2025年第38周安全周报 | 本周安全要闻速览
● 《中华人民共和国网络安全法(修正草案)》公开征求意见
十四届全国人大常委会第十七次会议对《中华人民共和国网络安全法(修正草案)》进行了审议。现将《中华人民共和国网络安全法(修正草案)》公布,社会公众可以直接登录中国人大网(www.npc.gov.cn)或国家法律法规数据库(flk.npc.gov.cn)提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明网络安全法修正草案征求意见)。征求意见期限为30日。
来源:中国人大网
● 国家网信办发布《国家网络安全事件报告管理办法》
近日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下简称《办法》),自2025年11月1日起施行。《办法》共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求。国家互联网信息办公室有关负责人指出,为规范网络安全事件报告管理,及时控制网络安全事件造成的损失和危害,落实《网络安全法》《关键信息基础设施安全保护条例》等法律法规,国家互联网信息办公室制定《国家网络安全事件报告管理办法》,进一步规范和明确网络安全事件报告流程和要求。目前,网信部门已开通12387网络安全事件报告热线、官网、微信公众号、微信小程序、邮件、传真等六类网络安全事件报告渠道,网络运营者、社会组织和个人可通过上述渠道向网信部门报告网络安全事件。
来源:网信中国
● 国家网信办《促进和规范电子单证应用规定》公开征求意见
为了促进和规范电子单证推广应用,提高货物贸易和运输数字化水平,降低全社会物流成本,保障电子单证活动当事人合法权益,维护国家安全和社会公共利益,国家互联网信息办公室13日就《促进和规范电子单证应用规定(征求意见稿)》向社会公开征求意见。意见反馈截止时间为2025年10月13日。征求意见稿指出,鼓励货物贸易、物流、金融等领域机构和企业在开展业务时认可、使用电子单证,提升业务应用数字化水平,促进行业提质增效。鼓励金融机构在依法合规、风险可控前提下,根据电子单证特点,探索使用数字人民币等新型支付方式开展跨境支付,积极稳妥开展金融产品和服务模式创新。征求意见稿提出,鼓励相关机构、组织和个人通过可靠的电子单证系统从事电子单证的签发、存储、变更、转换、转让、质押、流转等活动。电子单证系统运营者应当加强风险管理,完善业务流程,支持相关方在签发时确认电子单证信息,防范电子单证记载货物信息与实际货物信息不符的风险。征求意见稿还要求,电子单证系统运营者应当建立健全网络安全技术措施,持续监测系统的运行状况,及时处置异常情形。应当制定网络安全事件应急预案,在发生网络安全事件时,立即启动应急预案,采取相应补救措施,并按照有关规定向有关主管部门报告。
来源:中国网信网
● 国家网信办:大型网络平台须设立个人信息保护监督委员会
为指导规范大型网络平台设立、运行个人信息保护监督委员会,对个人信息保护情况进行监督,保护个人信息权益,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,国家互联网信息办公室日前起草了《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》,并向社会公开征求意见。《规定》中明确,在中华人民共和国境内提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(以下称为大型网络平台服务提供者)设立、运行个人信息保护监督委员会,适用本规定。国家网信部门将会同国务院公安部门等有关部门依照有关法律法规规定,制定发布大型网络平台清单。
来源:网信中国
● 国家能源局《能源行业数据安全管理办法(试行)》公开征求意见
为贯彻落实党中央、国务院关于数据安全的决策部署,规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,国家能源局编制了《能源行业数据安全管理办法(试行)(征求意见稿)》,现向社会公开征求意见。文稿中涉及的配套制度、标准规范等,将另行制定印发。欢迎有关单位和社会各界人士研提宝贵意见,自本通知发布之日起30日内传真至010-81929161,或发送电子邮件至gh@nea.gov.cn。
来源:国家能源局
● 网安标委发布TC260-004《政务大模型应用安全规范》
9月15日,全国网络安全标准化技术委员会发布TC260-004《政务大模型应用安全规范》。规定了政务大模型应用的安全要求和测试方法,包括大模型选用、大模型应用部署、大模型应用运行、大模型应用停用等。《规范》适用于政务大模型应用的设计、开发与测试活动,可为政务大模型应用安全提供指导。
来源:全国网络安全标准化技术委员会
● 《人工智能安全治理框架》2.0版发布
9月15日,在2025年国家网络安全宣传周主论坛上,《人工智能安全治理框架》2.0版正式发布。作为全国网安标委技术文件,《框架》2.0版在2024年《框架》基础上,结合人工智能技术发展和应用实践,持续跟踪风险变化,完善优化风险分类,研究探索风险分级,动态调整更新防范治理措施。国家互联网应急中心负责同志表示,《框架》2.0版的发布,顺应全球人工智能发展潮流,统筹技术创新与治理实践,在人工智能安全、伦理、治理等方面不断深化共识,促进形成安全、可信、可控的人工智能发展生态,构建跨国界、跨领域、跨行业的协同治理格局。同时,有助于推进多边机制下人工智能安全治理合作,推动世界范围内技术成果的普惠共享,确保人类社会共享人工智能发展的红利。
来源:中国网信网
● 《数据安全国家标准体系(2025版)》正式发布
日前,全国网络安全标准化技术委员会秘书处发布通知,正式发布《数据安全国家标准体系(2025版)》。该体系以数据为核心,以数据分类分级保护为基础,覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动,由基础共性、数据安全技术和产品、数据安全管理、数据安全服务、产品和服务数据安全、行业与应用数据安全六大类标准组成。其中,基础共性标准作为数据安全标准体系的基础,用于明确数据安全的术语、数据分类分级保护等基础通用规则;数据安全技术和产品标准用于明确数据安全技术及产品的框架、规范和指南;数据安全管理标准用于明确数据处理活动安全、数据安全管理和安全运营的要求、方法和指南;数据安全服务标准用于规范数据安全检测评估、监督检查、安全认证工作,以及数据安全规划咨询和建设运维等相关服务;产品和服务数据安全标准在基础共性、数据安全技术和产品、数据安全管理标准之上,聚焦特定系统平台和产品服务的数据安全风险,明确典型平台、系统、产品、服务的数据安全要求和指南;行业与应用数据安全标准位于数据安全国家标准体系最上层,是在其他数据安全标准的基础上,面向重点行业领域和技术应用开展数据安全标准研制。
来源:全国网络安全标准化技术委员会
● 《个人信息保护国家标准体系(2025版)》正式发布
日前,全国网络安全标准化技术委员会秘书处发布通知,正式发布《个人信息保护国家标准体系(2025版)》。该体系在数据安全国家标准体系的基础上,以个人信息权益保护为核心,涉及与个人信息紧密相关的组织、产品、服务、系统、活动、技术、管理等标准化对象,涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动,保障个人信息的知情权、决定权、限制处理、拒绝处理等权利。个人信息保护国家标准体系由基础共性、个人信息保护技术、个人信息保护管理与权益保障、个人信息保护测评和认证、产品和服务个人信息保护、行业与应用个人信息保护六大类标准组成,如上图所示。其中,基础共性标准作为个人信息保护标准体系的基础,为标准体系中其他部分提供支撑;个人信息保护技术标准用于明确个人信息保护技术的框架、规范和指南;个人信息保护管理与权益保障标准用于明确个人信息保护管理相关内容,给出个人信息主体权益保障的要求、方法和指南;个人信息保护测评和认证标准用于规范个人信息保护的检测评估、合规审计、安全认证等工作;产品和服务个人信息保护标准在基础共性、个人信息保护技术、个人信息保护管理与权益保障标准之上,用于明确移动应用、网络平台服务等典型产品和服务的个人信息保护要求和指南;行业与应用个人信息保护标准位于个人信息保护标准体系最上层,是在其他标准的基础上,面向重点行业领域和技术应用开展个人信息保护标准研制。
来源:全国网络安全标准化技术委员会
● 美国 NIST 发布密码模块验证计划(CMVP)自动化白皮书草案 旨在提升验证效率
美国 NIST 下属 NCCoE 发布 “密码模块验证计划(CMVP)自动化” 白皮书草案,公众意见征集至 10月10日,核心目标是解决当前 CMVP 流程依赖人工导致的验证延迟问题,提升符合 FIPS 140-3 标准的密码模块验证效率,契合行业快速研发部署需求。项目分三个工作流推进:测试证据工作流优化证据收集与筛选、协议工作流新增自动化规则处理与 API 完善、基础设施工作流实现云原生容器化部署与系统现代化,目前已完成部分核心工作(如自动化证据分类、云基础设施开发、演示服务器部署)。该项目是 NIST 密码验证自动化系列举措的延续,后续计划 2025 年下半年敲定证据格式、整合研究成果至生产流程等,最终将通过自动化工具与云架构,实现 CMVP 测试报告自动化审核,缩短验证周期,平衡合规要求与产品上市时效。
来源:Industrial Cyber
