在数字经济浪潮席卷全球的今天，中国作为世界第二大经济体，正以前所未有的速度推进国家数字经济建设。这一宏伟蓝图的背后，是一系列坚实法律框架的支撑，网络和数据安全立法实现由点到面、由面到体加速构建，目前已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的安全法规保障体系。

一、上半年网络和数据安全政策汇总合集

2024年，这一进程加速推进，上半年密集出台的一系列网络和数据安全法规政策，不仅细化了合规要求，更为安全技术与产业的发展指明方向，构筑起国家数字安全的坚固屏障，为网络强国战略注入强劲动力。本文梳理了我国2024年上半年发布的网络和数据安全领域国家法律法规、行业规章、技术标准等近百项文件，为行业同仁提供参考。

1.国家法律规章

《网络暴力信息治理规定》

【发布时间】2024/6/12

【发布单位】国家互联网信息办公室、公安部、文化和旅游部、国家广播电视总局

【概述要求】《规定》自2024年8月1日起施行，要求网络信息服务提供者应当履行网络信息内容管理主体责任，建立完善网络暴力信息治理机制，健全用户注册、账号管理、个人信息保护、信息发布审核、监测预警、识别处置等制度。违反本规定的，依照《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国治安管理处罚法》、《互联网信息服务管理办法》等法律、行政法规的规定予以处罚。

《信息化标准建设行动计划 (2024—2027年)》

【发布时间】2024/5/29

【发布单位】中央网信办、市场监管总局、工业和信息化部

【概述要求】《行动计划》要求，推进数据密码保护、数据分类分级、数据脱敏脱密、数据跨境传输等数据安全相关标准研制。推动数据要素流通标准研制。

《2024年数字乡村发展工作要点》

【发布时间】2024/5/15

【发布单位】中央网信办、农业农村部、国家发展改革委、工业和信息化部

【概述要求】《工作要点》指出，持续开展网络安全督查检查专项行动，加强涉农重点网站和业务信息系统防护能力建设。持续开展农民手机应用技能、网络安全进农村等培训活动，提升广大农民数字素养与技能。

《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》

【发布时间】2024/5/14

【发布单位】国家发展改革委、国家数据局、财政部、自然资源部

【概述要求】《意见》围绕总体要求、全领域推进城市数字化转型、全方位增强城市数字化转型支撑、全过程优化城市数字化转型生态以及保障措施等5个方面着力推进城市全域数字化转型。《意见》要求，加快推进城市数据安全体系建设，依法依规加强数据收集、存储、使用、加工、传输、提供、公开等全过程安全监管，落实数据分类分级保护制度，压实数据安全主体责任。加强个人隐私保护。推进建设有韧性的城市数据可信流通体系，健全数据要素流通领域数据安全实时监测预警、数据安全事件通报和应急处理机制。

《全国人大常委会2024年度工作要点》

【发布时间】2024/5/8

【发布单位】第十四届全国人民代表大会常务委员会第23次委员长会议

【概述要求】《工作要点》指出，完善国家安全法治体系。统筹高质量发展和高水平安全，制定突发事件应对管理法、危险化学品安全法，修改保守国家秘密法、国防教育法、网络安全法，为推进国家安全体系和能力现代化提供法律保障。

《国务院2024年度立法工作计划》

【发布时间】2024/5/6

【发布单位】国务院办公厅

【概述要求】《工作计划》围绕健全国家安全法治体系，2024年拟制定《网络数据安全管理条例》。此次列入国务院2024年度立法工作计划，预计条例发布在即。

《中华人民共和国保守国家秘密法》

【施行时间】2024/5/1

【发布单位】第十四届全国人民代表大会常务委员会第八次会议第二次修订

【概述要求】此次《保守国家秘密法》修订，加强与数据安全法的协同衔接，新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。《保守国家秘密法》第三十六条规定，开展涉及国家秘密的数据处理活动及其安全监管应当符合国家保密规定。国家保密行政管理部门和省、自治区、直辖市保密行政管理部门会同有关主管部门建立安全保密防控机制，采取安全保密防控措施，防范数据汇聚、关联引发的泄密风险。机关、单位应当对汇聚、关联后属于国家秘密事项的数据依法加强安全管理。

《数字经济2024年工作要点》

【发布时间】2024/4/29

【发布单位】国家发展改革委办公厅、国家数据局综合司

【概述要求】《工作要点》指出，全面筑牢数字安全屏障，增强网络安全防护能力，健全数据安全治理体系，切实有效防范各类风险。

《加快数字人才培育支撑数字经济发展行动方案（2024-2026年）》

【发布时间】2024/4/2

【发布单位】人力资源社会保障部、中共中央组织部、中央网信办、国家发展改革委、教育部、科技部、工业和信息化部、财政部、国家数据局

【概述要求】《行动方案》指出，在全国技能大赛专设智能制造、集成电路、人工智能、数据安全等数字职业竞赛项目，以赛促学、以赛促训，以赛选拔培养数字人才。支持各地根据行业发展需要增设人工智能、集成电路、大数据、工业互联网、数据安全等数字领域职称专业。

《促进和规范数据跨境流动规定》

【施行时间】2024/3/22

【发布单位】国家互联网信息办公室

【概述要求】《促进和规范数据跨境流动规定》经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过，自公布之日（2024年3月22日）起施行，旨在保障数据安全，保护个人信息权益，促进数据依法有序自由流动。《规定》主要内容包括明确重要数据出境安全评估申报标准，明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件，设立自由贸易试验区负面清单制度，调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件，延长数据出境安全评估结果有效期，增加数据处理者可以申请延长评估结果有效期的规定。

《数据出境安全评估申报指南（第二版）》

《个人信息出境标准合同备案指南（第二版）》

【发布时间】2024/3/22

【发布单位】国家互联网信息办公室

【概述要求】为指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，国家互联网信息办公室编制发布了《数据出境安全评估申报指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出说明，对数据处理者需要提交的相关材料进行优化简化。国家互联网信息办公室开通了“数据出境申报系统”，网址：https://sjcj.cac.gov.cn。数据处理者可以通过该系统申报数据出境安全评估、备案个人信息出境标准合同。

《中华人民共和国消费者权益保护法实施条例》

【发布时间】2024/3/15

【发布单位】国务院第26次常务会议

【概述要求】《消费者权益保护法实施条例》经2024年2月23日国务院第26次常务会议通过，自2024年7月1日起施行。《条例》规定，经营者应当依法保护消费者的个人信息。经营者处理包含消费者的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息等敏感个人信息的，应当符合有关法律、行政法规的规定。

《最高人民检察院工作报告》

【发布时间】2024/3/8

【发布单位】第十四届全国人民代表大会第二次会议

【概述要求】《报告》指出，针对互联网领域侵犯个人信息、虚假宣传、消费欺诈等乱象，办理公益诉讼6766件，督促落实监管责任和平台责任，用法治力量维护网络清朗。加强个人信息保护等民生领域司法保障。

《最高人民法院工作报告》

【发布时间】2024/3/8

【发布单位】第十四届全国人民代表大会第二次会议

【概述要求】《报告》指出，贯彻总体国家安全观，依法严惩危害国家安全、公共安全等犯罪，加强个人信息保护，完善数字权益保护规则。

《全国人民代表大会常务委员会工作报告》

【发布时间】2024/3/8

【发布单位】第十四届全国人民代表大会第二次会议

【概述要求】《报告》指出，完善国家安全立法。修订保守国家秘密法，健全保密管理制度和监管措施。将提供公民个人信息等行为纳入处罚范围。围绕推进国家安全体系和能力现代化，修改国防教育法、网络安全法。

《2024年政府工作报告》

【发布时间】2024/3/5

【发布单位】第十四届全国人民代表大会第二次会议

【概述要求】《报告》指出，推动解决数据跨境流动等问题。加强重点领域安全能力建设。提高网络、数据等安全保障能力。有效维护产业链供应链安全稳定，支撑国民经济循环畅通。

《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》

【发布时间】2024/2/28

【发布单位】国务院办公厅

【概述要求】《方案》指出，规范数据跨境安全管理，组织开展数据出境安全评估、规范个人信息出境标准合同备案等相关工作，促进外商投资企业研发、生产、销售等数据跨境安全有序流动。健全数据跨境流动规则。科学界定重要数据的范围。

《关于开展全国数据资源调查的通知》

【发布时间】2024/2/7

【发布单位】国家数据局综合司、中央网信办秘书局、工业和信息化部办公厅、公安部办公厅

【概述要求】《通知》要求，调研各单位数据资源生产存储、流通交易、开发利用、安全等情况，要求按照公安部的要求组织填报《数据安全情况调查表》，旨在贯彻落实《数字中国建设整体布局规划》工作部署，摸清数据资源底数，加快数据资源开发利用，更好发挥数据要素价值。

《关于推动未来产业创新发展的实施意见》

【发布时间】2024/1/18

【发布单位】工业和信息化部、教育部、科学技术部、交通运输部、文化和旅游部、国务院国有资产监管理委员会、中国科学院

【概述要求】《意见》指出，强化安全治理。引导企业建立数据管理、产品开发等自律机制，完善安全监测、预警分析和应急处置手段，防范前沿技术应用风险。

《“数据要素×”三年行动计划（2024—2026年）》

【发布时间】2024/1/5

【发布单位】国家数据局、中央网信办、科技部、工业和信息化部、交通运输部、农业农村部、商务部、文化和旅游部、国家卫生健康委、应急管理部、中国人民银行、金融监管总局、国家医保局、中国科学院、中国气象局、国家文物局、国家中医药局

【概述要求】《行动计划》指出，加强数据安全保障。落实数据安全法规制度，完善数据分类分级保护制度，落实网络安全等级保护、关键信息基础设施安全保护等制度，加强个人信息保护，提升数据安全保障水平。丰富数据安全产品，发展面向重点行业、重点领域的精细化、专业型数据安全产品，开发适合中小企业的解决方案和工具包，支持发展定制化、轻便化的个人数据安全防护产品。培育数据安全服务，鼓励数据安全企业开展基于云端的安全服务，有效提升数据安全水平。

2.重点行业

政务

《互联网政务应用安全管理规定》

7月1日，由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合制定的《互联网政务应用安全管理规定》正式施行。《管理规定》从等级保护、安全评估、访问控制、日志备份、数据保护、数据公开、容灾备份等维度进行了重点要求，比如，机关事业单位需要对其互联网政务应用中的重要数据和信息系统进行容灾备份等要求。

《个人求助网络服务平台管理办法（征求意见稿）》

6月19日，民政部发布《个人求助网络服务平台管理办法（征求意见稿）》，《管理办法》强调个人求助网络服务平台应当满足网络安全保护等级不低于三级，并取得公安机关出具的信息系统安全管理保护备案证明。个人求助网络服务平台应当查验求助信息的真实性，加强个人信息保护，规范个人信息处理。

教育

《国家智慧教育平台数字教育资源入库出库管理规范》

6月16日，教育部办公厅印发《国家智慧教育平台数字教育资源入库出库管理规范》。《规范》提出平台服务提供单位应当遵守相关法律法规和国家标准规范，采取技术措施和其他必要措施，保障平台和资源安全，依法留存网络日志。

医疗

《关于进一步推进医师电子化信息管理工作的通知》

3月19日，国家卫生健康委、国家中医药局、国家疾控局联合发布《关于进一步推进医师电子化信息管理工作的通知》。《通知》提出各地要落实数据安全管理责任制，加强数据安全监测和预警，定期开展安全性评测和风险评估，做好数据容灾备份，确保电子化注册系统数据信息安全。

金融

《会计师事务所数据安全管理暂行办法》

5月10日，财政部、国家网信办印发《会计师事务所数据安全管理暂行办法》。《暂行办法》要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准，确定核心数据、重要数据和一般数据，并对核心数据和重要数据的存储、相关日志、传输等作出明确要求。

《关于促进企业集团财务公司规范监控发展提升监管质效的指导意见》

4月29日，国家金融监督管理总局印发《关于促进企业集团财务公司规范监控发展提升监管质效的指导意见》。《办法》主要特点：落实数据安全责任制、明确数据安全归口管理部门、将数据安全风险纳入全面风险管理体系、强化数据安全评估、建立数据安全保护基线。

《反保险欺诈工作办法（征求意见稿）》

4月11日，国家金融监督管理总局发布《反保险欺诈工作办法（征求意见稿）》。《办法》要求保险机构和行业组织应按照职责分工统筹网络安全、数据安全与创新发展，依法履行安全保护义务，完善管理制度，加强网络安全和数据安全防护，保障必要的人员和资源投入，采取网络安全、数据安全管理和技术措施，确保反欺诈信息系统安全可控运行。

《银行保险机构数据安全管理办法（征求意见稿）》公开征求意见

3月22日，国家金融监督管理总局发布《银行保险机构数据安全管理办法（征求意见稿）》。《办法》要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

《证券期货业网络和信息安全管理办法》

3月3日，证监会发布《证券期货业网络和信息安全管理办法》，并要求，采取更为严格的管理措施来保障网络安全，包括相应信息系统和相关基础设施的要求，重要信息系统定期压力测试，重要信息系统上线、运行、变更、下线要求、数据备份与灾难备份等。

《关于加强数据资产管理的指导意见》

1月4日，财政部制定印发了《关于加强数据资产管理的指导意见》。在数据安全方面，《意见》要求数据资产各权利主体建立健全全流程数据安全管理机制，提升安全保护能力。数据资产各权利主体均应落实数据资产安全管理责任，按照分类分级原则，在网络安全等级保护制度的基础上，落实数据安全保护制度，把安全贯彻数据资产开发、流通、使用全过程，提升数据资产安全保障能力。数据资产各权利主体应分类分级建立数据资产预警、应急和处置机制，深度分析相关领域数据资产风险环节，梳理典型应用场景，对数据资产泄露、损毁、丢失、篡改等进行与类别级别相适的预警和应急管理，制定应急处置预案。

交通

《民航数据管理办法》《民航数据共享管理办法》征求意见

6月4日，民航局发展计划司印发《民航数据管理办法》《民航数据共享管理办法》征求意见。《办法》提出民航数据处理主体应当对数据处理活动负安全主体责任，应建立覆盖数据采集传输、存储、使用、共享以及销毁等数据全生命周期的安全保护机制。鼓励通过加密、脱敏、隐私计算、湖源认证等技术手段加强数据安全保护。

《公路工程施工安全监测与预警系统技术要求（征求意见稿）》

5月27日，由交通运输部科学研究院主编的《公路工程施工安全监测与预警系统技术要求》已形成征求意见稿。《意见稿》明确要求数据传输系统中应设计数据备份机制，以保证在传输线路故障时数据的完整性和可靠性，宜设置双卡槽的数据存储介质以满足连续观测需要，其容量应根据系统每天接收的数据量选取。系统应具备数据备份、故障恢复等能力，宜考虑数据的容灾备份。

《网络平台道路货物运输服务规范》

5月15日，交通运输部发布《网络平台道路货物运输服务规范》等行业标准，《规范》明确要求网络平台应具备GB/T 22239-2019规定的三级及以上信息系统安全等级保护能力。

《关于支持引导公路水路交通基础设施数字化转型升级的通知》

5月1日，财政部、交通运输部联合印发了《关于支持引导公路水路交通基础设施数字化转型升级的通知》并要求，推动基础设施安全增效。围绕行业管理提升，对通道基础设施安全监测、运行管控和应急指挥调度体系进行数字化改造，加快应用新一代信息采集、智慧分析与处理系统等，推进实施数字化管养系统、运行监测预警平台、数字治超及大件运输全链条监管系统、应急指挥调度系统等建设，推动开展业务流程和运行机制优化重构，有效提高安全风险识别预警、快速响应和联动处置能力，持续提升公共服务和行业治理水平。

《铁路技术管理规则（征求意见稿）》

4月28日，国家铁路局发布《铁路技术管理规则（征求意见稿）》。《规则》提出：铁路运输企业应当建立网络安全保障体系，实行网络安全等级保护制度，加强铁路关键信息基础设施安全防护，建立数据分类分级保护机制，维护铁路数据及个人信息安全；铁路运输企业应当建立数据管理制度，保证铁路信息系统数据在采集、传输、存储、处理、交换、销毁过程中的安全、真实、准确、完整、有效，满足安全追溯、查阅分析需要。《新一代地理信息公共服务平台（天地图）建设总体实施方案》3月11日，自然资源部办公厅印发《新一代地理信息公共服务平台（天地图）建设总体实施方案》。《方案》提出要建设高水准网络信息安全体系，设计新平台安全总体技术架构、完善新平台网络安全防护措施、强化地理信息数据安全。

《铁路关键信息基础设施安全保护管理办法》

1月3日，交通运输部公布《铁路关键信息基础设施安全保护管理办法》（交通运输部令2023年第20号）。办法强化铁路关键信息基础设施的监督管理和保障。国家铁路局应组织建立铁路关键信息基础设施网络安全监测预警制度；建立健全铁路关键信息基础设施网络安全事件应急预案体系，定期组织应急演练；定期组织开展铁路关键信息基础设施网络安全检查检测等内容。

工业制造

《工业互联网专项工作组2024年工作计划》

6月5日，工业和信息化部印发《工业互联网专项工作组2024年工作计划》。《工作计划》从加强工业互联网安全管理、持续提升工业互联网安全风险防范水平、推进工业互联网安全人才培养、完善数据安全管理体系四个方面进行了系统性的规划，这些举措共同构成了工业互联网安全保障机制全面推进的蓝图。

《工业和信息化领域数据安全风险评估实施细则（试行）》的通知

5月26日，工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则（试行）》并明确提出，重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

《工业领域数据安全能力提升实施方案（2024—2026年）》

2月23日，工业和信息化部印发《工业领域数据安全能力提升实施方案（2024—2026年）》。《实施方案》重点明确了提升工业企业数据保护能力的四项关键举措，分别是增强数据安全意识、开展重要数据保护、强化重点企业数据安全管理、深化重点场景数据安全保护，旨在加速提升工业领域数据安全保护能力，夯实新型工业化发展的安全基石。

《工业控制系统网络安全防护指南》

1月30日，工业和信息化部印发《工业控制系统网络安全防护指南》。指南要求定期梳理工业控制系统运行产生的数据，结合业务实际，开展数据分类分级，识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节，使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

能源

《电力网络安全事件应急预案》

6月7日，国家能源局发布《电力网络安全事件应急预案》。《应急预案》从职责分工、监测预警、应急响应、后期处置、预防工作等方面明确了电力网络安全事件应对工作机制，要求各电力企业加强电力网络安全事件的日常管理，包括网络安全检查、隐患排查、风险评估和容灾备份等预防措施，以减少和避免事件的发生。

《关于建立碳足迹管理体系的实施方案》

6月4日，生态环境部等15部门联合印发《关于建立碳足迹管理体系的实施方案》，《方案》提出加强产品碳足迹数据安全和知识产权保护。落实数据安全法规制度，强化产品碳足迹数据流通监管，保障数据交换环境安全可靠，鼓励数字技术企业开展基于云端的安全服务，提升数据安全水平。

《电力市场运行基本规则》

5月14日，国家发改委发布《电力市场运行基本规则》。规则自2024年7月1日起施行。《规则》要求确保电力市场运营机构负责管理和维护电力市场技术支持系统，保障电力市场运营所需的交易安全、数据安全和网络安全。

《自然资源领域数据安全管理办法》

3月28日，自然资源部印发《自然资源领域数据安全管理办法》。《办法》提出从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面，加强数据存储安全管控，保障存储数据的完整性、保密性、真实性和可用性。存储重要数据的，要落实第三级及以上网络安全等级保护要求。存储核心数据的，要落实关键信息基础设施安全保护要求或第四级网络安全等级保护要求。

《配电网安全风险管控重点行动工作方案》

3月21日，国家能源局发布《配电网安全风险管控重点行动工作方案》，决定开展配电网安全风险管控重点行动，行动选择吉林、江苏、江西、山东、广西、陕西6个省份，重点聚焦配电网网架结构、新型并网主体接入、设备设施安全管理、运行维护、转型升级过程中的网络安全、应急处置等方面开展分析。《自然资源数字化治理能力提升总体方案》2月5日，自然资源部印发《自然资源数字化治理能力提升总体方案》。《方案》要求统筹信息化高质量发展与安全。包括增强网络安全保障能力，强化数据安全保护能力，健全密码应用保障体系、加强新技术新业态安全保护（云安全、算法安全、模型安全等）。

文旅

《智慧旅游创新发展行动计划》

5月13日，文化和旅游部办公厅、中央网信办秘书局、国家发展改革委办公厅、工业和信息化部办公厅、国家数据局综合司发布关于印发《智慧旅游创新发展行动计划》的通知。《通知》要求做好数据安全工作。贯彻落实国家网络安全等级保护制度，加强旅游数据分级分类管理，强化旅游数据收集、传输、存储、共享、使用、销毁等全生命周期安全管控，防止数据丢失、毁损、泄露和篡改。定期开展安全风险和隐患排查，增强数据安全应急处置能力。

3.安全技术标准

《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》

【标准号】GB/T 31497-2024

【实施日期】2024/10/1

【标准简介】本文件规定了：a )信息安全绩效的监视和测量；b ) ISMS (包括其过程和控制)有效性的监视和测量；c )监视和测量结果的分析和评价。本文件适用于各种类型和规模的组织。

《公共安全视频监控联网信息安全测试规范》

【标准号】GB/T 43026-2023

【实施日期】2024/10/1

【标准简介】本文件规定了公共安全视频监控联网信息安全的测试对象、测试类型及测试工具、测试环境要求，描述了功能及性能测试方法。本文件适用于公共安全视频图像信息联网共享应用中的平台、设备符合GB 35114-2017要求的功能和性能测试、工程检验及相关质量评价。

《信息安全技术 通用密码服务接口规范》

【标准号】GB/T 43578-2023

【实施日期】2024/7/1

【标准简介】本文件规定了通用密码服务接口的数据结构、接口描述、函数定义要求，描述了相应验证方法。本文件适用于公开密钥应用技术体系下密码应用服务的开发，密码应用支撑平台的研制及检测，密码设备的应用系统的开发。

《信息安全技术 电子发现 第1部分：概述和概念》

【标准号】GB/T 43577.1-2023

【实施日期】2024/7/1

【标准简介】电子发现是指由参与调查、诉讼或类似程序的一方或多方发现相关电子留存信息(ESI)或数据的过程。本文件概述了电子发现，定义了相关术语，描述了相关概念，包括但不限于ESI的识别、保全、收集、处理、评审、分析和产出。本文件还确认了其他相关标准(如ISO/IEC27037)及其与电子发现活动的关系和相互作用。本文件适用于参与部分或全部电子发现活动的非技术人员和技术人员。

《信息安全技术 射频识别（RFID）系统安全技术规范》

【标准号】GB/T 35290-2023

【实施日期】2024/7/1

【标准简介】本文件规定了射频识别(RFID)系统安全技术要求，包括电子标签、阅读器/读写器、空中接口通信链路、网络传输通信链路管理单元等的安全要求，给出了测试条件和测试评价方法。本文件适用于射频识别(RFID)系统的安全功能设计、开发、使用、测试和评估。

《信息安全技术 网络安全信息报送指南》

【标准号】GB/T 43557-2023

【实施日期】2024/7/1

【标准简介】本文件给出了网络安全信息报送的信息类型和要素，以及网络安全信息报送活动的要素和关系、基本流程、报送方式等。本文件适用于各类组织间的网络安全信息报送活动。

《信息安全技术 信息安全管理体系 概述和词汇》

【标准号】GB/T 29246-2023

【实施日期】2024/7/1

【标准简介】本文件给出了信息安全管理体系(ISMS)概述，界定了ISMS标准族中常用的术语和定义。本文件适用于所有类型和规模的组织(例如，商业企业、政府机构、非营利组织)。

《移动智能终端应用软件个人信息安全评价规范》

【标准号】RB/T 182-2023

【实施日期】2024/7/1

【标准简介】本文件不仅可为检测机构和认证机构对App个人信息安全的检测、评估和认证工作提供合理依据，以满足推进移动智能终端应用软件个人信息安全认证业务的发展需要，同时可为App开发运营机构对产品的设计、实现与管理提供指导，以提升App个人信息保护和企业数据安全管理水平具有重要的意义。

《物联网信息安全管理系统接口规范》

【标准号】YD/T 4685-2024

【实施日期】2024/7/1

【标准简介】本文件规定了物联网平台企业、基础电信企业建设的物联网信息安全管理系统（以下简称企业侧系统）与行业主管部门建设的物联网信息安全监管系统（以下简称物联网信安监管系统）间接口的功能要求、数据通信要求及数据交换格式等。本文件适用于物联网信息安全管理系统与物联网信息安全监管系统间接口的规划、设计和实施。

《物联网信息安全管理系统技术要求》

【标准号】YD/T 4684-2024

【实施日期】2024/7/1

【标准简介】本文件规定了物联网信息安全管理系统的系统架构、系统功能要求、性能要求、系统接口要求及管理要求。本文件适用于物联网平台运营者对物联网信息安全管理系统的规划、设计和实施。

《云服务客户信息安全管理指南》

【标准号】YD/T 4683-2024

【实施日期】2024/7/1

【标准简介】本文件提出了云服务客户在公有云服务生命周期各阶段的信息安全管理和防护要求。本文件适用于指导云服务客户安全用云，以及基于其自身的安全管理措施，构建和完善云上系统的信息安全管理机制。

《信息安全技术 网络安全应急能力评估准则》

【标准号】GB/T 43269-2023

【实施日期】2024/6/1

【标准简介】本文件规定了网络安全应急能力要求，给出了相应评估流程。本文件适用于各类组织进行网络安全应急能力建设与评估。

《信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求》

【标准号】GB/T 43435-2023

【实施日期】2024/6/1

【标准简介】本文件规定了移动互联网应用程序(App)软件开发工具包(SDK)设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求。本文件适用于SDK开发、运营,并供SDK安全检测和评估参考使用。

《信息安全技术 移动智能终端预置应用软件基本安全要求》

【标准号】GB/T 43445-2023

【实施日期】2024/6/1

【标准简介】本文件规定了移动智能终端预置应用软件的基本安全要求。本文件适用于移动智能终端的设计、开发、生产和测试，也适用于主管监管部门、第三方评估机构对移动智能终端进行监督、管理和评估。

《SM2密码算法使用规范》

【标准号】GM/T 0009-2023

【实施日期】2024/6/1

【标准简介】本文件定义了SM2密码算法的使用方法，也定义了相关的数据格式。本文件适用于SM2密码算法的使用，也适用于支持SM2密码算法的设备和系统的研发和检测。

《数字证书认证系统密码协议规范》

【标准号】GM/T 0014-2023

【实施日期】2024/6/1

【标准简介】本标准适用于电子政务/电子商务基于密码技术的数字证书认证系统的设计、建设、检测、运营及管理，规范数字证书认证系统中密码协议的标准化应用，推动数字证书认证系统密码协议的互连互通和相互认证。对于组织或机构内部使用的数字证书认证系统密码协议的建设、运营及管理，可参考使用。同时本标准还可为安全产品生产商提供产品和技术的准确定位和标准化的参考，提高安全产品的可信性和互操作性。

《数字证书格式》

【标准号】GM/T 0015-2023

【实施日期】2024/6/1

【标准简介】本文件规定了数字证书和证书撤销列表的基本结构，描述了数字证书和证书撤销列表中的各数据项内容。本文件适用于数字证书认证系统的研发、数字证书认证机构的运营以及基于数字证书的安全应用。

《动态口令密码应用技术规范》

【标准号】GM/T 0021-2023

【实施日期】2024/6/1

【标准简介】本标准规定了动态口令系统、动态口令生成方式、动态令牌特性、认证系统、密钥管理系统等的相关内容。本标准适用于动态口令相关产品的研制、生产，也可用于指导相关产品的检测。

《基于SM2 算法的无证书及隐式证书公钥机制》

【标准号】GM/T 0130-2023

【实施日期】2024/6/1

【标准简介】本标准规范了基于SM2 算法的无证书及隐式证书公钥机制，包括密钥生成机制、签名机制和加密机制等。

《第三方电子合同服务平台信息安全技术要求》

【标准号】GB/T 42971-2023

【实施日期】2024/4/1

【标准简介】本文件规定了第三方电子合同服务平台的基本要求、订立过程安全、存储与应用安全和安全运维等要求。本文件适用于第三方电子合同服务平台的设计、开发、运营和电子合同订立过程。

《信息安全技术 信息系统密码应用设计指南》

【标准号】GB/T 43207-2023

【实施日期】2024/4/1

【标准简介】本文件给出了信息系统密码应用设计指南，包括信息系统密码应用框架、密码应用方案设计原则密码应用方案设计过程和密码应用方案设计指南。本文件适用于指导信息系统密码应用方案的设计，也可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门密码应用安全性评估备案工作的参考。

《信息安全技术 信息系统密码应用测评要求》

【标准号】GB/T 43206-2023

【实施日期】2024/4/1

【标准简介】本文件规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求，并给出了整体测评要求、风险分析和评价、测评结论的要求。

《信息安全技术 信息安全控制评估指南》

【标准号】GB/T 32916-2023

【实施日期】2024/4/1

【标准简介】本文件提供了评估信息安全控制措施的实施与运行及评估过程指导，包括对信息系统控制的技术性评估，该评估基于组织所建立的信息安全要求及技术性评估准则。

《信息安全技术 网络安全服务能力要求》

【标准号】GB/T 32914-2023

【实施日期】2024/4/1

【标准简介】本文件规定了网络安全服务的能力要求，包括一般要求和增强要求。本文件适用于指导网络安全服务机构开展网络安全服务，以及评价网络安全服务机构的能力水平，也可为网络安全服务需求方选择网络安全服务机构时提供参考。

《电动汽车充电设施及运营平台信息安全技术规范》

【标准号】NB/T 11302-2023

【实施日期】2024/4/11

【标准简介】本标准规定了电动汽车充电设施及运营平台的网络信息安全防护要求。

《网络空间安全仿真 无人机系统信息安全仿真平台接入技术要求》

【标准号】YD/T 4597-2023

【实施日期】2024/4/1

【标准简介】本文件规定了无人机系统信息安全仿真平台接入到其他网络靶场的技术要求，包括接入的功能构成、接入的接口要求、接入的网络安全性要求、接入的联网性能要求。本文件适用于网络靶场和无人机系统信息安全仿真平台的方案设计、网络靶场的系统建设与验收以及网络靶场的应用和管理。

《信息安全技术 移动互联网应用程序（App）生命周期安全管理指南》

【标准号】GB/T 42884-2023

【实施日期】2024/3/1

【标准简介】本文件提供了移动互联网应用程序(App)生命周期阶段管理过程和风险监测管理过程的安全管理指南。本文件适用于App提供者对App的开发、运营等生命周期安全管理，App分发平台管理者和移动智能终端厂商等参考使用。

《信息安全技术 机器学习算法安全评估规范》

【标准号】GB/T 42888-2023

【实施日期】2024/3/1

【标准简介】本文件规定了机器学习算法技术和服务的安全要求和评估方法，以及机器学习算法安全评估流程。本文件适用于指导机器学习算法提供者保障机器学习算法生存周期安全以及开展机器学习算法安全评估，也可为监管评估提供参考。

二、我国网络安全合规面临诸多挑战

随着网络安全监管规定繁多且复杂，网络安全监管要求越来越多，越来越细，网络安全面临着诸多挑战。

1.网络安全监管合规要求多

《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、《网络安全责任制》、《关键信息基础设施保护条例》、《信息安全技术 信息系统安全等级保护基本要求》等法律、制度、条例要求不断完善。

2.合规验证工作存在重复性

网络安全不同法规、标准间可能存在交叉，导致合规评估与整改工作耗时耗力，效率亟待提升。为满足监管要求，开展了等级测评、密码应用安全评估、数据安全、风险评估、个人信息保护等工作，但其中近40%的工作都存在一定的重复，付出了大量重复工作和重复劳动，如重复编写文档、填写报告、测评等，浪费了时间、人力、资金成本。

3.难以实现一次性合规

由于法规更新频繁、技术发展迅速、业务需求变化等因素，信息系统难以实现一次性合规。没有形成动态管理的机制，没有随着信息系统、信息资产、外部环境等各类变化，动态调整相应的合规管理工作，缺乏对合规问题的持续监测与跟踪，不能满足长期符合不断演进的网络安全监管要求。

三、注重多规管理融合，一次测评，多规满足

面临诸多合规挑战，道普信息风险管控专家提出，可以借助专业的第三方风险管控服务，在合规规划、实施、结果管理和跟踪等环节，实施多规管理融合策略。

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评，针对风险提出改进建议，帮助完成合规整改，响应《规定》要求，做到一次测评，多规满足，避免了重复测评带来的时间和经济额外成本。

2024年上半年，我国网络和数据安全领域的法规政策密集发布，标志着中国网络安全法治建设进入了一个新的阶段。面对更加严格的监管要求，多规管理融合已成为行业共识，一次测评、多规满足的实践正逐步成为趋势。这不仅是对企业合规能力的考验，更是对国家数字治理体系现代化水平的检验。在法治的引领下，我国正稳步迈向网络强国的目标，共同构筑起守护数字未来的坚固长城。