收藏贴 | 2020年网安政策标准、产业报告大合集（下）

关注本公众号并回复关键词“技术标准”与“行业报告”，即可分别下载对应的PDF版打包文件。

1.GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》

【施行日期：2020年10月1日】

本标准规定了采用密码技术实现电子印章和电子签章的数据结构定义，以及相应的生成与验证流程。

2.GB/T 38541-2020《信息安全技术 电子文件密码应用指南》

【施行日期：2020年10月1日】

本标准明确了电子文件的密码应用技术框架和安全目标，描述了对电子文件进行密码操作的方法和电子文件应用系统使用密码技术的方法。

3.GB/T 38556-2020《信息安全技术 动态口令密码应用技术规范》

【施行日期：2020年10月1日】

本标准规定了动态口令技术框架，动态口令生成算法、鉴别和密钥管理等的相关内容。

4.GB/T 38561-2020《信息安全技术 网络安全管理支撑系统技术要求》

【施行日期：2020年10月1日】

本标准规定了网络安全管理支撑系统的技术要求，包括系统功能要求、自身安全性要求和安全保障要求。

5.GB/T 35273-2020《信息安全技术 个人信息安全规范》

【施行日期：2020年10月1日】

本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。

6.GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》

【施行日期：2021年6月1日】

本标准给出了个人信息安全影响评估的基本原理、实施流程，适用于各类组织自行开展个人信息安全影响评估工作，同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。

7.GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》

【施行日期：2020年11月1日】

本标准给出了非涉及国家秘密的等级保护对象的定级方法和流程，适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。

8.GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》

【施行日期：2020年11月1日】

本标准规定了防火墙的等级划分、安全技术要求及测评方法，适用于防火墙的设计、开发与测试。

9.GB/T 38636-2020《信息安全技术 传输层密码协议（TLCP）》

【施行日期：2020年11月1日】

本标准规定了传输层密码协议，包括记录层协议、握手协议族和密钥计算，适用于传输层密码协议相关产品（如SSL VPN网关，浏览器等）的研制，也可用于指导传输层密码协议相关产品的检测、管理和使用。

10.GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》

【施行日期：2020年11月1日】

本标准给出了汽车电子系统网络安全活动框架，以及在此框架下的汽车电子系统网络安全活动、组织管理和支撑保障等方面的建议。

11.GB/T 38645-2020《信息安全技术 网络安全事件应急演练指南》

【施行日期：2020年11月1日】

本标准给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划，并描述了应急演练的组织架构以及实施过程，适用于指导相关组织实施网络安全事件应急演练活动。

12.GB/T 25066-2020《信息安全技术 信息安全产品类别与代码》

【施行日期：2020年11月1日】

本标准规定了信息安全产品的主要类别与代码，包括物理环境安全类、通信网络安全类、区域边界安全类、计算环境安全类、安全管理支持类及其他类六个方面，适用于国家信息安全管理部门对信息安全产品（不包括涉密信息系统产品和仅提供密码算法运算的商用密码产品）进行分类管理，并可指导信息安全产品研制厂商的产品化工作和用户单位在信息化安全建设时的规划。

13.GB/T 38625-2020《信息安全技术 密码模块安全检测要求》

【施行日期：2020年11月1日】

本标准规定了密码模块的检测要求和对应的送检材料要求，适用于检测机构对送检密码模块的检测，也可用于指导密码模块研制厂商的自行测试。

14.GB/T 38626-2020《信息安全技术 智能联网设备口令保护指南》

【施行日期：2020年11月1日】

本标准给出了智能联网设备的账号和口令在生成、管理和使用等方面的安全技术指南，适用于指导智能联网设备生产制造商安全设计和实现口令保护功能，也适用于智能联网设备的口令安全使用的监督、检查。

15.G/BT 38635.1-2020《信息安全技术 SM9标识密码算法 第1部分：总则》

【施行日期：2020年11月1日】

本部分规定了SM9标识密码算法涉及的必要相关数学基础知识、密码技术和具体参数，适用于SM9标识密码的实现和应用。

16.G/BT 38635.2-2020《信息安全技术 SM9标识密码算法 第2部分：算法》

【施行日期：2020年11月1日】

本部分规定了SM9标识密码算法中数字签名算法、密钥交换协议、密钥封装机制和加密算法，适用于SM9标识密码算法工程化的实现，指导SM9标识密码算法相关产品的研制和检测。

17.GB/T 38638-2020《信息安全技术 可信计算 可信计算体系结构》

【施行日期：2020年11月1日】

本标准规定了可信计算的体系结构、可信部件及完整性度量模式以及可信计算节点类型，适用于可信计算体系的设计、开发和应用。

18.GB/T 38644-2020《信息安全技术 可信计算 可信连接测试方法》

【施行日期：2020年11月1日】

本标准规定了可信网络连接协议以及所涉及的密码算法的测试要求及方法，包括如下内容：a)　可信网络连接协议涉及的协议交互机制符合性测试要求及方法；b)　可信网络连接协议涉及的密码算法实现的正确性测试要求及方法。

19.GB/T 38646-2020《信息安全技术 移动签名服务技术要求》

【施行日期：2020年11月1日】

本标准规定了实现移动签名服务的技术要求，包括移动签名服务的基本框架、基本服务流程、参与移动签名服务的主要实体功能、接口功能及安全要求等，适用于移动签名服务的设备研制和平台开发。

20.GB/T 38671-2020《信息安全技术 远程人脸识别系统技术要求》

【施行日期：2020年11月1日】

本标准规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求，适用于采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的研制和测试，系统的管理可参照使用。

21.GB/T 38674-2020《信息安全技术 应用软件安全编程指南》

【施行日期：2020年11月1日】

本标准提出应用软件安全编程的通用框架，从提升软件安全性的角度对应用软件编程过程进行指导，适用于客户端/服务器架构的应用软件开发，其他架构的应用软件开发也可参照使用，并根据其应用环境的特性补充必要的安全防护措施。

22.GB/T 39477-2020《信息安全技术 政务信息共享 数据安全技术要求》

【施行日期：2021年6月1日】

本标准提出了政务信息共享数据安全要求技术框架，规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求，适用于指导各级政务信息共享交换平台数据安全体系建设，规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。

23.GB/T 39276-2020《信息安全技术 网络产品和服务安全通用要求》

【施行日期：2021年6月1日】

本标准规定了网络产品和服务应满足的安全通用要求，包括安全功能要求和安全保障要求，适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可用于指导第三方测评机构对网络产品和服务进行安全测评。

24.GB/T 30276-2020《信息安全技术 网络安全漏洞管理规范》

【施行日期：2021年6月1日】

本标准规定了网络安全漏洞管理流程各阶段（包括漏洞发现和报告、接收、验证、处置、发布、跟踪等）的管理流程、管理要求以及证实方法，适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动。

25.GB/T 28458-2020《信息安全技术 网络安全漏洞标识与描述规范》

【施行日期：2021年6月1日】

本标准规定了网络安全漏洞的标识与描述信息，适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相关方。

26.GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》

【施行日期：2021年6月1日】

本标准提供了网络安全漏洞(以下简称“漏洞”)的分类方式、分级指标，给出了分级方法的建议，适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞管理、产品生产、技术研发、网络运营等相关活动中进行的漏洞分类和危害等级评估等。

27.GB/T 20261-2020《信息安全技术 系统安全工程能力成熟度模型》

【施行日期：2021年6月1日】

本标准给出了系统安全工程能力成熟度模型是一个过程参考模型，它关注信息技术安全（ITS）领域内的某个系统或者若干相关系统实现安全的要求。

28.GB/T 39412-2020《信息安全技术 代码安全审计规范》

【施行日期：2021年6月1日】

本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法，适用于指导代码安全审计相关工作。

29.GB/T 39680-2020《信息安全技术 服务器安全技术要求和测评准则》

【施行日期：2021年7月1日】

本标准规定了服务器的安全技术要求和测评准则，适用于服务器的研制、生产、维护和测评。

30.GB/T 39720-2020《信息安全技术 移动智能终端安全技术要求和测试评价方法》

【施行日期：2021年7月1日】

本文件规定了移动智能终端安全技术要求及测试评价方法，包括硬件安全、系统安全、应用软件安全、通信连接安全、用户数据安全，适用于移动智能终端的设计、开发、测试和评估。

31.GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》

【施行日期：2021年7月1日】

本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施，适用于指导健康医疗数据控制者对健康医疗数据进行安全保护，也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。

32.GB/T 38648-2020 《信息安全技术  蓝牙安全指南》

【施行日期：2020年11月1日】

本标准给出了蓝牙安全建议，适用于蓝牙5.0以下版本（含蓝牙5.0)，可对蓝牙设备的设计、开发、测试、使用提供指导。

四、重点行业报告

网络安全

1.《“互联网+行业”个人信息保护研究报告（2020年）》

【发布日期：2020年3月2日】

《报告》深入研究“互联网+”服务收集、使用个人信息的范围和特点，梳理归纳当前国内个人信息保护法规和监管现状，剖析当前面临的问题和挑战，并从立法完善、政府治理、企业自治、行业自律等方面提出个人信息保护建议，期待引发社会对于个人信息保护的更多关注，为政府、企业、行业、公民协同强化个人信息保护提供参考。

2.《2020年中国网络安全产业统计报告》

【发布日期：2020年6月29日】

《报告》对国内绝大多数具备网络安全技术和产品自有研发能力的网络安全企业进行了梳理、统计和分析，力图全面、客观、清晰地反映我国网络安全市场规模，对系统了解我国网络安全产业发展概况具有重要参考价值。

3.《网络安全与数据合规法律风险白皮书》

【发布日期：2020年7月25日】

《白皮书》对大数据技术的行业应用和市场发展中的数据合规和数字资产价值最大化，提出了整合性、科学性的法律合规建议。

4.《中国网络安全产业白皮书（2020年）》

【发布日期：2020年9月16日】

《白皮书》指出，2019年我国网络安全产业规模达到1563.59亿元，较2018年增长17.1%，预计2020年产业规模约为1702亿元。

5.《网络安全态势感知技术标准化白皮书（2020版）》

【发布日期：2020年11月9日】

《白皮书》对网络安全态势感知技术的发展历程、标准化需求与现状等进行了梳理，研究给出了网络安全态势感知的技术框架和标准架构，提出了网络安全态势感知标准化工作的建议。

6.《中国网络安全技术与企业发展研究报告（2020年）》

【发布日期：2020年12月23日】

《报告》重点关注在安全企业、互联网企业、运营商等主体网络安全市场布局的情况下，结合热点趋势，重点对5G安全、容器安全、车联网安全、“区块链+安全”、数据合规等五个领域进行分析预测。

政府

7.《2020中国政府数字治理指数报告》

【发布日期：2020年11月12日】

《报告》由人民网舆情数据中心，从当前政府数字治理的创新与实践、未来数字治理趋势与建议等角度，探析政府“数智治理”的可为与可能。从基础保障力、数字创新力、治理行动力和公共引导力四个维度出发，对全国31个省、市、自治区政府的数字治理水平进行量化评估。

金融

8.《金融行业网络安全白皮书（2020年）》

【发布日期：2020年12月18日】

《白皮书》由中国银行保险报组织编写，总结了金融行业网络安全整体态势，从网络攻击、数据安全监管和隐私保护难度等方面阐述了金融行业网络安全面临的风险与挑战，重点关注了网络安全关键技术与创新领域的探索与突破，为进一步提升金融行业网络安全建设和维护水平提供参考和帮助。

教育

9.《教育行业网络安全白皮书 （2020 年）》

【发布日期：2020年12月15日】

《白皮书》由中国软件评测中心网络空间安全测评工程技术中心发布，聚焦我国教育行业网络安全问题，从机构、人员、系统、应用等切入点对网络安全总体形势进行了分析并针对性提出安全保障建议。

医疗

10.《医疗行业网络安全白皮书 （2020 年）》

【发布日期：2020年3月】

为了保障医疗行业网络安全稳定运行，帮助医疗行业网络运营者做好网络安全保障工作，中国软件评测中心网络空间安全测评工程技术中心发布《白皮书》，基于近三年医疗行业网络安全的测评经验，总结分析了医疗行业网络安全发展的现状、存在的主要问题，并提出了增强医疗行业网络安全的建议。

文旅

11.《全国城市轨道交通行业网络安全态势调研分析报告》

【发布日期：2020年6月】

《报告》显示，随着信息化与轨道交通自动化的深度融合，轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，实现了各子系统的互联互通、资源共享，进一步提升了自动化水平。

电信

12.《电信和互联网行业数据安全治理白皮书 （2020 年）》

【发布日期：2020年7月】

《白皮书》由中国软件评测中心发布，以电信和互联网行业为锚，对数据治理的内涵、应用案例、发展形势，问题阐述、安全建议等重点关注的问题进行了深入的梳理和分析，清楚的反映了数据治理的重点领域，对了解行业概况有着重要的参考价值。

13.《运营商数据安全白皮书》

【发布日期：2020年11月21日】

《白皮书》由中国移动研究院发布，旨在提高运营商数据安全防护能力并促进数据价值释放。白皮书对数据安全现状做出了全面分析，总结了可用安全管理手段、安全技术手段，并针对5G系统、NFV/SDN、网络切片、边缘计算以及数据对外共享等典型场景阐述安全防护要点，进一步明确运营商数据安全防护体系构建。

工业

14.《工业互联网数据安全白皮书（2020）》

【发布日期：2020年12月4日】

《白皮书》在2020年中国工业信息安全大会上发布，立足国内放眼全球，概述了当前工业互联网数据技术产业发展情况，重点分析了全球工业互联网数据安全态势、风险挑战及工业互联网数据安全技术应用，并针对我国工业互联网数据安全现状与问题，提出对策建议。

15.《工业互联网平台安全白皮书(2020)》

【发布日期：2020年12月4日】

《白皮书》立足国内外工业互联网平台发展情况和安全防护现状，分析工业互联网平台安全需求与边界，提出工业互联网平台安全参考框架，凝练保障工业互联网平台安全的关键技术，展望工业互联网平台安全发展路径。

炼石网络是一家基于密码与系统安全技术的数据安全创新公司，提倡“以数据为中心的新安全理念”，自主研发了CASB业务数据安全平台和高性能国密产品，开创性的实现免开发改造应用、敏捷实施细粒度数据保护，该产品入选工信部2020年网络安全技术应用试点示范推荐项目，并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术，将安全与业务在技术上解耦、但又在能力上融合交织 ，实现主体到应用内用户、客体到字段级的防护，打造“以密码技术为核心，访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教医旅、工商等行业用户，提供个人信息保护、商业秘密保护以及国密合规改造方案，让数据共享更安全、更有价值。

微信号：炼石网络CipherGateway