2018年网络安全大盘点之安全法规/政策篇

前言：

根据国家信息安全漏洞统计平台的数据，2018年共计13957个漏洞被曝光（1月1日至12月31日）。英特尔CPU、微软、思科等高危漏洞曝光的同时，其它大大小小的漏洞事件数不胜数；从美国社交网络服务网站Facebook到国内12306铁路购票网站的大量用户数据信息被泄露，各类数据泄露事件层出不穷；HNS僵尸网络、“微信支付”等勒索病毒更是对我们生活造成了一定的影响。

1、安全法规/政策篇

大数据、工业互联网、智慧城市的安全和个人信息保护是2018年各项政策法规的关注点。随着《网络安全法》的实施，许多监管规定、行业与技术标准开始落地，国内的信息安全工作越来越有法可依，有据可查。

2018年网络安全相关法规/政策发布时间线如下：

部分法规/政策详情：

（a）《微博客信息服务管理规定》

《微博客信息服务管理规定》是国家互联网信息办公室依据《中华人民共和国网络安全法》等相关法律法规制定的，该规定于2018年2月2日发布，并于2018年3月20日开始实施。《微博客信息服务管理规定》共十八条，包括微博客服务提供者主体责任、真实身份信息认证、分级分类管理、辟谣机制、行业自律、社会监督及行政管理等条款，旨在促进微博客信息服务健康有序发展，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益。

（b）《快递暂行条例》

《快递暂行条例》第四十四条规定：经营快递业务的企业有下列行为之一的，由邮政管理部门责令改正，没收违法所得，并处1万元以上5万元以下的罚款；情节严重的，并处5万元以上10万元以下的罚款，并可以责令停业整顿直至吊销其快递业务经营许可证：（一）未按照规定建立快递运单及电子数据管理制度；（二）未定期销毁快递运单；（三）出售、泄露或者非法提供快递服务过程中知悉的用户信息；（四）发生或者可能发生用户信息泄露的情况，未立即采取补救措施，或者未向所在地邮政管理部门报告。

（c）《信息安全技术个人信息安全规范》

全国信息安全标准化技术委员会在2017年12月29日正式发布的《信息安全技术个人信息安全规范》，于2018年5月1日正式实施。《信息安全技术个人信息安全规范》以国家标准的形式，明确了个人信息的收集、保存、使用、共享、转让、公开披露等活动的合规要求，为网络运营者制定隐私政策及完善内控提供了指引。

（d）《关于进一步加强征信信息安全管理的通知》（银发[2018]102号）

2018年5月2日，中国人民银行下发《关于进一步加强征信信息安全管理的通知》（银发[2018]102号），进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理。通知要求，运行机构和接入机构要健全征信信息查询管理，严格授权查询机制，未经授权严禁查询征信报告，规范内部人员和国家机关查询办理流程，严禁未经授权认可的APP接入征信系统。此外，要求成立征信信息安全工作领导小组，明确领导层中分管征信工作的负责人为第一责任人。

（e）《通用数据保护条例》

2016年4月，欧洲议会投票通过了《通用数据保护条例》（General Data Protection Regulation ，简称GDPR），并于2018年5月25日开始实施。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，可称得上史上最严格的数据保护条例。根据GDPR，没有保护好数据导致数据泄露行为，行为轻微的要罚款1000万欧元或全年营收的2%（两者取最高值），行为严重的则要罚款2000万欧元或全年营收的4%（两者取最高值）。

（f）《网络安全等级保护条例（征求意见稿）》

2018年6月27日，公安部发布《网络安全等级保护条例（征求意见稿）》。作为《网络安全法》的重要配套法规，《网络安全等级保护条例（征求意见稿）》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑。

（g）《公安机关互联网安全监督检查规定》

《公安机关互联网安全监督检查规定（公安部令第151号）》于2018年9月15日公安部部长办公会议通过，自2018年11月1日开始实施。《公安机关互联网安全监督检查规定》是网络安全执法检查工作与《网络安全法》的深度结合，对执法过程进行了详细的规定，使得监督检查工作做到依法检查、依法处置。

（h）《金融信息服务管理规定》

为加强金融信息服务内容管理，提高金融信息服务质量，促进金融信息服务健康有序发展，保护自然人、法人和非法人组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，制定了《金融信息服务管理规定》，并于2019年2月1日起施行。

文章来源：立体防护