2024年度国外数字安全十大法规政策
2月,美国国家标准与技术研究院发布了其网络安全框架(CSF)2.0版本。该版本最重要的结构变化,在之前的识别、保护、检测、响应、恢复五大功能之上增加了第六项功能治理,以帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划。即,将网络安全风险管理活动提升到组织的核心高管和董事会级别。
2月,美国总统乔·拜登签署了一项涉及多个政府机构的全面行政命令,旨在通过禁止数据经纪人将这些敏感信息出售给“受关注的国家”,并要求司法部和其他政府机构采取一系列行动,来保护美国人的敏感个人数据不被利用。
3月,联合国通过了一项关于负责任地使用人工智能的决议,指在推广“安全、可靠和值得信赖的人工智能”。当下,人们已经意识到人工智能制造虚假信息、加剧国家之间和国家内部侵犯人权和不平等的风险。该决议由美国起草提案,由120个国家共同提出,但未经投票接受。
4月,美国网络安全与基础设施安全局发布《关键基础设施网络事件报告法案》上报要求(拟),并面向社会征集意见。《报告法案》中所涵盖的实体,要在发生重大网络安全事件的72小时内上报,关键基础设施实体则必须在24小时内报告赎金支付情况。
4月,美国、英国、加拿大、澳大利亚和新西兰五个国家的网络安全机构联合 发布《安全部署 AI 系统:部署安全和弹性AI 系统的最佳实践》。《实践》重点介绍了如何保护部署环境、持续保护 AI 系统以及确保 AI 运维安全。该实践是美国国家安全部成立“人工智能安全中心”之后主导的第一个指南类文件。
5月,拜登政府发布了一份新的国家安全备忘录(NSM-22),核心内容有,将网络安全和基础设施安全局指定为安全和弹性的国家协调机构;根据国家情报战略,指导美国情报界收集和生产情报,并与利益相关部门共享;重申指定16个关键基础设施领域和各自的风险管理机构;提升关键基础设施的最低安全性和弹性要求的重要性。
5月,澳大利亚《数字身份法案》在联邦议会获得通过。该法案为澳大利亚政府数字身份系统的扩展,以及提供商和服务申请加入政府系统提供了确定性,提高人们在线时的隐私和安全性。该法案生效后,澳大利亚竞争和消费者委员会将成为数字身份监管机构,澳大利亚信息专员办公室负责监管隐私方面的工作。
8月,由欧盟制定的全球首部《人工智能法案》正式生效。该法案涵盖任何人工智能产品或服务,并对四个级别的风险进行限制。如内容推荐系统或垃圾邮件过滤器属于低风险类别;决定谁获得贷款或操作自主机器人的系统则属于高风险类别。而影响人们行为方式的社会评分系统、某些类型的预测性警务以及学校和工作场所的情绪识别系统,则属于“不可接受的风险”。不遵守法案的企业将面临高达其全球年收入 7% 的罚款。
10月,欧盟委员会宣布《网络和信息安全指令2》(NIS2)正式通过并开始执行。新指令包含供应链安全、漏洞处理、事件披露等10个合规性“关键要素”,适用于数据中心、在线交易、搜索引擎和社交媒体平台等关键实体,这些实体在报告重大网络事件时必须遵守新的安全和通知要求。新指令也适用于成员国本身,例如,需要成立计算机安全事件响应小组和各自的网信机构。
12月,拜登签署《2025年国防授权法案》(NDAA)。其中批准了几项与网络相关的举措,包括为美国电信网络的《移除和替换计划》额外提供30亿美元的资金,更换华为和中兴等中国公司制造的设备。还授权可采取措施保护国防部设备“免受外国商业间谍软件的扩散和使用”。
内容来源于数世咨询发布的《2024年数字安全大事记》,转载仅为传播知识目的,若有侵权请联系我们删除。