栏目简介

伴随数字化和网络安全深入发展，网络安全市场的政策性特征日渐显著，合规需求已与攻防需求一道，成为引领网络安全产业发展的两大核心驱动力。

本栏目基于团队在网络安全政策法规方面的日常跟踪，筛选国内外近期热点政策法规文件，并重点结合网络安全产业发展，对其内容和影响等进行分析。本期选取并分析2023年3月国内发布的热点政策法规。

欢迎共同研讨和批评指正。

本期目录

  +

+

国内篇

1.中国证券监督管理委员会发布《证券期货业网络和信息安全管理办法》

【内容概述】2023年3月3日，中国证券监督管理委员会发布了《证券期货业网络和信息安全管理办法》（以下简称《办法》），并于2023年5月1日起正式实施。《办法》旨在进一步落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规要求，保障证券期货业网络和信息安全。

《办法》共8章75条，对证券期货业网络和信息安全体系建设提出了5方面要求。一是建立网络和信息安全管理机制，主要包括：明确机构管理机制、建立机构网络和信息安全管理和监管制度、完善网络和信息安全防护体系等；二是强化投资者个人信息保护，主要包括：建立健全个人信息保护管理机制、完善个人信息处理流程、明确安全防护的技术要求等；三是加强网络和信息安全应急处置，主要包括：建立风险监测预警体制、完善应急处理机制、规范网络安全事件报告和调查制度等；四是落实关键信息基础设施安全保护，主要包括：确保资金投入、完善组织保障、分类和分级保护关键信息基础设施等；五是平衡网络和信息安全促进与发展，主要包括：加强网络和信息安全监管专业支撑、强化行业人才队伍建设、鼓励网络和信息安全技术的创新应用等。

原文链接：

be7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4K6M7X3y4Q4x3X3g2Y4L8%4k6Q4x3X3g2U0L8W2)9J5c8X3y4K6M7X3y4Q4x3V1k6U0x3e0l9H3x3o6t1^5i4K6u0r3j5K6M7J5x3o6t1%4x3U0W2Q4x3V1k6U0L8$3&6@1k6h3&6@1i4K6u0W2M7$3S2@1L8h3H3`.

【导读分析】证券期货业的行业性质决定了其发展与网络、数据密不可分，其面临的网络安全挑战也更加突出和复杂。2012年以来，证监会相继发布了《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》等规范性文件，推进行业网络和信息安全治理体系建设。以此为基础，2022年4月，证监会又发布了《证券期货业网络安全管理办法（征求意见稿）》（以下简称《征求意见稿》），面向社会公开征求意见。

相比《征求意见稿》，《办法》主要有3方面重要变化。一是拓展规范对象范围，规范对象由原来的“网络安全”调整为“网络和信息全”；二是突出个人信息保护，将原来的“数据安全统筹管理”一章整体变更为“投资者个人信息保护”，相关内容也更加聚焦于核心机构和经营机构的个人信息保护义务；三是进一步明确细化相关规定，如细化了对于人员职责、运行标准、管理制度等方面的要求，增加了新业务模式安全的规定等等。

《办法》的发布，或将带来网络安全产业发展的新契机。一是在证券期货行业网络和信息安全方面，《办法》明确了监测预警、入侵检测和防御、态势感知等方面的建设需求，有助于促进网络安全咨询和评估、网络安全运维、网络安全事件响应等业务的发展。二是在证券期货行业个人信息保护方面，《办法》重点强调了个人信息保护相关的加密、脱敏、备份和恢复、审计监督等保护措施，无疑将带动与个人信息保护强相关的数据信息处理技术研发、数据信息审计溯源等业务发展。三是在关键信息基础设施安全保护方面，《办法》将《关键信息基础设施安全保护条例》的相关要求在证券期货行业落地，并具体化为关键信息基础设施分类分级保护、关键信息基础设施产品风险监测和评估检测、关键信息基础设施应急保障等，也有助于促进关键信息基础设施网络安全相关产品、方案和服务的发展。四是在行业网络安全基础方面，《办法》所明确的人才培育、资金投入、技术支持等保障举措，对于进一步优化网络安全人才实训、推进行业网络安全产业生态构建等，也会有较直接的促进。

2.工业和信息化部等四部门联合印发《关于开展网络安全服务认证工作的实施意见》

【内容概述】2023年3月28日，国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部以及公安部四部门发布《关于开展网络安全服务认证工作的实施意见》（以下简称《实施意见》）。《实施意见》旨在推进网络安全服务认证体系建设，提升网络安全服务机构能力水平和服务质量。

《实施意见》主要包括以下5个方面内容。第一，确立网络安全服务认证原则，即“统一管理、共同实施、统一标准、规范有序”；第二，制定网络安全服务认证目录，包括检测评估、安全运维、安全咨询和等级保护测评等服务类别；第三，完善网络安全服务认证工作组织架构，包括组建网络安全服务认证技术委员会、设立从事网络安全服务认证活动的认证机构等；第四，明确网络安全服务认证机构工作要求，主要包括：一是建立可追溯工作机制；二是公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态；三是按照有关要求依法开展网络安全服务工作，确保持续符合认证要求等；第五，明确监管部门职责，主要包括：一是市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理，依法查处认证违法行为；二是网信部门、工业和信息化部门、公安部门负责推动认证结果采信应用，加强网络安全服务监督管理，促进网络安全服务产业发展。

原文链接：

2c7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9$3#2D9i4K6u0W2M7$3q4E0M7W2)9J5k6h3N6G2N6W2)9J5k6h3y4F1i4K6u0r3L8Y4y4B7k6#2)9J5c8Y4u0*7K9X3N6K6i4K6u0r3x3U0l9J5x3K6l9K6i4K6u0r3N6o6t1H3x3U0x3H3x3K6t1^5i4K6g2X3x3K6f1@1x3U0p5K6i4K6u0W2K9s2c8E0L8l9`.`.

【导读分析】本次发布的《实施意见》，相较2022年7月发布的《关于开展网络安全服务认证工作的实施意见（征求意见稿）》，主要有4方面修改：一是突出监管目标，进一步强调了“促进网络安全服务产业健康有序发展”的目标和原则；二是健全监管机制，将工业和信息化部纳入监管体系；三是细化监管职责，增加网信部门、工业和信息化部门、公安部门“依法查处有关违法行为”的权力；四是明确监管要求，强化网络安全服务机构的主体责任，要求其“确保持续符合认证要求”。

此次《实施意见》进一步推动网络安全服务认证工作的体系化、规范化和有序化发展，对完善我国网络安全认证体系具有现实意义。一是立足解决当网络安全服务机构面临的重复认证等问题，推动网络安全服务认证的一体化发展；二是推进完善、优化网络安全服务认证体系，明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排；三是实现政策间的衔接，例如《实施意见》将等级保护测评纳入认证目录，与此前发布的《检验机构能力认可准则在网络安全等级测评领域的应用说明》等制度设计保持一致。

对于网络安全厂商而言，“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别？现有的网络安全服务认证资质在申请流程等方面是否有变化？都与业务开展密切相关。因此：一方面，可加强对后续政策和相关机构跟进，密切关注服务认证要求的动态变化；另一方面，开展服务资质梳理工作，并基于这些梳理和思考，争取将实际问题和诉求反映到即将出台的认证目录、认证规则等规范文件中。

附录：2023年3月国内重要政策一览表