随着数字时代的迅猛发展，网络安全成为国家治理体系和治理能力现代化的关键要素。进入7月，一系列重磅网络安全新规正式生效，标志着我国网络安全法治体系建设迈入新阶段，为数字经济发展注入强劲法治动力。

一、新规引领筑牢网络安全屏障

自2024年7月起，《网络平台道路货物运输服务规范JT T1488-2024》、《交通运输信息系统数据符合性测试JT T1489-2024》、《互联网政务应用安全管理规定》、《银行保险机构操作风险管理办法》、《公共场所人脸识别分级分类应用指南DB31 T1467-2024》以及《湖南省数字经济促进条例》等新规相继实施，覆盖了从交通物流、政务服务到金融监管、公共安全等多个重要领域，构建起全方位的网络安全防护网。

四部门印发《互联网政务应用安全管理规定》2024年7月1日起施行。

《规定》要求，建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，采取技术措施和其他必要措施，防范内容篡改、攻击致瘫、数据窃取等风险，保障互联网政务应用安全稳定运行和数据安全。规定要求，一个党政机关最多开设一个门户网站。互联网政务应用的名称优先使用实体机构名称、规范简称，使用其他名称的，原则上采取区域名加职责名的命名方式，并在显著位置标明实体机构名称。

国家金融监督管理总局修订发布《银行保险机构操作风险管理办法》2024年7月1日起施行。

《办法》明确董事会、监事(会)和高级管理层的责任，界定三道防线的具体范围和职责，压实分支机构和附属机构的操作风险管理责任。《办法》规定了内部控制、业务连续性管理、网络安全、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具。

《网络平台道路货物运输服务规范JT/T1488—2024》2024年7月1日起施行

标准规定了网络平台功能要求、信息核验登记、服务流程、安全生产、网络信息安全，以及服务评价指标，适用于网络平台道路货物运输(危险货物道路运输除外)经营服务。依托网络平台开展道路货物运输信息服务可参照执行。

《交通运输信息系统数据符合性测试JT/T1489—2024)》2024年7月1日起实施

标准规定了交通运输信息系统数据与标准的符合性测试的总体要求、测试方法与结果判定以及后续测试要求，适用于交通运输行业信息系统详细设计、数据库实现、验收等阶段的结构化数据与标准的符合性测试，以及测试工具的开发。

上海《公共场所人脸识别分级分类应用指南DB31/T1467-2024》2024年7月1日起施行

标准将人脸识别应用的常见公共场所按照应用场景和应用领域进行了划分，前者分为社会管理、行业应用、其他三类;后者则是在各应用场景下依照行业类别做进一步划分。按照风险要素的不同权重进行综合风险计算进行评分，将公共场所人脸识别风险从低到高分为ABCDE五级。

《湖南省数字经济促进条例》2024年7月1日起施行

《条例》共26条，涵盖数字基础设施建设、数据资源开发利用、数字技术和数字生态创新、数字产业化和产业数字化以及为数字经济提供支撑保障等内容。

二、我国网络安全合规建设迫在眉睫

1. 基础性法律凸显网络安全合规重要性

网络安全法律法规伴随着行业高速成长而不断完善和丰富。从2017年6月实施的《中华人民共和国网络安全法》，再到2019年12月实施的网络安全等级保护制度2.0标准（简称：等保2.0），以及2021年连续实施的《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》，以及《中华人民共和国个人信息保护法》等等，2022年《网络数据安全管理条例》也正式纳入立法过程。无论是政策法规、规章条例的数量之多，还是近期政策推出的频度之密，都凸显了网络安全合规的重要性和紧迫性。

2. 网络安全合规由国家立法向行业立法深入

随着《网络安全法》及相关条例的实施，行业立法在网络安全领域逐步深化，着重于合规管理。2022至2023年间，多个行业响应国家法规，制定具体管理办法：医疗卫生领域首推网络安全管理办法；能源领域发布电力行业网络安全等级保护办法，并强化关键信息基础设施监管；证券期货行业出台网络和信息安全管理办法，加强投资者数据保护及合规指导；交通运输部与国家铁路局亦分别制定了公路水路及铁路关键信息基础设施的安全保护管理办法，构建全面保护机制。

这些举措反映了高数据价值行业及公共服务领域对网络安全合规的重视，旨在通过前置保护与全程监管，确保数据安全与行业发展并进。电信、证券、能源、交通等行业因涉及大量敏感数据与公共服务，面临严峻安全挑战，需密切关注监管动态，不断完善内部网络安全合规体系，以应对不断演变的网络安全威胁。

三、网络安全合规面临诸多挑战

随着网络安全监管规定繁多且复杂，网络安全监管要求越来越多，越来越细，网络安全面临着诸多挑战。

1.网络安全监管合规要求多

《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、《网络安全责任制》、《关键信息基础设施保护条例》、《信息安全技术 信息系统安全等级保护基本要求》等法律、制度、条例要求不断完善。

2.合规验证工作存在重复性

网络安全不同法规、标准间可能存在交叉，导致合规评估与整改工作耗时耗力，效率亟待提升。为满足监管要求，开展了等级测评、密码应用安全评估、数据安全、风险评估、个人信息保护等工作，但其中近40%的工作都存在一定的重复，付出了大量重复工作和重复劳动，如重复编写文档、填写报告、测评等，浪费了时间、人力、资金成本。

3.难以实现一次性合规

由于法规更新频繁、技术发展迅速、业务需求变化等因素，信息系统难以实现一次性合规。没有形成动态管理的机制，没有随着信息系统、信息资产、外部环境等各类变化，动态调整相应的合规管理工作，缺乏对合规问题的持续监测与跟踪，不能满足长期符合不断演进的网络安全监管要求。

四、多规管理融合保障全面合规

面临诸多风险挑战，需在合规规划、合规实施、结果管理和合规跟踪等关键环节上，实施多合规融合管理策略，以实现全面、持续性的合规效果。

1.合规规划阶段多规管理

应充分调研并梳理适用的网络安全法规、标准与政策，明确合规目标与要求，形成统一的合规清单。并对合规管理进行整体规划，通过全面识别、梳理合规管理对象，分析合规管理对象的合规现状，形成全面合规管理规划，保障合规管理全覆盖、实现对管理对象的合规分类管理，减少后期合规管理的成本。

2.合规实施阶段多规管理

按照多合规要求融合整改（建设），确定各合规管理对象的合规要求，综合分析安全现状与合规要求之间的差距，从技术和管理两个维度进行融合整改（建设），实现“一次整改（建设），满足多规”，避免重复投入、保障各合规要求的有效融合，从而工作中心向合规管理聚焦。

3.结果管理阶段多规管理

对合规实施的结果进行有效管控，首先，开展等保、密评、关保、数据安全、个人信息保护“N合1”融合评估，验证多合规整改（建设）的有效性；其次，将评估结果上报监管部门；最后，对安全状态、不符合项进行分析并建档，为后续的合规管理持续改进提供支撑。

4.合规追踪阶段多规管理

持续跟踪合规状况并持续改进，主要进行合规状态管理（动态更新资产清单、对象合规控制清单）、安全状态监控（实时监测、周期测试）、管理记录维护、不符合项管理（不符合项动态处置）。通过建立法规监测与更新机制，及时跟进网络安全相关法律法规、标准与政策的变化，评估其对现有系统的影响，适时调整合规规划与实施策略。通过合规跟踪实现合规管理持续优化、改进，提升合规管理能力，确保信息系统始终保持合规状态。

随着7月以来的一系列网络安全新规的施行，中国网络安全法治建设正阔步向前。未来，我国将继续完善网络安全法律法规体系，加强跨部门、跨领域的协同合作，不断提升网络安全防护能力和水平。同时，鼓励企业和社会各界积极参与网络安全建设，共同营造安全、可信、有序的网络空间环境，为网络强国建设提供坚实保障，让数字红利惠及每一个社会成员。