标准盘点:2025上半年国内网络安全领域重要标准速览
在数字化时代,网络安全标准的意义和作用愈发重要,它们是确保网络空间安全、维护社会秩序、促进经济发展的基石。2025年上半年,我国陆续发布了一系列新的网络安全标准,涵盖人工智能安全、网络安全保险、数据安全、个人信息保护等众多技术领域。小编整理了2025上半年发布的网络安全领域重要国家标准和行业标准,供大家参考。
国家标准
1. 2025年1月24日,国家标准GB/T 43710-2025《科学数据安全审计要求》发布
本标准规定了科学数据安全审计的相关要求,包括总体要求、一般审计要求和专项审计要求,适用于科学数据机构,对科学数据相关活动中所涉及的安全控制活动进行审计。
2. 2025年1月24日,国家标准GB/T 45230-2025《数据安全技术 机密计算通用框架》发布
本标准确立了机密计算通用框架,描述了框架的核心组件和基础功能,并提供了机密计算服务及实现机制,适用于机密计算相关方设计、开发、使用和部署机密计算相关产品或解决方案时参考,也可为开展机密计算能力评估活动提供参考。
3. 2025年2月28日,国家标准GB/T 19713-2025《网络安全技术 公钥基础设施在线证书状态协议》发布
本标准给出了一种无需请求证书撤销列表(CRL )即能查询数字证书状态的机制,即在线证书状态协议,包括在线证书状态协议的协议内容、语法规范。
4. 2025年2月28日,国家标准GB/T 37027-2025《网络安全技术 网络攻击和网络攻击事件判定准则》发布
本标准确立了网络攻击和网络攻击事件的描述信息要素、判定和计数的方法,适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。
5. 2025年2月28日,国家标准GB/T 45279-2025《IPv4/IPv6网络安全防护技术规范》系列标准发布
该系列标准包含第1-4部分,分别规定了IP承载网、移动通信网、互联网数据中心、内容分发网络在IPv4、IPv6、双栈环境下的网络安全防护要求和测试方法,包括网络安全、设备安全、物理环境安全和管理安全、软件及业务系统安全等方面,适用于指导支持IPv4/IPv6协议的各类网络安全防护工作开展和推进。
6. 2025年2月28日,国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》发布
本标准规定了人工智能生成合成内容标识方法,适用于生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动。
7. 2025年3月28日,国家标准GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》发布
本标准规定了数据安全评估机构的能力要求,包括基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力。
8. 2025年3月28日,国家标准GB/T 45392-2025《数据安全技术 基于个人信息的自动化决策安全要求》发布
本标准规定了个人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。
9. 2025年3月28日,国家标准GB/T 45396-2025《数据安全技术 政务数据处理安全要求》发布
本标准规定了政务数据处理的安全要求,明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。
10. 2025年3月28日,国家标准GB/T 45399-2025《信息技术 云计算 超融合系统通用技术要求》发布
本标准确立了超融合系统的参考模型,包括计算虚拟化组件、存储虚拟化组件、网络虚拟化组件、安全虚拟化组件和运维管理,适用于为超融合系统厂商设计和制造超融合产品提供指导,同时为第三方测评机构实施超融合系统测试和评价提供参考。
11. 2025年3月28日,国家标准GB/T 45404-2025《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》发布
本标准规定了大型互联网企业建立和运行个人信息保护监督机构的要求,包括个人信息保护监督机构的设置、职责、工作规则,以及个人信息保护监督机构的成员等要求。
12. 2025年3月28日,国家标准GB/T 45406-2025《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》发布
本标准规定了符合网络关键设备规定范围的可编程逻辑控制器安全功能要求以及安全保障要求,适用于网络关键设备可编程逻辑控制器的研发、测试等工作。
13. 2025年3月28日,国家标准GB/T 45409-2025《网络安全技术 运维安全管理产品技术规范》发布
本标准规定了运维安全管理产品的安全功能要求、自身安全要求、安全保障要求及测试评价方法,适用于运维安全管理产品的设计、研发、生产、服务、检测和认证。
14. 2025年4月25日,国家标准GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》发布
本标准确立了敏感个人信息识别和界定,规定了敏感个人信息处理通用安全要求和敏感个人信息处理特殊安全要求,适用于个人信息处理者开展敏感个人信息处理活动,也适用于监管部门和第三方评估机构对敏感个人信息处理活动进行监督、管理和评估。
15. 2025年4月25日,国家标准GB/T 45576-2025《网络安全技术 网络安全保险应用指南》发布
本标准描述了网络安全保险的目的和作用、主要角色和责任,给出了基本应用流程、保障事件类型和损失类型,提出了网络安全保险应用各阶段的方法。
16. 2025年4月25日,国家标准GB/T 45577-2025《数据安全技术 数据安全风险评估方法》发布
本标准描述了数据安全风险评估的基本概念、要素关系、分析原理,给出了数据安全风险评估的实施流程、评估内容、分析评价方法等,适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
17. 2025年4月25日,国家标准GB/T 45652-2025《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》发布
本标准规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求,描述了相应的评价方法,适用于生成式人工智能服务提供者开展预训练和优化训练数据处理活动以及安全自评估,也适用于第三方机构对预训练和优化训练数据进行安全性评估。
18. 2025年4月25日,国家标准GB/T 45654-2025《网络安全技术 生成式人工智能服务安全基本要求》发布
本标准规定了生成式人工智能服务在训练数据安全、模型安全、安全措施等方面的要求,适用于服务提供者开展生成式人工智能服务相关活动,也为相关主管部门以及第三方评估机构提供参考。
19. 2025年4月25日,国家标准GB/T 45674-2025《网络安全技术 生成式人工智能数据标注安全规范》发布
本标准规定了生成式人工智能训练的数据标注平台或工具安全要求、数据标注规则安全要求、数据标注人员要求、数据标注核验要求,描述了数据标注安全评价方法。
20. 2025年6月30日,国家标准GB/T 20988-2025《网络安全技术 信息系统灾难恢复规范》发布
本标准确立了信息系统灾难恢复工作原则,提出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法。
21. 2025年6月30日,国家标准GB/T 22080-2025《网络安全技术 信息安全管理体系 要求》发布
本标准等同采用国际标准ISO/IEC 27001:2022,规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求,还给出了根据组织需求所剪裁的信息安全风险评估和处置的要求。
22. 2025年6月30日,国家标准GB/T 45909-2025《网络安全技术 数字水印技术实现指南》发布
本标准提出了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议,并给出了常见数字水印算法、典型安全场景等相关信息。
行业标准
交通行业
1. 2025年3月10日,交通行业标准JT/T 1545-2025《交通运输行业网络安全实战演练工作规程》发布
本标准明确了交通运输行业网络安全实战演练的总体原则和组织架构,确立了演练流程,规定了演练准备、滇练实施、演练总结、整改复测等阶段的操作指示,描述了追湖方法。
2. 2025年3月10日,交通行业标准JT/T 1547-2025《交通运输数据安全风险评估指南》发布
本标准提出了交通运输数据安全风险评估的原则、体系框架、方法、启动条件和流程等,适用于交通运输行业数据处理者和第三方评估机构开展数据安全风险评估工作,以及行业管理部门开展数据安全检查。
公安行业
1. 2025年3月31日,公安部网安局公布了行业标准GA/T 2182-2024《信息安全技术 关键信息基础设施安全测评要求》
本标准规定了针对关键信息基础设施开展安全测评的要求和方法,适用于规范关基运营者及网络安全服务机构开展关基安全测评工作。
通信行业
1. 2025年4月10日,通信行业标准YD/T 6313-2025《智能终端设备间互操作数据保护技术要求》发布
本标准规定了智能终端设备间互操作过程实现数据保护的要求,包括智能终端设备间互信关系全生命周期管理安全要求,以及智能终端设备间进行数据相关互操作时在数据全生命周期各阶段的数据安全保护要求。
2. 2025年4月10日,通信行业标准YD/T 1700-2025《移动终端信息安全测试方法》发布
本标准规定了移动终端通用的信息安全的测试方法,包括移动终端的硬件安全能力、系统安全能力、应用安全能力、传感器安全能力、连接安全能力、传输安全能力、存储安全能力、个人信息保护能力、接入安全能力等的测试方法。
3. 2025年4月10日,通信行业标准YD/T 6411-2025《电信和互联网服务 用户个人信息保护技术要求 网络约车出行服务》发布
本标准规定了网络约车出行服务中个人信息的收集、存储、使用、加工、传输、提供、公开、删除等环节的个人信息保护技术要求。
4. 2025年4月10日,通信行业标准YD/T 6412-2025《移动互联网应用未成年人个人信息保护技术要求》发布
本标准规定了移动互联网未成年人个人信息保护技术要求,包括开展未成年人个人信息处理活动应遵循的基本原则、处理规则规范性要求、保护要求等。
5. 2025年4月10日,通信行业标准YD/T 6414-2025《移动互联网应用程序(APP)儿童个人信息处理的告知同意技术要求》发布
本标准规定了移动互联网应用程序(APP)儿童个人信息处理中监护人告知同意的技术要求,包括基本原则、总体流程、儿童身份识别、获取监护人触达方式、监护人身份验证、告知、授权同意以及失败场景下的处理。
6. 2025年4月10日,通信行业标准YD/T 6415-2025《工业领域数据安全风险评估规范》发布
本标准规定了工业领域数据安全风险评估的基本原则、要素、流程及方法等内容,适用于工业领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估。工业领域一般数据处理者也可参照对其数据处理活动的数据安全风险评估。
7. 2025年4月10日,通信行业标准YD/T 3797.2-2025《云服务用户数据保护能力评估方法 第2部分:私有云》发布
本标准规定了云服务提供者在提供私有云平台时,其用户数据安全保护能力的评估方法,包括事前防范能力、事中保护能力和事后追溯能力。
8. 2025年4月10日,通信行业标准YD/T 6420-2025《隐私计算 技术应用合规指南》发布
本标准提出了隐私计算技术的应用合规分析方法及合规要点,适用于为隐私计算提供数据的主体,为隐私计算提供数据处理平台、算法工具、解决方案等技术支持的主体,和使用隐私计算技术输出的结果数据的主体。
金融行业
1. 2025年4月11日,金融行业标准JR/T 0327—2025《保险业信息系统灾难恢复管理规范》发布
本标准规定了信息系统灾难恢复的组织管理、灾难备份中心的规划建设和运营、灾难恢复的预案管理及演练等管理要求,适用于中国境内保险机构,保险行业信息共享平台运营机构、保险集团所属的其他金融企业亦可参照使用。
TOPSEC
作为中国网络空间安全建设的中坚力量,AC米兰中文官方网站一直积极参与网络安全标准研制工作,累计参与已发布国家标准、行业标准、团体标准、地方标准共计330余项,涉及安全产品、安全管理、安全服务、数据安全、人工智能、云计算、工业互联网、车联网、5G、区块链等众多技术领域,未来AC米兰中文官方网站将继续积极参与各项标准的研究、编制、宣贯、试点、应用等工作,为有效发挥标准在网络空间安全建设中的基础性、引领性、战略性作用贡献力量。
相关阅读
