国内外网络安全政策动态（2024年11月）

▶︎ 1.13项网络安全国家标准自11月1日起实施

11月1日起，《网络安全技术 信息技术安全评估准则》等13项网络安全国家标准开始实施，其中，《网络安全技术 信息技术安全评估准则 第1-5部分》《网络安全技术 信息技术安全评估方法》等6项推荐性国家标准，是对软件、硬件、固件形式的IT产品及其组合进行安全测评的基础标准，为产品消费者、开发者、评估者提供了基本的安全功能和保障组件，将为我国具有安全功能IT产品的开发、评估以及采购过程提供指导。

▶︎ 2.工信部印发《工业和信息化领域数据安全事件应急预案（试行）》

11月1日，工业和信息化部印发《工业和信息化领域数据安全事件应急预案（试行）》。

《应急预案》作为工业和信息化领域数据安全事件处置工作的指导性政策文件，正文共八章四十条，重点明确了以下八方面内容：一是界定《应急预案》适用范围，明确了数据安全事件以及事件分级的相关概念定义；二是明确了工业和信息化领域数据安全应急处置工作的组织体系，规定了领导机构、办事机构、地方行业监管部门、数据处理者、应急支撑机构等单位的构成及职责；三是明确了开展数据安全风险监测预警工作的具体流程和要求；四是明确了不同级别数据安全事件应急处置工作的具体流程和要求；五是规定了重大及以上数据安全事件应急工作结束后，地方行业监管部门和数据处理者的具体工作要求；六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施；七是提出落实责任、奖惩问责、经费保障、工作协同、物资保障、国际合作、保密管理共七项保障措施；八是规定了应急预案修订原则和排除条款等要求。

此外，《应急预案》在附件中还细化了数据安全事件分级方法、事件上报模板、事件总结报告模板、应急处置流程图等内容，为各方开展应急处置工作提供细化实操指导。

▶︎ 3.全国网络安全标准化技术委员会发布2024年44项网络安全国家标准项目立项清单

11月1日，按照全国网络安全标准化技术委员会标准制修订工作程序的要求，44项网络安全国家标准的立项工作已经完成并公布，涉及SM9密码算法加密签名消息格式、二元序列随机性检测方法、密码应用标识等网络安全技术国家标准的制定或修订。

▶︎ 4.国家密码管理局发布《商用密码检测机构（商用密码应用安全性评估业务）目录》

11月11日，国家密码管理局公告（49号）发布《商用密码检测机构（商用密码应用安全性评估业务）目录》（共112家机构取得资质），并规定即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。

▶︎ 5.国家互联网信息办公室发布《移动互联网未成年人模式建设指南》

11月15日，国家互联网信息办公室发布《移动互联网未成年人模式建设指南》，《指南》提出未成年人模式建设的整体方案，鼓励和支持移动智能终端、应用程序和应用程序分发平台等，将分散的功能集成化，将分段保护一体化，筑牢未成年人网络保护的“三重防线”。该《指南》共7章，细化了不同主体的具体建设任务，统一“三方联动”“一键启动”等技术标准，为企业履行未成年人网络保护义务提供指引。《指南》创新未成年人模式保护措施，推动时间、内容、功能等“三大优化”。时间管理方面，未成年人模式允许用户对每日上网时长进行总量限制。内容建设方面，首次提出分龄推荐标准，优先展示适龄内容。功能安全方面，在保障使用需求的前提下，避免诱导沉迷的功能服务，提供诸多“个性定制”功能，实现便捷性和安全性双提升。

▶︎ 6.3项网络安全国家标准获批发布

11月16日，根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第24号），全国网络安全标准化技术委员会归口的3项网络安全国家标准正式发布。具体清单如下：

▶︎ 7.《工业和信息化领域数据安全合规指引》发布

11月19日，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会等17家行业组织联合发布了《工业和信息化领域数据安全合规指引》。

文件详细规定了数据处理活动中的基本要求、数据分类分级管理、数据安全风险评估、数据安全事件应急处置等内容，并提出了加强数据全生命周期安全管理的具体措施。通过这些措施，旨在构建一套适应工业和信息化领域特点的数据安全管理体系，提高整个行业的数据安全水平。

▶︎ 8.《网络安全标准实践指南——粤港澳大湾区 （内地、香港） 个人信息跨境处理保护要求》发布

11月21日，全国信息安全标准化技术委员会正式发布了《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》。此《实践指南》旨在为粤港澳大湾区内的个人信息处理者提供明确的操作规范，确保个人信息在跨境处理过程中的安全性和合法性。《实践指南》明确规定了个人信息跨境处理过程中应遵循的基本原则和具体保护要求。

▶︎ 9.国家数据局印发《可信数据空间发展行动计划（2024—2028年）》

11月23日，国家数据局印发《可信数据空间发展行动计划（2024—2028年）》。《行动计划》提出，到2028年，可信数据空间运营、技术、生态、标准、安全等体系取得突破，建成100个以上可信数据空间，基本建成广泛互联、资源集聚、生态繁荣、价值共创、治理有序的可信数据空间网络，各领域数据开发开放和流通使用水平显著提升，初步形成与我国经济社会发展水平相适应的数据生态体系。

《行动计划》主要包括三大行动：一是实施可信数据空间能力建设行动，通过构建可信管控能力，提高资源交互能力，强化价值共创能力，打造可信数据空间的核心能力体系；二是开展可信数据空间培育推广行动，主要是布局企业、行业、城市、个人、跨境五类可信数据空间建设和应用推广，探索各类数据空间的场景创新、模式创新、机制创新；三是推进可信数据空间筑基行动，围绕制订关键标准、攻关核心技术、完善基础服务、强化规范管理、拓展国际合作五个方面，全面夯实可信数据空间发展基础。

▶︎ 10.四部门开展“清朗·网络平台算法典型问题治理”专项行动

11月24日，中央网络安全和信息化委员会办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门开展“清朗·网络平台算法典型问题治理”专项行动。

主要任务包括：深入整治“信息茧房”、诱导沉迷问题；提升榜单透明度打击操纵榜单行为；防范盲目追求利益侵害新就业形态劳动者权益；严禁利用算法实施大数据“杀熟”；增强算法向上向善服务保护网民合法权益；落实算法安全主体责任。工作目标包括：算法导向正确；算法公平公正；算法公开透明；算法自主可控；算法责任落实。

▶︎ 11.《电信网络诈骗及其关联违法犯罪联合惩戒办法》12月1日起施行

11月26日，公安部会同国家发展和改革委员会、工业和信息化部、中国人民银行联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》。

该办法将于2024年12月1日起施行，该办法明确了依法认定、过惩相当、动态管理的惩戒原则，规定了惩戒对象、措施、分级惩戒、惩戒程序和申诉核查等内容，旨在打击电信网络诈骗及其关联犯罪。

▶︎ 1.美国能源部与商务部签署人工智能合作备忘录

11月1日，美国能源部与商务部签署一份谅解备忘录，旨在通过合作开展先进人工智能模型和系统的安全研究，从而增强了公共安全水平。该备忘录将重点评估人工智能对关键基础设施、能源安全和国家安全的影响，尤其是化学和生物风险的评估。根据备忘录，双方计划共同开发人工智能模型评估指南，研究人工智能系统的能力和局限性，并研发风险缓解工具。备忘录有效期为五年，允许双方在此期间共享人工智能相关信息，促进研究和评估，确保国家安全优先事项的保护。

▶︎ 2.“五眼联盟”发布《安全创新》指南

11月2日，“五眼联盟”发布《安全创新》指南，旨在保护新兴科技公司、研究人员和投资者免受日益严重的安全威胁，并为保护其知识产权及促进创新提供框架支持。

该指南针对商业竞争对手和网络犯罪分子带来的威胁，提供了一系列建议措施，包括识别外部和内部威胁、创建安全环境、将安全融入产品设计、建立安全合作伙伴关系以及安全拓展新市场。指南强调了建立强大安全文化的重要性，并鼓励初创企业实施全面的安全管理措施，如员工入职前的背景筛查、制定清晰的安全政策，并倡导主动上报安全问题。此外，指南还为英国家网络安全中心以及其他五眼联盟成员提供了免费工具、培训和框架以支持公司实施这些安全实践。

▶︎ 3.美国政府发布《使用零信任框架实施数据安全》

11月4日，美国联邦首席数据官（CDO）与联邦首席信息安全官（CISO）联合发布《使用零信任框架实施数据安全》指南。该指南遵循“永不信任，始终验证”原则，具体包括定义数据、保护数据和管理数据三个部分。

指南旨通过专注于“保护数据本身，而非保护数据的边界”来加强数据保护，从而帮助各联邦机构实施零信任安全架构。指南汇集来自30多个联邦机构的数据和安全专家的意见，提供了详细的零信任原则和五步安全路线图，强调数据分类、风险识别和管理的重要性。指南还特别提到与数据相关的风险，特别是可能损害美国国家安全和经济利益的网络安全威胁、存储故障和数据传输问题。此外，它还建议强化跨职能协作、定期评估与持续学习，以支持安全团队和数据团队的合作。这份指南发布在白宫要求各联邦机构提交零信任实施计划的截止日期前，显示了联邦政府在数据安全方面的积极行动。

▶︎ 4.德国起草新法律以保护网络安全漏洞研究人员

11月4日，德国联邦司法部起草一项新法律，旨在为发现并向供应商报告安全漏洞的研究人员提供法律保护，确保在合法边界内进行安全研究的人员，免于承担刑事责任或面临起诉风险。此外，针对严重的数据间谍行为和数据拦截行为，尤其是针对关键基础设施的攻击，该草案提出了更严厉的惩罚措施，严重违法行为可处以3个月至5年的监禁。该草案目前已送交德国各联邦州和相关协会审议，征求意见截止日期为12月13日。

▶︎ 5.美国联邦政府发布零信任指南

11月4日，美国政府发布《联邦零信任数据安全指南》。该指南由联邦首席数据官和联邦首席信息安全官委员会牵头制定，旨在加强数据安全实践，重点关注数据保护本身，而数据保护则被视为有效实施零信任实施的“基础支柱”。该指南吸收了来自30多个联邦机构和部门的数据和安全专家的意见，为系统所有者和管理员、网络安全工程师和数据管理员等目标受众提供了详细的零信任原则。该指南包含了五阶段的零信任安全路线图，概述了从业人员可采取的保护数据措施，并着重说明了如何识别、定义和分类数据。该指南还建议了一些最佳数据做法，包括跨职能协作沟通、数据和安全团队之间的牢固关系、持续学习和教育、适应性、定期评估和“全面认同”等。

▶︎ 6.澳大利亚将46项资产增列为国家关键基础设施

11月5日，澳大利亚网络和基础设施安全中心（CISC）新增46项关键基础设施为国家重要系统，总数超200个，覆盖多个行业。此举旨在提升网络弹性，保护国家安全。政府将对这些资产实施增强型网络安全义务，包括事件响应计划和安全演习。内政和网络安全部部长托尼·伯克强调全球关键基础设施面临的网络威胁，以及政府与行业合作保护国家安全的重要性。

▶︎ 7.加拿大、西班牙、英国等16国数据保护机构发布关于数据抓取的联合声明

11月6日消息，来自加拿大、西班牙、英国等16国的数据保护机构共同就数据抓取及隐私保障发布《关于数据抓取和隐私保护的总结声明》，旨在为社交媒体公司确保其用户的个人信息免受非法抓取提供具体指导和帮助。

本总结声明是以2023年8月24日发布的《关于数据抓取与隐私保护的初始联合声明》为基础的后续声明。两份声明都涉及以自动从网络提取个人数据的形式进行的数据抓取，并未涉及搜索引擎的索引，也未涉及非个人信息的抓取。总结声明指出，虽没有更好措施能够完全保证防止所有非法抓取行为（因为复杂的低容量抓取行为常常与用户活动难以区分），但通过多层次和动态的安全措施组合，可有效防止大规模抓取行为所造成的危害。

▶︎ 8.欧盟网络安全局发布NIS 2指令技术指南强化网络安全

11月7日，欧盟网络安全局（ENISA）宣布制定技术指南，以帮助欧盟成员国和相关实体实施《网络与信息系统安全指令》（NIS 2指令）中规定的网络安全风险管理措施的技术和方法要求。

NIS 2指令是新的欧盟范围内网络安全立法，旨在提升整个欧洲的网络安全水平，特别是增强欧盟关键行业的韧性。ENISA制定的技术指南包括非约束性建议、证据示例和提示，适用于DNS服务提供商、云计算服务提供商等多个子行业领域。指南还提供了一个映射表，将要求与欧洲和国际标准或框架相关联，帮助实体整合多个标准或框架以保持合规性。ENISA强调了建立风险管理框架、事件处理政策、业务连续性和灾难恢复计划的重要性。目前，该指南公开向业界征求意见。

▶︎ 9.澳大利亚拟立法禁止16岁以下未成年人使用社交媒体

11月8日消息，澳总理称政府将推动立法禁止16岁以下未成年人使用社交媒体，即使获得家长同意也不能使用，平台一旦违规将可能面临巨额罚款。相关法案将于本周提交至澳地方机构负责人，11月底提交至澳议会，如获通过，新法将在12个月后生效。相关社交媒体平台要在一年的宽限期内进行调整以确保落实。

▶︎ 10.美国运输安全管理局出台新规

11月9日，美国运输管理局出台新规，将现有的临时指令编入相关法律法规，要求管道和铁路运营商报告网络事件并制定网络风险管理（CRM）计划。该新规囊括了自2021年Colonial Pipeline遭受勒索软件攻击以来TSA发布的多项安全指令，对部分运营商将施加少量要求。

其中，制定的CRM计划涉及3个要素，包括：一是年度网络安全评估；二是评估各运营商项目内容，寻出脆弱点；三是确定负责网络事务的人员，概述关键网络系统及保护方法，详细说明网络入侵检测措施和事后恢复手段。此外，TSA表示，该新规将影响约300个运营商，其中涉及620个货运铁路运营商中的73家、92个公共交通机构和客运铁路中的34家、71家公路巴士，以及2000多个管道设施和系统运营商中的115家。

▶︎ 11.英国国家网络安全中心发布安全指南

11月12日，英国国家网络安全中心（NCSC）发布新安全指南，旨在协助内部机构优先考虑安全性较高的第三方数字广告合作伙伴，并要求相关厂商遵循指南中概述的安全原则，包括：识别验证客户身份、识别异常广告高峰流量、将洗钱和其他金融犯罪高发区列为优先监测目标等。

▶︎ 12.美国国防部发布私有5G部署战略

11月12日，美国国防部官方网站发文称，2024年10月16日，美国防部（DoD）签署了在军事设施部署私有第五代（5G）网络的战略协议。该战略协议是美国防部利用5G网络（包括商业和专有网络）为移动终端提供高速连接进行现代化工作的关键赋能因素。美国防部5G专网部署战略为在军事设施实施和运营5G专网提供了指导，同时尽可能最大限度扩大开放无线接入网（Open RAN）生态系统。5G基础设施的部署将使美国防部设施中的军事和非军事人员受益，并将使作战人员能够接收和传输大量数据。

通过这一战略，美国防部确定了3个目标，包括：一是将专有5G基础设施与每个设施的特定任务相结合，要求决策者根据特定任务、安全性、覆盖范围和性能要求进行评估，以确定是否只由5G专网进行支撑；二是加速5G技术和设备的采购、开发和安全部署，指示国防部各部门制定额外的实施指南，以支持将新的商业5G能力集成到美国国防部的任务和系统；三是鼓励扩展Open RAN生态系统。

▶︎ 13.白宫支持联合国网络犯罪公约

11月12日，拜登政府宣布美国将支持联合国网络犯罪条约，旨在确保在条约实施过程中能够发挥监督作用，确保条款不侵犯人权。美国对该公约的支持反映了其期望通过影响未来条约修订内容和条约的实施，加强与其他国家在打击跨国网络犯罪方面的合作。

该公约最初由俄罗斯于2017年提出，旨在制定全球应对跨国网络犯罪的标准，但自2019年开始推进以来，国际社会对其必要性和目标尚存争议。为了获得批准，该公约需得到美国参议院三分之二多数票的支持，因此面临着政治挑战。尽管有分歧，公约意在促进跨国合作打击网络犯罪，但其实施细则和潜在影响仍备受关注。

▶︎ 14.澳大利亚发布2024年《关键基础设施风险评估》报告

11月12日，澳大利亚网络和基础设施安全中心（CISC）发布了其第二版《关键基础设施年度风险评估》。该报告分析了澳大利亚关键基础设施面临的现有和新兴风险，并指出网络事件、全球供应链不稳定、技能短缺及恶劣天气等因素对国家安全和经济稳定构成威胁，基础设施的互联性巩固了国家安全及主权。报告强调了网络攻击和第三方风险治理不足，尤其是在IT、OT和物联网安全协调上，增加了系统易受攻击性。报告旨在帮助基础设施所有者和运营商更好地理解风险，提高服务韧性并做出明智决策。

▶︎ 15.美国国土安全部发布《关键基础设施中人工智能的角色和责任框架》指南

11月14日，美国国土安全部（DHS）发布《关键基础设施中人工智能的角色和责任框架》，该框架由人工智能安全与保障委员会提出，明确指导人工智能供应链各层（云和计算提供商、人工智能开发者、关键基础设施所有者和运营商，以及保护和维护消费者权益的民间社会和公共部门）如何发挥各自的作用，以确保人工智能在美国关键基础设施中安全可靠地部署。该框架为人工智能供应链各参与者在关键基础设施中安全使用人工智能提出了具体建议，包括保护环境、推动模型设计、实施数据治理、确保安全可靠的部署以及监控性能和影响等。

▶︎ 16.美国与越南合作以提升关键基础设施网络安全

11月15日消息，美国网络安全与基础设施安全局（CISA）与越南信息和通信部信息安全局（AIS）签署一份谅解备忘录，旨在促进双方持续合作，推动美越战略伙伴关系。此次合作响应全球网络威胁日益增长的趋势，预计将为越南提供先进的网络安全技术和资源，提升其防御能力，保障公民和企业的数字安全。美国CISA副助理主任强调合作对于保护关键基础设施和提高网络安全水平的重要性。越南AIS代理主任表示，这一合作将增强越南应对复杂网络威胁的能力，确保国家利益安全。

▶︎ 17.俄罗斯法院成立信息安全部门应对网络威胁

11月15日，俄罗斯最高法院司法部门宣布成立专门的信息安全部门，以加强网络安全防护。该部门将负责预防未来的黑客攻击和其他数字事件，此举是对数字化大趋势的响应。最高法院司法部总经理弗拉迪斯拉夫·伊万诺夫宣布，除了成立信息安全部门外，还计划在各地区扩大人员规模以更有效地应对类似情况。专家认为，成立专门的网络部门是对黑客活动增加的正确反应，并且是一个积极的步骤。数字化可以提高司法系统的效率和信息可用性，但也需要更多的专业人才来应对技术挑战。

▶︎ 18.澳大利亚信号局发布《2023-2024年度网络威胁报告》

11月20日，澳大利亚信号局（ASD）发布《2023-2024年度网络威胁报告》，揭示了澳大利亚当前面临的网络安全挑战。报告指出，ASD在过去一年应对了超过1100起网络安全事件，网络犯罪威胁不断增加。企业和个人面临三大网络犯罪威胁包括电子邮件入侵、网上银行欺诈以及商业电子邮件欺诈（BEC），这三种类型的攻击分别占所有网络事件的20%、13%和13%。由国家支持的网络行为者对澳大利亚政府系统、关键基础设施和企业构成持续威胁，供应链受损风险也在增长。

此外，勒索软件和数据盗窃仍然是长期存在的挑战之一，在2023-24财年内已报告了121起勒索软件事件，其中12%的受害者因遭受数据盗窃而被勒索。报告结论强调，随着澳大利亚网络安全风险日益加剧，必须加强防御措施。为此，建议采用基本8项成熟度模型来提高安全性，包括修补应用程序以及实施多因素身份验证（MFA）等措施。

▶︎ 19.欧盟《网络弹性法案》正式公布

11月20日，欧盟《网络弹性法案》（CRA）已正式公布，为带有数字组件的产品设定了网络安全标准，特别关注互联设备。法案要求制造商确保产品在交付时无已知漏洞，并对其安全性负责，同时要求提供安全更新。违反规定可能面临高额罚款。

▶︎ 20.欧盟与新加坡签署有关人工智能安全合作的行政安排

11月20日，新加坡数字发展与信息部宣布与欧盟达成一项新的行政安排，以加强在人工智能安全方面的合作。合作的关键领域包括交流人工智能实践和治理信息、人工智能模型的联合测试和评估、开发评估工具、标准化人工智能、推进人工智能安全研究以及分享对人工智能技术趋势的见解。

此次行政安排的签署是双方于2023年签署的《欧盟-新加坡数字伙伴关系协定》的重要交付成果，进一步加强了新加坡与欧盟之间现有的数字合作伙伴关系。双方目前的合作涵盖数字贸易便利化、数字基础设施建设、6G创新、可信的数据跨境流动、半导体供应链、人工智能等多个领域。

▶︎ 21.美国国会拟推进《2024年小型企业网络安全法案》草案

11月25日，美国国会正在讨论一项提案，为部分小型企业提供税收抵免，以帮助其抵消遵守美国国防部即将实施的网络安全成熟度模型认证（CMMC）计划的相关成本。根据这项名为《2024年小型企业网络安全法案》的草案，员工人数不超过50人的公司可申请最高5万美元的税收抵免，用于CMMC相关费用。美国共和党众议员Scott Fitzgerald是这项法案的提案人。该税收抵免将涵盖获取CMMC评估的费用，以及解决评估中发现的网络安全问题的成本。相关官员表示：“CMMC计划的实施和推广仍有许多疑问。鉴于相关规则仍处于起步阶段，国会两党仍在评估其对小型企业的实际影响。”

▶︎ 22.澳大利亚发布《网络安全法》加强网络防御

11月25日，澳大利亚议会发布《网络安全法》，这是该国首部专门加强公共和私营部门网络安全的法律，旨在增强国家网络防御和恢复能力，保护关键基础设施。该法案包括《2024年网络安全法》《2024年情报服务和其他立法修正案（网络安全）法》及《2024年关键基础设施安全和其他立法修正案（增强响应和预防）法》。

新法案包括强制智能设备的最低安全标准，要求遭遇勒索软件攻击的企业在72小时内报告赎金支付，以及引入网络事故审查委员会来审查重大网络安全事件。法案还规定，任何在澳销售且能够连接到互联网的产品都必须符合安全标准，违规产品可能面临召回。此外，受网络攻击影响的企业可以选择性地向国家网络安全协调员提供相关信息，但这种信息共享将受到严格限制以确保隐私保护。此举是澳政府加强国内网络防护，确保社会经济稳定及国家安全的关键步骤。

▶︎ 23.英国政府拟推行“网络事件响应能力”项目

11月26日，英国政府拟启动一项名为“网络事件响应能力”（CIRC）的安全项目，旨在为伙伴国应对网络攻击提供帮助。该项目预算约为100万英镑，资金来源为英国综合安全基金。目前，该项目合同的细节尚未公开，且后续预算因事件响应参与成本差异较大，因此后续预算的数额可能存在较大浮动。

▶︎ 24.澳大利亚更新《网络安全治理原则》以应对新威胁

11月27日，澳大利亚公司董事学会（AICD）和网络安全合作研究中心（CSCRC）对《网络安全治理原则》进行了更新，以应对不断演变的网络威胁及日益增长的监管需求。新版原则不仅涵盖了自2022年初版发布以来网络安全领域出现的新挑战，还特别强调了数字供应链风险、数据治理以及有效的网络事件响应和恢复等新问题，更新内容包括建议组织制定全面的网络安全战略、评估外部服务提供商、识别关键数据和访问控制、定期进行网络安全培训等。此外，文档中也突出强调了构建网络韧性文化、实施强制性培训和网络钓鱼测试的重要性。更新的原则还强调了在复杂的数字生态系统中，第三方关系可能带来的网络风险以及数据治理的重要性。这些更新旨在帮助澳大利亚组织和社区在数字世界中更安全。