

9月27日,工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》

9月30日,十一部门联合发布《关于促进在线教育健康发展的指导意见》

10月

10月9日,《个人金融信息(数据)保护试行办法》出台,正在征求意见

10月22日,四部门联合发布《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》

10月24日,《信息安全技术个人信息安全规范》新版征求意见稿发布

10月25日,《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》最新版草案发布

10月25日,两高发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

10月25日,国家新闻出版署发布《关于防止未成年人沉迷网络游戏的通知》

10月26日,全国人大常委会正式通过《密码法》

10月30日,上海网信办发布《上海市网络安全事件应急预案(2019年版)》

10月31日,《未成年人保护法(修订草案)》发布


11月11日,互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》,不得与违规第三方开展数据合作


11月11日,互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》,不得与违规第三方开展数据合作


11月11日,工信部发布《携号转网服务管理规定》



11月

11月20日,国家网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》


11月29日,国家网信办等部门联合发布《网络音视频信息服务管理规定》


11月30日,天津市网信委发布方案,开展为期两年的数据安全保障能力专项行动


12月6日,国务院七部门联合发布《关于促进“互联网+社会服务”发展的意见》


12月13日,六部门发布《关于整顿规范住房租赁市场秩序的意见》,强调网络信息平台责任


12月13日,工信部发布《关于加强呼叫中心业务管理的通知(征求意见稿)》,加强骚扰电话治理

12月

12月13日,第十届中国信息安全法律大会暨密码法治高端论坛在北京顺利召开

12月13日,公安三所网络安全法律研究中心与百度联合发布《网络犯罪防范治理研究报告》

12月17日,工信部发布《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)

12月20日,国家网信办发布《网络信息内容生态治理规定》


12月20日,全国人大常委会法工委:2020年将制定个人信息保护法、数据安全法


12月22日,澳门《网络安全法》正式实施,网络安全事故预警及应急中心投入运作


12月26日,最高法修改民事证据规定,明确电子数据范围和审查认定规则


12月27日,公安部部长赵克志:大力推进实施公安大数据战略为履行新时代使命任务提供有力支撑


12月27日,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》发布,专章规定“消费者金融信息保护”


12月27日,12部门联合印发《健康中国行动——儿童青少年心理健康行动方案(2019—2022年)》


12月30日,四部门联合印发《App违法违规收集使用个人信息行为认定方法》




国际政策篇

1

美国众议院引入《资本法案》,要求对增设民用网络防御国家机构可行性加以研究

1月3日,美国众议院提出《资本法案》(CAPITALS Act),旨在要求国土安全部长对国土安全部内设民用网络防御国家机构(Civilian Cyber Defense National Resource)的可行性进行研究。

根据法案的规定,在进行可行性研究时,国土安全部部长应对以下因素加以考量:(1)建立该机构的成本;(2)美国关键基础设施保护所需的人员;(3)该机构人员的来源;(4)适合招募、培训和管理该机构的部门;(5)服务于此类机构的人员所需的标准;(6)为确保此机构的有效性和反应能力,可以预先部署和调配的资源等。

此外,法案要求国防部长应在该法生效后的240天内提交研究结果。

法案原文链接:
https://www.congress.gov/bill/116th-congress/house-bill/57/text?q=%7B%22search%22%3A%5B%22cyber%22%5D%7D&r=7&s=4

2

美国众议院提出《联邦网站安全保障法案2019》,规范个人信息的收集使用

1月10日,美国众议院提出《联邦网站安全保障法案2019》(Safe and Secure Federal Websites Act of 2019),以保障收集个人身份信息的新联邦网站功能实现及安全。其中,新联邦网站是指由相关代理机构运行,收集、使用、存储、维护个人身份信息,且在2012年10月1日之后首次向公众开放的联邦网站。

根据该法案的规定,代理机构不得向公众开放上述联邦网站,除非该机构的首席信息官提交认证,确保该网站功能齐全、安全可靠。

此外,该法案还对个人信息泄露做出了规定。要求管理和预算办公室主任制定并监督各机构在发生信息泄露时应遵循的规定和程序,包括在机构发现信息泄露72小时内应通知可能受影响的个人,并及时向管理和预算办公室主任指定的机构报告。

法案原文链接:
https://www.congress.gov/bill/116th-congress/house-bill/455/actions?q=%7B"search"%3A%5B"security"%5D%7D&r=20&s=9

3

印度拟修改《信息技术法》,打击非法内容的传播

1月20日,为阻止假新闻和不实消息在社交媒体传播,印度政府表示将修订印度《信息技术法》(Information Technology Act)第79条。其中有两个重要修正案,一是要求在线平台必须主动使用识别“非法”内容的技术;二是要求破解端到端加密,以便追踪消息来源。

如果修正案获得批准,Facebook和Twitter等平台需要审查印度政府认为不合适的内容。修改后法律将要求社交平台向政府提供私人信息,同时这些社交平台需要每月提醒用户他们的隐私政策。此外,如果新规则获得批准,社交平台将必须引入新工具来自动标记印度政府认为非法的内容。据悉,这些非法内容包括“针对某些受保护群体的仇视言论、诽谤、虐待儿童和对强奸的描述”。

发表于2019年1月20日,链接:
http://fortune.com/2019/01/20/indian-government-free-speech-online/

4

美国国家情报局发布《国家情报战略2019》, 关注网络威胁

1月22日,美国国家情报局发布《国家情报战略2019》(2019 National Intelligence Strategy,NIS)。作为美国情报机构的指导性战略,该文件将在未来四年指导美国情报工作的方向。

此次发布的是战略第四版。该战略主要包括战略环境、战略目标、企业目标、情报机构组织、情报战略的实施与分工、结论六大部分。

在战略环境部分,该战略指出美国当前面临的威胁复杂且多样。在网络空间方面,网络威胁不断挑战着公众对美国的全球机构、治理以及规范的信任。同时敌对势力利用人工智能、自动化、高性能计算等新兴技术对美国关键基础设施安全、公共健康及经济安全等带来威胁。此外,通信技术的发展与普及也为情报界提供更广泛的收集渠道和潜力,同时也挑战了情报部门快速收集、处理、评估、分析数据的能力。

在战略目标部分,战略确定了情报工作的七大任务:战略情报、预期情报、军事情报、网络威胁、反恐、反扩散、反间谍与安全。其中,网络威胁情报目标要求检测和了解国家或非国家恶意网络行为带来的网络威胁,为国家安全决策、开展网络安全响应行动提供支撑。

此外,战略还介绍了国家情报总监办公室、中央情报局、国防情报局、国家安全局等美国当前的17个情报机构,明确国家情报主任(Director of National Intelligence)通过国家情报总监办公室监督、指导和协调各情报机构的工作。其他各情报机构负责在各自情报领域内协调其战略、计划和行动。

战略原文链接:
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf?utm_source=Press%20Release&utm_medium=Email&utm_campaign=NIS_2019

5

瑞士批准新规,提升军事网络安全

1月30日,瑞士联邦委员会通过《对军事网络防御条例个别条款的解释》(Verordnung über die milit?rische Cyberabwehr Erl?uterung der einzelnen Bestimmungen),旨在应对网络攻击,加强军队的网络安全建设。

根据该法规定,瑞士将成立一个专门的军事网络安全部门,由100至150名专业IT专家和400-600名在职士兵组成。和平时期任何入侵第三方计算机系统的行为需要经过国防部批准。但在国家安全面临重大威胁的情形下,军队首席长官可以作出批准决定。该法于3月1日正式生效。

法案原文链接:
https://www.newsd.admin.ch/newsd/message/attachments/55495.pdf

6

挪威发布新版《国家网络安全战略》

1月30日,挪威政府发布了新版《国家网络安全战略》(National Cyber Security Strategy for Norway)。该战略是挪威第四个网络安全战略,旨在解决挪威数字化发展过程中所面临的诸多网络安全挑战。

与之前的版本相比,此次战略在加强公私合作、军民合作以及国际合作方面均有所发展。作为战略的一部分,挪威将投资16亿挪威克朗的预算用于加强网络安全。

该战略主要由两部分组成,一部分是政府在网络安全方面的优先事项。为提升网络安全防护能力、打击网络犯罪,战略确定了五大政府优先领域,包括预防性网络安全(Preventive cyber security)措施、关键社会功能的网络安全(Cyber security in critical societal functions)、网络安全能力(cyber security competence)建设、网络攻击的检测和处理(Detect and handle cyber attacks)、预防和打击网络犯罪(Prevent and combat cyber crime)。另一部分是对企业提升自身网络安全防御能力的十大建议,包括将网络安全融入企业文化、进行风险管理等。与该战略配套发布的还有《挪威国家网络安全战略措施清单》。

发表于2019年1月30日,链接:
https://www.regjeringen.no/en/aktuelt/new-national-strategy-for-cyber-security/id2627193/

战略原文链接:
https://www.regjeringen.no/contentassets/c57a0733652f47688294934ffd93fc53/national-cyber-security-strategy-for-norway.pdf

7

泰国议会通过备受争议的《网络安全法案》

2月28日,泰国国会以133票赞成、16票弃权三读通过了备受争议的《网络安全法案》(cybersecurity bill)。

据悉,该法案允许执法当局在没有法庭命令的情形下获取个人信息。此外,该法案对侵入计算机犯罪做出规定。根据法案规定,如被认定为高级网络安全威胁,州官员在没有法院授权的情况下可以对计算机进行查封、搜查,渗透或者复制计算机信息。该法案还允许州官员对导致上述网络威胁的信息进行“实时”访问。

接下来该法案将提交至泰国国王签署批准,然后在政府公报上公布。

发表于2019年2月28日,链接:
https://phys.org/news/2019-02-thai-lawmakers-controversial-cybersecurity.html

法案原文链接:
http://library.senate.go.th/document/mSubject/Ext84/84726_0001.PDF

8

美国众议院引入《改善州、地方网络安全法案》,加强政府网络安全保障能力

8月30日,美国众议院引入《改善州、地方网络安全法案》(State and Local Cybersecurity Improvement Act),旨在通过修订2002年《国土安全法》,帮助州和地方政府增强网络安全保障能力。

为实现上述目的,该法案在《国土安全法》的基础上增加了三项举措,以帮助州和地方政府获得更充分的网络安全资源:一是制定网络安全资源指南,要求国土安全部长为州、地方和部落官员(包括执法官员)制定资源指南,以帮助这些官员准备、防范、应对、恢复和减轻网络攻击;二是识别高价值资产,要求国土安全部长建立一个州和地方政府的网络安全倡议,向州和地方政府提供资金,以确定高价值资产和关键系统架构,评估网络安全风险;三是提供网络实践资金,要求国土安全部长建立一个州和地方政府的网络安全倡议,向州和地方政府提供资金,以进行培训演习,评估州或地方政府应对网络攻击的能力。

法案原文链接:
https://www.congress.gov/bill/116th-congress/house-bill/4217/actions?q=%7B"search"%3A%5B"cybersecurity"%5D%7D&r=6&s=2

9

美国国防部制定《网络安全成熟度模型认证框架》

8月30日,美国国防部宣布制定《网络安全成熟度模型认证框架》草案(Cybersecurity Maturity Model Certification ,CMMC),旨在评估和加强国防工业基地(DIB)的网络安全态势,并特别关注与其相关的供应链中的受控非机密信息(CUI)。

负责采购和持续性保障的国防部副部长办公室创建了一个网站,提供了有关拟议的CMMC的额外背景信息,包括常见问题清单和CMMC的详细信息,旨在征求主要DIB利益相关者的反馈。国防部计划在2020年1月发布1.0版CMMC框架,并预计从2020年6月开始将CMMC需求进行征求意见。

CMMC框架的概念是针对一系列国防部信息泄露而产生的。这使得国防部重新评估了其对国家标准与技术研究院(NIST)发布的SP800-171中安全控制的依赖,认为该标准足以抵御日益增长和演变的威胁,尤其是来自国家行为者的威胁。

根据CMMC网站发布的信息,CMMC的初始实施仅适用于国防部。但CMMC草案使用了CUI术语,而不是DFARS 252.204-7012中使用的涵盖国防信息(CDI),这表明,该模型在国防部之外的潜在作用更为广泛。根据CMMC要求,所有与国防部开展业务的公司,包括分包商,都必须经过认证。CMMC预计将各类网络安全标准(如NIST SP 800-171、NIST SP 800-53、ISO 270001和ISO 27032)的相关部分合并为一个统一的网络安全标准。但与NIST SP  800-171不同,CMMC将更广泛地“衡量一家公司网络安全实践和过程制度化的成熟度”。

预计CMMC将指定从“基本”到“高级”的网络安全成熟度级别。对于给定的CMMC级别,相关的控制和过程在实施时旨在降低针对特定网络威胁集的风险。值得注意的是,国防部将评估特定CMMC级别适用于某一特定合同,并将该级别作为“合格/不合格”评估决定的依据。在采购基础上对适当成熟度水平的评估类似于英国国防部(MOD)目前为所有MOD合同采用的网络安全模式。

框架原文链接:
https://www.insidegovernmentcontracts.com/2019/07/dod-announces-the-cybersecurity-maturity-model-certification-cmmc-initiative/

10

澳大利亚政府发布《澳大利亚2020年网络安全战略》讨论稿

9月6日,澳大利亚政府发布《澳大利亚2020年网络安全战略》(Australia’s 2020 Cyber Security Strategy)的讨论稿。在讨论稿中,澳大利亚政府全面回顾了其在发布《2016年网络安全战略》之后所实施的诸多安全项目,例如开设澳大利亚网络安全中心;与企业、政府和学术界建立更强有力的伙伴关系;建立7*24小时的全球网络安全事件监控系统等等。尽管澳大利亚已经实施了诸多努力,但新的网络安全问题不断出现,该意见稿指出,澳大利亚比以往更加依赖互联网和数字服务。自动化、人工智能、虚拟现实和物联网等技术将继续改变我们彼此的生活、工作和互动方式。这些变化给所有澳大利亚人带来了前所未有的机遇。然而,这些变化也使我们更加依赖技术,并可能更容易受到恶意网络活动的攻击。

为了适应这些变化,该讨论稿主要探讨并尝试解决了如下几大问题:一是政府在快速变动的世界中所具有的角色,政府如何有效解决国家的网络安全风险;二是如何协调企业、创新和网络安全之间的关系;三是如何建立依托于技术专家的可信市场;四是如何应对恶意网络人员的敌对外部环境;五是如何建立网络意识社区。

澳大利亚政府指出,2020年网络安全战略不可能解决所有的网络安全问题,其意义在于针对数据活动安全性的改变,适时开展补充工作,以更好地保护澳大利亚的网络安全。一旦战略最终确定,澳大利亚政府还将制定评估计划,并制定实现战略目的所需的详细行动。

战略讨论稿原文链接:
https://www.homeaffairs.gov.au/reports-and-pubs/files/cyber-security-strategy-2020-discussion-paper.pdf

2019年网络安全国际政策篇汇总如下:

月份


国际政策

1月

1月1日,美国佛蒙特州数据经纪人法生效,规定数据安全和年度披露义务

1月3日,美国众议院引入《资本法案》,要求对增设民用网络防御国家机构可行性加以研究

1月10日,美国众议院引入《国土威胁评估法案》,网络安全评估为重要内容

1月10日,美国众议院提出《联邦网站安全保障法案2019》,规范个人信息的收集使用

1月11日,波兰通过电信法修正案,完善对电信业的监管

1月14日,马来西亚出台新规,监管数字贸易

1月16日,美国参议院引入《数据传播法案2019》,推进隐私保护立法

1月17日,美国参议院提出《社交媒体隐私保护和消费者权利法案2019》,加强个人信息保护

1月20日,印度拟修改《信息技术法》,打击非法内容的传播

1月22日,美国国家情报局发布《国家情报战略2019》, 关注网络威胁

1月22日,欧洲议会、欧盟理事会和欧盟委员会就公共部门数据再利用达成协议

1月24日,美国众议院提出《网络外交法案2019》,为网络外交活动提供支撑

1月24日,巴西修订信息自由法案,加强涉密文件管理

1月25日,日本通过新规,授权政府入侵物联网设备

1月25日,欧盟拟制定新规,防止欧洲议会选举中个人数据的滥用

1月下旬,新加坡个人数据保护委员会提出人工智能监管框架范例

1月28日,欧洲《第108号公约》咨询委员会发布《人工智能与数据保护指南》

1月30日,瑞士批准新规,提升军事网络安全

1月30日,挪威发布新版《国家网络安全战略》

2月

2月4日,美国国防部公布《国防部云战略》,保障美国国防战略优势

2月6日,美国众议院引入《开放互联网法案2019》,支持网络中立

2月6日,欧盟委员会发布建议书,促进电子健康数据的共享

2月7日,美国众议院引入《互联网自由与创新法案2019》,增加互联网开放性

2月7日,美国参议院引入《联邦网络劳动力轮岗计划法案2019》

2月11日,特朗普签署行政令,大力促进人工智能发展

2月12日,美国国防部公布国防部人工智能战略,推进人工智能发展

2月12日,欧洲议会、欧洲理事会达成政治协议,促进财务信息的跨境调取

2月12日,俄罗斯拟通过立法隔离本国互联网

2月13日,美国众议院引入《国土安全部网络事件响应小组法案2019》

2月19日,欧洲标准组织发布《用户物联网网络安全标准》

2月23日,印度就《国家电子商务政策草案》征求公众意见

2月28日,泰国议会通过《个人数据保护法案》

2月28日,欧盟网络和信息安全局发布建议书,提升选举网络安全

2月28日,泰国议会通过备受争议的《网络安全法案》

8月

8月30日,美国众议院引入《改善州、地方网络安全法案》,加强政府网络安全保障能力

8月30日,美国国防部制定《网络安全成熟度模型认证框架》

9月

9月3日,新加坡新个人资料保护条例正式生效

9月6日,澳大利亚政府发布《澳大利亚2020年网络安全战略》讨论稿

9月6日,美国众议院引入《提升网络安全诊断和缓解能力法案》

9月9日,美国国家标准与技术研究院发布隐私保护框架初稿,指导企业进行隐私管理

9月12日,美国预算与管理办公室发布《更新可信网络连接计划》备忘录

9月13日,《加州消费者隐私法》最终版通过

9月18日,德国政府发布区块链战略

9月20日,美国众议院引入《保护关键基础设施免受无人机和新兴威胁法案》


结语

如果数百年后,世人撰写网络安全发展史,2019年必是浓墨重彩的一年。这一年,《网络安全等级保护2.0制度》正式实施,等保迈入2.0时代;这一年,大型互联网专项安全演练行动举行,安全问题暴露无遗,安全从业者身价大涨;这一年,网络安全产业快速增长,网络安全的历史地位也逐渐向国家层面靠拢,政策和监管也愈发收紧;这一年,APP安全和个人隐私保护更加严格,尊重消费者隐私权益,确保消费者隐私安全,已经成为互联网企业的核心命题......

可以说,2019年是网络安全极其“火热”的一年,而这份火热,足以让我们在凌冽的深冬,依旧保持着火热的激情和希望。

2020年注定是网络安全不平凡的一年——机遇与挑战并存,更大的舞台在等着每一个安全从业者,不惧前路、逆流而上,2020让我们继续前进。

(注:文中表格详细信息请关注“网安视界”,回复“2019网安政策”下载文档)

更多精选内容

一图读懂|习近平在亚信第五次峰会上的重要讲话(划重点!)

2019 NSC 网络安全大会开幕,顶级专家齐聚共探行业发展
奥斯卡网络安全奖!看看都有哪些神级操作?

人民日报:加紧备战 美国欲将全球拖入网络战争

委内瑞拉遭遇“至暗时刻”!全球网络风暴终有一战?

网络安全人才缺口或达150万,企业如何填补人才空缺?

俄罗斯将脱离全球互联网,下一步中国将何去何从?



                               
原文地址:http://mp.weixin.qq.com/s?src=11&timestamp=1581606586&ver=2156&signature=e1HYavY-5JMY4kP-I2iY4Fuq0rNUSsS9YLIf*gXl*N75UoYbp9nV7yymIX8EcTtvAmPCg5O7-1AsC7LtI2rJbh9mMLp2pR2steuNHHVdDiJ4Mr4s3EdYXKtY24FAhMp*&new=1

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|三艾云

GMT+8, 2020-2-23 22:10 , Processed in 0.083963 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表