一、 国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2025年7月份国家新发布的法规政策以及行业相关动态：

1.1 关键信息基础设施商用密码使用管理规定（国家密码管理局、国家互联网信息办公室、公安部令第5号）

发布来源：国家密码管理局
发布时间：2025-06-27
内容概要：
《关键信息基础设施商用密码使用管理规定》已经2025年4月21日国家密码管理局局务会议审议通过，并经国家互联网信息办公室、公安部同意，现予公布，自2025年8月1日起施行。

1.2 《关键信息基础设施商用密码使用管理规定》解读

发布来源：国家密码管理局
发布时间：2025-06-27
内容概要：
根据《中华人民共和国密码法》、《商用密码管理条例》等法律法规，国家密码管理局会同国家互联网信息办公室、公安部，研究制定了《关键信息基础设施商用密码使用管理规定》（国家密码管理局、国家互联网信息办公室、公安部令第5号）（以下简称《规定》），现就《规定》的有关内容进行解读。
解读详情请看链接：
https://www.oscca.gov.cn/sca/xxgk/2025-06/27/content_1061271.shtml

1.3 关于发布完成个人信息收集使用优化改进App清单的公告（2025年第2批）

发布来源：中国网络空间安全协会
发布时间：2025-07-08
内容概要：
为规范App收集使用个人信息行为，保护个人信息权益，推动形成全社会共同维护个人信息安全的良好环境，中国网络空间安全协会组织指导网络社区、应用商店、餐饮外卖、房屋租售、网络直播、即时通信和求职招聘7类12款App运营方，对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。
12款App运营方已在应用商店或者官网上架优化改进版本（名单及版本号附后），并承诺升级版本持续保持合规水平。现将App清单公布如下：
 

1.4 国家计算机病毒应急处理中心检测发现68款违法违规收集使用个人信息的移动应用

发布来源：国家计算机病毒应急处理中心
发布时间：2025-07-11
内容概要：
依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，68款移动应用存在违法违规收集使用个人信息情况。
App清单及违规详情请看链接：
https://www.cverc.org.cn/zxdt/report20250711.htm

1.5 关于开展个人信息保护负责人信息报送工作的公告

发布来源：中国网信网
发布时间：2025-07-18
内容概要：
根据《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章规定，现就开展个人信息保护负责人信息报送工作有关事项公告如下：
一、信息报送要求
根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者，应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。
二、信息报送时间
（一）自本公告发布之日起，个人信息处理者处理个人信息达到100万人的，应当自数量达到之日起30个工作日内完成信息报送。
（二）本公告发布前，个人信息处理者处理个人信息数量已经达到100万人的，应当在2025年8月29日前完成信息报送。
（三）报送信息发生实质性变更的，应当在变更之日起30个工作日内办理信息变更手续。
三、信息报送方式
个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
四、法律责任
未按照《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章的规定履行信息报送手续的，依照有关法律法规规章的规定处理。
特此公告。

1.6 “两高一部”发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》

发布来源：国家计算机病毒应急处理中心
发布时间：2025-07-28
内容概要：
2025年7月28日，最高人民法院、最高人民检察院、公安部联合召开新闻发布会，发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》、依法惩治帮助信息网络犯罪活动及相关犯罪典型案例，并回答记者提问。最高人民法院刑三庭庭长汪斌，最高人民法院刑三庭副庭长王鲁，最高人民检察院经济犯罪检察厅副厅长张建忠，公安部刑侦局副局长郑翔出席发布会，发布会由最高人民法院新闻局副局长姬忠彪主持。发布会上，最高人民法院刑三庭庭长汪斌发布了《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》。
7月28日，最高人民法院、最高人民检察院、公安部《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》（以下简称《意见》）正式发布。
《意见》的制定背景和主要内容请看链接：
https://www.spp.gov.cn/xwfbh/wsfbt/202507/t20250728_702365.shtml

二、 境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

2.1 四川某科技公司未落实网络安全保护义务致数据泄露被处罚

事件日期：2025-07-17
事件概况：
近日，四川网安部门在工作中发现，成都某科技公司开发的购票管理系统因未落实网络安全防护要求，致使系统内部分数据发生泄露，被不法分子利用实施违法犯罪活动。
经查，该公司作为涉案信息系统的开发主体及实际运营单位，负有网络安全保护工作的法定职责，但未依法履行《中华人民共和国网络安全法》规定的网络安全保护义务，未落实网络安全等级保护制度，未采取必要的技术防护措施，最终引发数据泄露。
四川公安网安部门已依法对涉事企业及直接责任人作出行政处罚。
网警提示：《网络安全法》第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
如何防范：
管理上：
1、建立网络安全等级保护制度实施计划：依据《网络安全法》要求，制定并执行等级保护定级、备案和测评流程，确保系统达到规定安全级别。
2、明确安全责任分工：设立专职网络安全负责人，负责监督日常防护工作，并纳入绩效考核，避免职责缺位。
3、加强员工安全培训和意识提升：定期组织全员网络安全法规及实操培训，重点针对开发、运维人员，强化数据保护意识。
4、引入第三方安全审计机制：每年聘请独立机构进行安全评估和合规检查，及时发现并整改漏洞。
技术上：
1、强化数据访问控制机制：实施基于角色的权限管理，确保敏感数据仅授权人员可访问，防止未授权泄露。
2、部署数据加密和脱敏措施：对存储和传输中的用户数据采用加密技术，并在非必要场景使用数据脱敏，降低泄露风险。
3、完善网络安全监控系统：建立实时日志监控和入侵检测体系，快速识别异常活动并触发响应。
4、嵌入安全开发生命周期（SDLC）：在系统开发阶段集成安全测试，包括代码审查和漏洞扫描，从源头预防缺陷。

2.2 上海市公积金中心紧急提醒：邮箱被恶意冒用，切勿点击

事件日期：2025-07-23
泄露数据：3万余教职工、学生个人敏感信息
事件概况：
7月23日，上海市公积金管理中心发布严正声明：
 
近日，发现有不法分子冒用我中心邮箱（shgjj@shgjj.com）发送邮件，内容为“关于您的住房公积金调整失败的紧急通知”。我中心从未使用该邮箱发送过上述邮件，收到此类邮件，切勿点击邮件中的任何链接，以免造成个人信息泄露或财产损失。
 
任何以该邮箱名义索要费用、财务信息或敏感资料的行为均属诈骗，请提高警惕。如造成个人损失请及时报警。
如何防范：
管理上：
1、实施发件人策略框架（如DMARC/DKIM/SPF）：明确仅允许官方服务器发送邮件，并向全网公开认证策略，使收件方系统可自动识别伪造邮件。
2、建立域名监控机制：每日扫描暗网和公开网络，监测是否存在域名仿冒或伪造声明。
3、实施常态化的社会工程演练：每季度面向全体职工开展钓鱼邮件模拟测试（重点针对财务、客服等岗位），并纳入部门安全考核；同时设计面向公众的“诈骗邮件识别”微课程，通过公众号推送。 
技术上：
1、部署邮件认证防护体系：在邮件网关部署AI驱动的发件行为分析模块，实时检测异常发信模式（如短期内大量发送“紧急通知”类邮件），自动拦截并告警。
2、对对外公开邮箱启用多因素认证（MFA），防止账号盗用。
3、建立多通道风险预警系统：开通专属欺诈举报通道（如微信小程序、短信专号），鼓励用户一键转发可疑邮件供快速分析；同步在官网动态更新近期活跃诈骗手法。