伴随着互联网的发展，网络安全立法经历了从无到有、从少到多、由点到面、由面到体的发展过程，目前我国已基本形成以宪法为根本，以法律、行政法规、部门规章和地方性法规、地方政府规章为依托，以网络安全标准为指南的网络安全保障体系，为国家网络安全建设提供了坚实的制度保障。小编为大家整理了2023年第一季度国内网络安全相关重要法律、政策文件和标准，供大家参考。

2023 Q1 政策盘点

1. 2023年1月6日，中国证券业协会向券商下发《证券公司网络和信息安全三年提升计划（2023-2025）》（征求意见稿）

《提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题，从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。其中，在科技投入机制方面，鼓励有条件的公司2023-2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%，其中网络和信息安全投入不低于信息科技投入的7%。

2. 2023年1月13日，工信部、网信办、发改委、公安部等十六部门联合发布《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》（工信部联网安〔2022〕182号）

《意见》聚焦数据安全保护及相关数据资源开发利用需求：一是提出促进数据安全产业发展的总体要求，并按2025年、2035年两个阶段提出产业发展目标，其中，到2025年，数据安全产业规模超过1500亿元，年复合增长率超过30%；到2035年，数据安全产业进入繁荣成熟期。二是明确促进数据安全产业发展的七项重点任务。三是提出加强组织协调、加大政策支撑和优化产业发展环境三方面保障措施。

3. 2023年2月1日，国家邮政局召开局长办公会，审议并原则通过《寄递服务用户个人信息安全管理规定（送审稿）》

《规定》指出邮政管理部门要落实好监管责任，督促寄递企业加强网络安全、数据安全和个人信息保护工作，并针对寄递企业不同工作流程分别提出了相应的用户个人信息保护要求，强化了个人信息安全实时监测能力，严密防范和遏制重大安全风险、事件发生。

4. 2023年2月24日，国家网信办发布《个人信息出境标准合同办法》（国家互联网信息办公室令 第13号）

《办法》明确通过订立标准合同的方式开展个人信息出境活动，应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。

5. 2023年2月27日，中共中央、国务院发布《数字中国建设整体布局规划》

《规划》指出要强化数字中国关键能力。一是构筑自立自强的数字技术创新体系；二是筑牢可信可控的数字安全屏障，主要提到切实维护网络安全，完善网络安全法律法规和政策体系，增强数据安全保障能力，建立数据分类分级保护基础制度，健全网络数据监测预警和应急处置工作体系。

6. 2023年3月3日，中国证监会发布《证券期货业网络和信息安全管理办法》（证监会令【第218号】）

《办法》全面覆盖了包括证券期货业关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体，以安全保障为基本原则，从网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等方面提出要求。

7. 2023年3月16日，国务院新闻办公室发布《新时代的中国网络法治建设》白皮书

《白皮书》全面介绍了中国网络法治建设情况，分享了中国网络法治建设的经验做法，其中在网络安全方面提到，网络安全是国家安全的新课题和新内容，是关乎全局的重大问题，中国通过制定国家安全法、网络安全法、数据安全法等法律，系统构建了网络安全法律制度，并开展了一系列网络安全执法工作，体系化构建起网络时代的安全环境。

8. 2023年3月28日，市场监管总局、中央网信办、工信部、公安部发布《关于开展网络安全服务认证工作的实施意见》（国市监认证规〔2023〕3号）

《意见》旨在推进网络安全服务认证体系建设，提升网络安全服务机构能力水平和服务质量。其中，明确提出现阶段网络安全服务认证目录包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。

2023 Q1 标准盘点

1. 2023年2月7日，行业标准JR/T 0276—2023《证券期货业信息系统渗透测试指南》发布

本标准提供了在证券期货业信息系统建设过程中开展渗透测试的整体流程，同时提供了在渗透测试策划、渗透测试设计、渗透测试执行、渗透测试总结、渗透测试风险管理等环节如何保障测试质量、控制安全风险的操作指南。

2. 2023年3月1日，国家职业标准2-02-38-12《数据安全工程技术人员国家职业标准》和2-02-38-13《密码工程技术人员国家职业标准》发布

两项标准按照《国家职业标准编制技术规程 (专业技术类)》 有关要求，分别对数据安全工程从业者、密码工程技术从业人员的专业活动内容进行规范细致描述, 明确了各等级专业技术人员的工作领域、工作内容以及知识水平、专业能力和实践要求。

3. 2023年3月17日，国家标准GB/T 15843.3-2023《信息技术 安全技术 实体鉴别 第3部分：采用数字签名技术的机制》发布

本标准规定了采用基于非对称技术的数字签名的实体鉴别机制，主要给出了两类机制，第一类共五种机制不引入在线可信第三方，第二类共五种机制引入在线可信第三方。在这两类机制中，分别各有两种机制实现单向鉴别，各有三种机制实现双向鉴别。

4. 2023年3月17日，国家标准GB/T 17902.1-2023《信息技术 安全技术 带附录的数字签名 第1部分：概述》发布

本标准规范了一系列的任意消息长度的带附录的数字签名机制，包含了一系列带附录的数字签名的基本原则与要求，同时也包括了该系列标准的所有部分都用到的定义与符号。

5. 2023年3月17日，国家标准GB/T 20274.1-2023《信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型》发布

本标准给出了信息系统安全保障模型，建立了信息系统安全保障建设和评估的框架，并建立了信息系统安全技术保障、管理保障和工程保障建设，以及给出了评估要求和内容。

6. 2023年3月17日，国家标准GB/T 21053-2023《信息安全技术 公钥基础设施 PKI系统安全技术要求》、GB/T 20154-2023《信息安全技术 公钥基础设施 PKI系统安全测评方法》发布

两项标准互为配套，《技术要求》规定了五个等级的PKI系统的技术要求，每个等级的技术要求包括：物理安全、角色与责任、访问控制、密钥管理、轮廓管理、证书管理、配置管理、分发与操作等。而《测评方法》则规定了不同等级PKI系统所需要满足的评估内容。

7. 2023年3月17日，国家标准GB/T 32922-2023《信息安全技术 IPSec VPN安全接入基本要求与实施指南》发布

本标准明确了采用IPSec VPN技术实现安全接入的场景，提出了IPSec VPN安全接入应用过程中有关网关、客户端以及安全管理等方面的要求，同时给出了IPSec VPN安全接入的实施过程指导。

8. 2023年3月17日，国家标准GB/T 33134-2023《信息安全技术 公共域名服务系统安全要求》发布

本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求，适用于顶级域名服务系统，其他各级域名服务系统、递归域名服务系统的开发和管理，也适用于开展公共域名服务系统的单位使用。

9. 2023年3月17日，国家标准GB/T 42446-2023《信息安全技术 网络安全从业人员能力基本要求》发布

本标准确立了网络安全从业人员分类，规定了各类从业人员具备的知识和技能要求，适用于党政机关、网络运营者、网络安全教育和科研机构等各类组织对网络安全从业人员的使用、培养、评价、管理等。

10. 2023年3月17日，国家标准GB/T 42447-2023《信息安全技术 电信领域数据安全指南》发布

本标准提出了电信领域大数据分类分级方法，基于电信领域大数据生存周期安全和通用安全从管理和技术两方面给出了防护指南，并针对平台与组件安全给出了实现指南。

11. 2023年3月17日，国家标准GB/T 42453-2023《信息安全技术 网络安全态势感知通用技术要求》发布

本标准描述了进行网络安全态势感知能力建设的单位应考虑的技术方面的能力要求，可为政府部门、企事业单位等组织机构的网络安全态势感知能力建设提供参考，也适用于第三方机构对网络安全态势感知能力进行检测和评估。

12. 2023年3月17日，国家标准GB/T 42460-2023《信息安全技术 个人信息去标识化效果评估指南》发布

本标准提出了个人信息去标识化效果的分级评估方法，包括个人信息去标识化效果评估流程和评估实施，适用于个人信息去标识化活动，也适用于开展个人信息安全管理、监管和评估。

13. 2023年3月17日，国家标准GB/T 42461-2023《信息安全技术 网络安全服务成本度量指南》发布

本标准确立了网络安全服务成本构成，提供了网络安全服务成本度量指南，标准中的网络安全服务成本不包含利润，适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动。

14. 2023年3月17日，国家标准GB/T 42456-2023《工业自动化和控制系统信息安全 IACS组件的安全技术要求》发布

本标准定义了用于工业自动化和控制系统（IACS）组件的信息安全技术要求，包括通用控制系统安全约束、标识和鉴别控制、使用控制、系统完整性、数据保密性、受限的数据流、对事件的及时响应、资源可用性、软件应用要求、嵌入式设备要求、主机设备要求、网络设备要求等内容。

15. 2023年3月17日，国家标准GB/T 42457-2023《工业自动化和控制系统信息安全 产品安全开发生命周期要求》发布

本标准定义了一个用于开发和维护安全产品的安全开发生命周期（SDL），包括信息安全管理、信息安全要求规范、安全设计、信息安全实施、信息安全验证和确认测试、管理与安全有关的问题、安全更新管理、信息安全导则等内容。

TOPSEC

以制度建设不断提高国家网络安全保障能力，太阳成集团tyc7111cc作为国内首家网络安全企业，定当不忘初心，坚守使命，坚定不移争做网络安全政策的践行者、网络安全标准的贡献者。未来，太阳成集团tyc7111cc将持续关注国家政策，积极参与标准研制，为网络安全产业发展和建设贡献力量。