企业网络安全合规框架体系

企业网络安全合规框架体系 目录 企业安全需求的驱动力 网络安全法律法规政策合规要求分析 企业网络安全合规框架体系 云安全合规建设框架 云原生安全合规建设框架 基于等级保护的云安全框架体系 零信任与SASE建设框架 我国数据安全法律体系 国内各行业数据安全监管要求 云中需要保护的数据类型 云计算场景下的8类数据安全责任 建立“以数据为中心”的安全体系 数据安全保障体系的四个维度 数据安全治理体系运行过程 数据安全技术体系技术框架及建设分工 企业个人信息保护体系网络安全规划方法论 企业安全合规视角安全运营框架体系 数据安全能力地图 致谢 《企业网络安全合规框架体系》由CSA大中华区专家撰写，感谢以下专家的贡献：项目组组长：杨天识 主要贡献者： 吴潇、王玮、张建盛、刘旭、靳倩倩、秦柯、徐岩贡献单位： 北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司杭州安恒信息技术股份有限公司 深信服科技股份有限公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 企业安全需求的驱动力 合规驱动 《网络安全法》《数据安全法》《个人信息保护法》《密码法》 《关基条例》 等保2.0 公安1960号文（三化六防） HW行动 2 风险驱动 事件驱动 关基信息基础设施/云中心/大数据中心 勒索软件Ransom 挖矿程序Mining 网络安全法律法规政策合规要求分析 我国目前已经建立了比较完善的网络安全法律法规政策体系。 企业网络安全合规框架体系 企业网络安全合规框架体系为“1+2+SEC+N+1”架构。 云安全合规建设框架 云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。 云原生安全合规建设框架 云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。 基于等级保护的云安全框架体系 基于等级保护“一个中心、三重防护”的云安全框架体系，体现出云平台和云租户安全责任分担的原则，并要求云计算资源对对IaaS、PaaS、SaaS层的租户提供不同的安全服务。 零信任与SASE建设框架 SASE可以为云租户提供网络弹性接入、安全服务、可以有效提升用户体验以及降低企业IT运维成本。 我国数据安全法律体系 国家法律是开展数据安全保护的依据 数据安全有法可依 国家层面新高度 数据安全治理体系 2017年习主席在中共中央政治局第二次集体学习时强调，“要切实保障国家数据安全，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。” 2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出“加快培育数据要素市场”，包括推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。 01 02 03 《网络安全法》《数据安全法》《个人信息保护法》 数据安全领域基础性法律体系三驾马车 国内各行业数据安全监管要求 《中国人民银行网络数据安全管 理指南》 《金融科技（FinTech）发展规划 （2019-2021年）》 《银行业金融机构数据治理指引》 《金融数据安全数据安全分级指 南》 《网上银行系统信息安全通用规 范》 《金融数据安全数据生命周期安 全规范》 《关于开展金融科技应用风险专项摸排工作的通知》 金融行业 …… 《电信和互联网用户个人信息保 护规定》（24号令） 《关于做好2020年电信和互联网行 业网络数据安全管理工作的通知》 《2021年基础电信企业行业数据安 全标准贯标工作方案的通知》 《基础电信企业数据分类分级防范》 《电信和互联网数据安全评估规 范》 《电信领域重要数据和核心数据识 别指南》 《电信和互联网行业数据安全标准 体系建设指南》 …… 电信行业 《电力行业网络与信息安全管理 办法》 《中华人民共和国能源法(征求意见 稿)》 《《国资监管数据管理暂行办法》 能源 行业…… 《政务信息资源共享管理暂行办 法》 《关于政务信息系统整合共享实 施方案的通知》 《中华人民共和国国民经济和社会发展第 十四个五年规划和2035年远景目标纲要》 《关于加强数字政府建设 的指导意见》 《信息安全技术政务信息共享 数据安全技术要求》 《政务数据安全管理指南》 《河南省政务数据安全管理暂行办法》 …… 政务行业 云中需要保护的数据类型 云服务客户数据 基于法律或者其他方面的原因，由云服务客户所控制的一类数据对 象。这些数据对象包括输入到云服务的数据，或云服务客户通过已 发布的云服务接口执行云服务所产生的数据。 云服务衍生数据 定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用 了什么功能和数据等。 由云服务客户和云服务交互所产生的云服务提供者控制的一类数据对象。包括：日志数据、授权用户数以及授权用户的身份、配置数据和 由云服务提供者控制，与云服务运营相关的一类数据对象。包括但不限制于资源的配置和使用信息，云服务特定的虚拟机信息，存储 云服务提供者数据 和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚 拟机资源的故障率和运营成本等。 YD/T4060-2022《云计算安全责任共担模型》 云计算场景下的8类数据安全责任 安全审查和取证 数据安全合规 数据安全管理 数据存储安全 云中数据安全责任 数据销毁安全 数据传输安全 数据访问安全 数据迁移安全 YD/T4060-2022《云计算安全责任共担模型》 建立“以数据为中心”的安全体系 建立“以数据为中心”的安全体系包括组织、管理、技术能力三个维度，通过治理评估持续改进，通过数据安全运营能力确保数据安全治理体系持续有 效运行。 治理评估 合规要求 情报支撑 治理评估 架构与职能 安全组织能力 改进 规划 （P） 策略 驱动 部门及角色业务及权责人员与能力协作与监督 能力支撑 安全管理能力 检查 （C） 计划报告记录日志 现状风险 流程规范指南模板 执行 （D） 纠正 （A） 管理办法 业务需求 安全服务 能力建设 安全技术能力 数据安全智能管控 数据分类分级 数据生命周期 数据资产分布 数据安全审计 用户行为分析 统一策略下发 审计核查 物理安全 可信环境保障 网络安全 数据安全防护 运营维护 数据识别数据防泄漏 应用安全 环境设备安全 数据标签 数据动静态脱敏 数据 持续改进 云安全 接入安全 数据加密数据备份容灾 应急响应 数据访问控制数据安全擦除 密码管理 安全基础设施身份认证 时间同步 管理体系 技术体系 对进数行据约安束全治 理 策略 管理办法 管理规范、标准 指南、细则、操作手册、记录 数据全生命周期安全防护技术 采集存储处理交换传输销毁 大数据安全管控 终端DLP 行为监控 泄漏阻断 泄漏审计 存储DLP 数据扫描 分级分类 智能加密 备份容灾 数据备份 数据恢复 VPN 传输加密 网络DLP 网络监控 泄漏阻断 泄漏审计 存储DLP 文件扫描 安全擦除 数据库安全网关 访问控制 操作审计 备份存储 数据归档 文档安全管理 权限控制 外发审核 数据安全保障体系的四个维度 决策层 （高级管理人员及数据安全官） 管理层（数据安全管理团队） 监督层（审计部门 、人员） 执行层（数据安全运营、技术团队）参与层（员工及合作伙伴） 组织体系 运营体系 运行维护 安全咨询 安全评估 威胁情报 安全整改 上线检查 运维保障 应急响应 …… 授权许可 访问控制 授权许可 授权许可 授权许可 授权许可 访问控制安全审计溯源审计数据脱敏 安全审计属地限制数据加密 访问控制安全审计溯源审计数据脱敏 访问控制安全审计溯源审计数据脱敏 属地限制 安全审计安全擦除 数据安全治理体系运行过程 数据安全治理体系运行过程包括围绕组织、管理、技术三个维度进行建设，通过定期治理评估发现差距不断完善体系的建设，通过 定期审计发现问题，使得数据安全治理体系持续改进。 管理现状梳理 治理目标 架构与职能部门及角色 业务及权责 人员与能力 协作与监督 威胁情报 运行监控 组织评估管理评估业务梳理数据识别风险评估 措施评估 业务合规风险 需求梳理 基线目标 已有制度执行情况风险事件主要问题 管理制度建设 一级方针和总纲 二级管理制度和管理办法三级流程、规范、指南、模板 四级计划、报告、记录、日志 审计记录 异常分析 应急处置 追踪溯源 差距分析 能力目标 方案设计 产品实施策略实施验证确认 改进优化 合规采集 安全传输 可靠存储 分级处理 可控交换 有效销毁 双因素双向 认定合规 鉴别记录传输加密媒体安全环境安全接口安全介质销毁 加密脱敏 认定合规 数据所有者、提供者 分级分类 网络可用性 逻辑隔离 过程安全 共享安全 逻辑销毁 加密脱敏 数据标识 存储加密 定时实时异地 备份容灾 数据脱敏 加密 导入导出安全 开放安全 质量管理 数据安全技术体系技术框架及建设分工 全域资产呈现 动态数据流监测 安全风险趋势 审批评估决策 数据安全服务平台 统一资产管理统一分级管理统一策略下发生命周期监控实体行为分析 数据监督者 等级保护基础环境安全 统一 身份管理 统一 配置管理 统一 访问控制 统一 记录审计 统一 内容识别 统一 标识管理 统一 加密管理 统一 脱敏管理 统一 泄露监控 统一 备份容灾 数据托管者 数据监督者通过数据安全监管中心集中下发管控策略，管理和监控数据安全资产、数据安全风险态势的总体情况；数据托管者接收数据安全能力中心统一的安全技术能力，包括基础环境安全能力和数据安全技术能力，同时接收数据安全监管中心下发的策略；数据所有者、提供者的数据受到统一管理和保护，数据全生命周期的数据执行情况被审计和监控。 企业个人信息保护体系 企业个人信息保护体系的建设主要包含个人信息识别、个人信息处理活动安全、个人信息支撑环境安 安全管理 个人信息识别 个人主体权益 个 全、安全管理、个人主体权益组成。首先要从个人信息识别作为起点，逐步囊括个人信息分类处理，个人信息处理条件、个人信息处理规则等需求和场景。其次以个人信息支撑环境安全为基础，在实现通信、存储、计算、供应链等安全的基础上，加强个人信息全生命周期的安全保障，个人信息生命周期包含了从信息收集到信息销毁等一系列个人信息处理活动。同时，还应 建立配套的安全管理要求贯穿始 责任人 责任部门 应急预案 安全事件告知 人员管理与培训 个个个 人人人 信信信 息息息 分处处 类理理 处条规 理件则 信信信信 息息息息 收存使传 集储用输 个人个 人信人 信息信 息保息 处护跨 理影境 义响传 务评输估 信信信信 息息息息 提公加销 供开工毁 查询 更正删除 撤回授权 同意 被遗忘 终，明确的个人主体权益保障，逐步提高企业个人信息数据合规水平，实现企业个人信息安全体系的建设。 记录管理合规审计 个人信息处理活动安全 通信环境安全存储环境安全计算环境安全 个人信息保护支撑环境安全 供应链安全 获取副本响应 投诉 企业安全合规视角安全运营框架体系 企业安全合规视角安全运营框架体系，依托安全技术体系，为安全管理合规提供必要的支撑与输入，在