概述 数字化发展是全球趋势。随着数字技术的快速进步和普及,越来越多的人的生活和工作依赖于数字技术。数字安全作为数字化发展的重要组成部分,极大地保证了数字化环境的安全性和稳定性。全球数字契约是一个框架,为所有国际合作提供开放、自由和安全的数字未来的共同原则。数字安全是全球数字契约的重要组成部分,旨在确保数字环境的安全、隐私保护和数字技术的可持续发展。 CSAGCR提出了数字安全框架,并发布了全球数字安全报告,报告从标准、合作、权益和应用四个方向提出了建议。CSAGCR建议建立全球统一的数字安全标准,完善全球认可数据全过程的合规和监管规则体系,加强各国合作,共同应对人类数字风险。同时,要构建保障数据主体权益体系,使全球化数据合法合规使用,促进数字技术安全应用。 表的内容 概述 第1章|全球数字安全框架–顶级架构 1.1|数字安全的定义 1.2|REE数字安全框架 第2章|数字安全和数据保护领域–核心原则和关键行动 2.1|一个统一的全球数字安全标准,以保持数字安全的一致性、互补性和互操作性 2.2|加强国际合作,应对常见的数字风险 2.3|建立基础数据保护制度,保护数据所有者权益,使能数据在全球范围内合法使用 2.4|建立安全可控、有弹性的数据治理体系,安全推动数字技术应用 第3章|云安全联盟大中华区简介 3.1|CSA标准发布 3.2|CSA发布课程 第1章|全球数字安全框架–顶级架构 1.1|数字安全的定义 数字安全是指数字时代与数字化相关的所有安全要素、行为和状态的集合,不仅包括数字经济的安全性,还包括数字技术在安全领域的使用。数字安全以数字身份为核心,以原生安全为基础,涵盖信息安全、网络安全、数据安全、隐私保护等领域或场景,并可延伸(如元界安全)。此外,数字安全还包括使用数字技术来确保数字基础设施的物理安全。虽然数字安全更注重数字经济和数字技术,但它也类似于网络安全,在法律、标准和技术方面强调国家网络主权。数字安全的定义如图1所示: 零信任的原则:零信任是最高的数字安全策略,通过数字安全技术堆栈用于保护数字世界中的数据安全。 网络安全:保证网络系统软硬件安全,负责CSO、首席技术官等。 信息安全:确保所有有价值信息的安全,对CISO负责、CIO等。 数据安全:确保数据在整个生命周期的安全性和合规性,负责CDO、首席信息官、 CISO、方案等。 隐私保护:保护用户的隐私和个人信息,负责CPO,DPO等。 Metaverse安全:保证虚拟与现实以数字形式承载的平行宇宙的安全,也是未来数字安全的主要扩展领域。 数字身份:作为连接安全和业务的基础,它为所有人、数字人、对象、设备等提供数字识别、身份验证和访问生命周期管理。 本地安全:原生安全包括涉及云计算、大数据、AI、5G/6G、物联网、区块链、量子计算等新兴技术的系统的原生安全。它是数字安全的基础,需要硬件信任根的支持。 1.2|REE数字安全框架 REE数字安全框架 监管层:规则层是数字安全框架的战略引导,主要包括数字安全法、数字安全治理、数字安全标准等。这一层需要解决数字安全法律、法规、规章、政策、监督和标准等问题,从而为组织的数字安全建设和合规治理提供战略指导。 执行层:执行层涵盖了规则层落地所需的所有资源/工具以及使用这些资源/工具的具 体行动,包括数字安全技术、数字安全解决方案/产品、数字安全服务、数字安全教育等的实施。这一层需要解决数字安全技术的研究与进展、数字安全技术的发展与应用等问题。 数字安全解决方案/产品、数字安全服务开发(如安全咨询、安全运营等)、数字安全人才的培养等。它是组织实现其数字安全目标的核心。 评价层:评估层对组织的数字安全成熟度进行评估、验证和审查,包括数字安全奖项、数字安全排名、数字安全认证、数字安全案例等。这一层需要通过安全认证/审计/评 估,持续评估组织的数字安全能力,从而推动持续改进和完善,实现从规则、实施、评估到完善的安全闭环。此外,通过数字安全奖、数字安全排行榜/象限和数字安全优秀案例分享等方式,开展相关市场推广和引导,推动数字安全产业发展。 第2章|数字安全和数据保护领域–核心原则和关键行动 2.1|一个统一的全球数字安全标准,以保持数字安全的一致性、互补性和互操作性 对行动的建议: 各国政府应在国家层面采用一个综合框架来管理各种国家级数字安全风险,并以可管理的方式共同加强这些风险。框架和实施政策应该是透明的,CSAGCR提供的数字安全框架将成为制定综合框架的可靠参考。一个完善和透明的政府数字安全框架应由国内外的任何授权利益相关者定期审查,并可以根据经验和最佳实践进行改进,并且可以在可能的情况下通过一个国际标准进行基准测试和衡量。 在此基础上,联合国应提供一个平台,展示不同国家的数字安全风险评估状况,并确保在不同的竞争政策目标之间取得良好平衡。 数据流、数据安全、认证、评估、数字货币等方面的国际规则和数字技术标准应根据全球数字契约制定或修订 2.2|加强国际合作,应对常见的数字风险 建议行动: 如果各国需要跨境开展数据取证服务以进行执法,应通过国际司法援助渠道或其他相关多边和双边协议解决。 国家间缔结跨境数据收集双边协议不得侵犯任何第三国的司法主权和数据安全。 协调合作,共同应对全球信息安全和数据安全面临的挑战和威胁。 采取措施,在国家、区域和全球各级防止和管理利用信息技术进行网络犯罪和恐怖活动 2.3|建立基础数据保护制度,保护数据所有者权益,使能数据在全球范围内合法使用 建议行动: 建议联合国带头建立一个安全和管理良好的跨界数据传输机制。联合国应大力完善全球一致的授权机制,保护公共数据、企业数据和个人信息数据的权利。联合国应该注意到数据作为新的生产要素在未来可以转移甚至进行全球贸易的趋势,但这一领域的国际规范很少。未来,联合国要在数据交互、业务互联互通、监管互认、服务共享等方面开展国际交流与合作,推动跨境数字贸易基础设施建设方面发挥核心作用。 各国应尊重他国的主权、管辖权和数据安全管理,未经他国法律许可,不得直接获取企业或个人在别国的数据。 不得滥用信息技术破坏关键基础设施或窃取其他国家的重要数据,也不得利用信息技术从事危害他国国家安全和公共利益的行为。 各国承诺采取措施,防止和制止利用互联网侵犯个人信息,反对滥用信息技术对他国进行大规模监控和非法收集他国公民个人信息。 2.4|建立安全可控、有弹性的数据治理体系,安全推动数字技术应用 建议行动: 改善合规性和监管体系,使整个数据生命周期流程得到全球认可。 信息技术产品和服务提供者不得在产品和服务中设置后门非法获取用户数据,控制或者操纵用户系统和设备。 信息技术企业不应利用用户对产品的忠诚度来谋取不正当利益,强迫用户升级或更换系统。产品供应商承诺及时告知合作伙伴和用户产品的安全缺陷或漏洞,并提出补救措施。 供应链安全是全球数字网络和关键设施稳定运行的基础,对促进网络互联互通和效益具有决定性意义。网络安全漏洞是供应链安全的重要风险,一般和基础网络应用的漏洞管理应视为全球公共产品,应通过统筹而非局部、普遍而非差异的方式降低安全漏洞的网络风险。 第3章|云安全联盟大中华区简介 云安全联盟(CSA)是网络安全领域的国际技术标准组织,成立于2009年,致力于定义和提高业界对云计算和下一代数字技术安全最佳实践的理解,推动数字技术和安全行业的发展。 国际云安全联盟大中华区(CSAGCR)作为CSA全球四大区域之一(其他地区为美洲、亚太和欧非区域),于2016年在香港正式注册,2021年在工信部和工信部的支持下注册落地 。 中国信息技术部、公安部、互联网信息技术办公室。它是第一个也是唯一一个在中国注册和注册的网络安全领域的国际非政府组织。 CSA研究院是CSA保持领先和权威地位的核心竞争力,其研究敏捷性、专业性和诚信得到了业界的认可。研究院下设83个研究工作组,对云计算和下一代数字技术安全进行全面研究。该研究所产出了500多项研究成果,60000多名注册专家和130000名社区专业人员。 CSAGCR下设12个研究工作组,输出云安全、物联网安全、数据安全、零信任、隐私技术方向的行业指南100余篇,国内注册专家1000余人,包括院士、教授、事业单位专家、科研人员、企业技术高管、安全专家等工作10年以上的专家。 CSASECtember是最大的云安全国际会议。CSAGCR大会、EMEA大会和亚太地区大会是所有地区的重要会议。 3.1|CSA标准发布 不。标准名称标准类型 1云控制矩阵(CCM)国际标准 云安全能力成熟度模型 3 集成评估指导(CS-CMMI) 行业标准 4软件定义周界(SDP)规范国际标准 云应用程序安全技术 5 (CAST) 规范 云计算安全技术 2 需求(装运箱) 行业标准行业标准 7物联网(IOT)安全规范行业标准 8基本信息安全测试基准的行业标准 云本机安全技术 6 (CNST)规范 行业标准 手机应用程序 9智能合约安全技术规范行业标准 100信任成熟度模型行业标准 3.2|CSA发布课程 云安全知识(CCSK)证书 先进的云安全专家(ACSE) 认证云渗透测试专家(CCPTP) 先进的云安全从业者(交流火花塞) 云审计知识(CCAK)证书 认证云安全管理专家(CCSMP) 认证零信任专业(CZTP) 专业认证区块链(CBP) 注册数据安全专业(CDSP) 认证数据保护官(CDPO) GDPR导致审计师 确认 联合国副秘书长兼秘书长科学和技术特使阿曼迪普·辛格·吉尔支持并指导加空局理事会参与这项工作。科学和技术促进发展委员会主席兼联合国数字安全联盟名誉主席PeterMajor支持并指导CSAGCR开展数字安全工作。全国政协社会法委副主任、中国市政协主席陈志民支持和指导中国政协开展数据安全研究。国家互联网信息办公室、工业和信息化部、中华人民共和国公安部和有关部门领导支持和指导了中科理事会的发展,联盟成员单位和专家积极参与并大力支持了中科理事会的研究工作。 《全球数字契约提案》编辑委员会成员:李宇航、吕立晓、贾良宇、郭鹏程、徐慕迪、陈本峰、张淼、袁浩、顾魏、或建军、石宇航、王玉萌、叶小倩、张文娟