企业网络安全合规框架体系

企业网络安全合规框架体系 目 录企业安全需求的驱动力网络安全法律法规政策合规要求分析企业网络安全合规框架体系云安全合规建设框架云原生安全合规建设框架基于等级保护的云安全框架体系零信任与SASE建设框架云中需要保护的数据类型数据安全保障体系的四个维度企业个人信息保护体系网络安全规划方法论我国数据安全法律体系云计算场景下的8类数据安全责任数据安全治理体系运行过程企业安全合规视角安全运营框架体系国内各行业数据安全监管要求建立“以数据为中心”的安全体系数据安全技术体系技术框架及建设分工数据安全能力地图 致 谢《企业网络安全合规框架体系》由CSA大中华区专家撰写，感谢以下专家的贡献：项目组组长：杨天识主要贡献者：吴潇、王玮、张建盛、刘旭、靳倩倩、秦柯、徐岩贡献单位：北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司杭州安恒信息技术股份有限公司深信服科技股份有限公司（以上排名不分先后）关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c- csa.cn/research/） 上查看。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 企业安全需求的驱动力关基信息基础设施/云中心/大数据中心合规驱动HW 行动风险驱动事件驱动2勒索软件 Ransom挖矿程序 Mining《网络安全法》《数据安全法》《个人信息保护法》《关基条例》公安 1960 号文（三化六防）等保 2.0《密码法》 网络安全法律法规政策合规要求分析我国目前已经建立了比较完善的网络安全法律法规政策体系。 企业网络安全合规框架体系企业网络安全合规框架体系为“1+2+SEC+N+1”架构。 云安全合规建设框架 云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。 云原生安全合规建设框架 云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。 基于等级保护的云安全框架体系 基于等级保护“一个中心、三重防护”的云安全框架体系，体现出云平台和云租户安全责任分担的原则，并要求云计算资源对对IaaS、PaaS、SaaS层的租户提供不同的安全服务。 零信任与SASE建设框架SASE 可以为云租户提供网络弹性接入、安全服务、可以有效提升用户体验以及降低企业IT运维成本。 我国数据安全法律体系国家法律是开展数据安全保护的依据数据安全有法可依国家层面新高度数据安全治理体系l2017年习主席在中共中央政治局第二次集体学习时强调 ，“要切实保障国家数据安全，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。” l2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出“加快培育数据要素市场”，包括推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。数据安全领域基础性法律体系三驾马车《网络安全法》《数据安全法》《个人信息保护法》010203 国内各行业数据安全监管要求《电力行业网络与信息安全管理办法》 金融行业电信行业《电信和互联网用户个人信息保护规定》（24号令） 《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》 《2021年基础电信企业行业数据安全标准贯标工作方案的通知》 《基础电信企业数据分类分级防范》《电信和互联网数据安全评估规范》《电信领域重要数据和核心数据识别指南》《电信和互联网行业数据安全标准体系建设指南 》能源行业《中华人民共和国能源法(征求意见稿) 》 ......政务行业《中国人民银行网络数据安全管理指南》 《金融科技（FinTech）发展规划（2019-2021年）》 《网上银行系统信息安全通用规范》 《关于开展金融科技应用风险专项摸排工作的通知》 《银行业金融机构数据治理指引》 《金融数据安全数据安全分级指南》 《金融数据安全 数据生命周期安全规范》 ............《政务信息资源共享管理暂行办法》 《关于政务信息系统整合共享实施方案的通知 》 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要 》 《信息安全技术 政务信息共享 数据安全技术要求 》 《政务数据安全管理指南》 《河南省政务数据安全管理暂行办法》 《关于加强数字政府建设的指导意见》 ......《《国资监管数据管理暂行办法》 云中需要保护的数据类型YD/T 4060-2022 《云计算安全责任共担模型》云服务客户数据基于法律或者其他方面的原因，由云服务客户所控制的一类数据对象。这些数据对象包括输入到云服务的数据，或云服务客户通过已发布的云服务接口执行云服务所产生的数据。云服务衍生数据云服务提供者数据由云服务客户和云服务交互所产生的云服务提供者控制的一类数据对象。包括：日志数据、授权用户数以及授权用户的身份、配置数据和定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用了什么功能和数据等。由云服务提供者控制，与云服务运营相关的一类数据对象。包括但不限制于资源的配置和使用信息，云服务特定的虚拟机信息，存储和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚拟机资源的故障率和运营成本等。 云计算场景下的8类数据安全责任YD/T 4060-2022 《云计算安全责任共担模型》云中数据安全责任数据存储安全数据传输安全数据访问安全数据迁移安全数据销毁安全数据安全管理数据安全合规安全审查和取证 建立“以数据为中心”的安全体系安全组织能力架构与职能安全技术能力数据资产分布数据分类分级数据安全审计安全管理能力数据安全防护数据识别数据防泄漏数据动静态脱敏数据加密数据备份容灾数据标签数据访问控制数据安全擦除可信环境保障数据安全智能管控部门及角色业务及权责人员与能力协作与监督数据改进合规要求业务需求现状风险驱动数据生命周期用户行为分析环境网络安全物理安全应用安全设备安全接入安全云安全密码管理时间同步安全基础设施身份认证规划（P）执行（D）检查（C）纠正（A）治理评估统一策略下发治理评估能力建设审计核查持续改进能力支撑情报支撑安全服务运营维护应急响应策略管理办法流程 规范 指南 模板计划 报告 记录 日志建立“以数据为中心”的安全体系包括组织、管理、技术能力三个维度，通过治理评估持续改进，通过数据安全运营能力确保数据安全治理体系持续有效运行。 数据安全保障体系的四个维度决策层（高级管理人员及数据安全官）管理层（数据安全管理团队）监督层（审计部门、人员）执行层（数据安全运营、技术团队）参与层（员工及合作伙伴）运行维护安全咨询安全评估威胁情报安全整改上线检查运维保障应急响应......组织体系管理体系运营体系技术体系采集存储处理交换传输销毁大数据安全管控访问控制安全审计属地限制数据加密授权许可访问控制安全审计溯源审计数据脱敏授权许可访问控制安全审计溯源审计数据脱敏授权许可属地限制授权许可安全审计安全擦除授权许可访问控制安全审计溯源审计数据脱敏行为监控泄漏阻断泄漏审计终端DLP备份容灾数据备份数据恢复传输加密VPN网络监控泄漏阻断泄漏审计网络DLP存储DLP文件扫描安全擦除访问控制操作审计数据库安全网关数据全生命周期安全防护技术数据归档备份存储存储DLP数据扫描分级分类智能加密权限控制外发审核文档安全管理对数据安全治理进行约束策略管理办法管理规范、标准指南、细则、操作手册、记录 数据安全治理体系运行过程管理现状梳理管理制度建设一级三级四级二级已有制度执行情况主要问题架构与职能部门及角色协作与监督人员与能力业务及权责方针和总纲管理制度和管理办法流程、规范、指南、模板计划、报告、记录、日志风险事件威胁情报运行监控审计记录异常分析应急处置追踪溯源改进优化能力目标产品实施策略实施验证确认方案设计需求梳理业务合规风险基线目标治理目标组织评估管理评估业务梳理措施评估风险评估差距分析数据识别 数据安全治理体系运行过程包括围绕组织、管理、技术三个维度进行建设，通过定期治理评估发现差距不断完善体系的建设，通过定期审计发现问题，使得数据安全治理体系持续改进。 数据安全技术体系技术框架及建设分工数据安全服务平台统一身份管理统一加密管理统一脱敏管理统一泄露监控统一资产管理统一分级管理生命周期监控实体行为分析统一策略下发统一标识管理统一备份容灾统一记录审计全域资产呈现动态数据流监测安全风险趋势审批评估决策统一配置管理合规采集安全传输可靠存储分级处理可控交换有效销毁等级保护基础环境安全统一内容识别鉴别记录分级分类数据标识质量管理传输加密网络可用性媒体安全逻辑隔离存储加密双向双因素备份容灾环境安全数据脱敏过程安全接口安全共享安全开放安全介质销毁逻辑销毁导入导出安全统一访问控制加密加密加密脱敏脱敏实时异地定时合规认定合规认定数据托管者数据所有者、提供者数据监督者 数据监督者通过数据安全监管中心集中下发管控策略，管理和监控数据安全资产、数据安全风险态势的总体情况；数据托管者接收数据安全能力中心统一的安全技术能力，包括基础环境安全能力和数据安全技术能力，同时接收数据安全监管中心下发的策略；数据所有者、提供者的数据受到统一管理和保护，数据全生命周期的数据执行情况被审计和监控。 企业个人信息保护体系安全管理责任人责任部门应急预案安全事件告知人员管理与培训记录管理合规审计个人信息处理活动安全信息收集信息存储信息使用信息加工信息提供信息公开信息传输个人信息保护支撑环境安全通信环境安全存储环境安全计算环境安全供应链安全个人主体权益查询更正删除撤回授权同意被遗忘获取副本响应投诉个人信息分类处理个人信息处理条件个人信息处理规则个人信息处理义务个人信息保护影响评估个人信息跨境传输信息销毁个人信息识别企业个人信息保护体系的建设主要包含个人信息识别、个人信息处理活动安全、个人信息支撑环境安全、安全管理、个人主体权益组成。首先要从个人信息识别作为起点，逐步囊括个人信息分类处理，个人信息处理条件、个人信息处理规则等需求和场景。其次以个人信息支撑环境安全为基础，在实现通信、存储、计算、供应链等安全的基础上，加强个人信息全生命周期的安全保障，个人信息生命周期包含了从信息收集到信息销毁等一系列个人信息处理活动。同时，还应建立配套的安全管理要求贯穿始终，明确的个人主体权益保障，逐步提高企业个人信息数据合规水平，实现企业个人信息安全体系的建设。 企业安全合规视角安全运营框架体系 企业安全合规视角安全运营框架体系，依托安全技术体系，为安全管理合规提供必要的支撑与输入，在当前多样安全标准、安全监管的态势下，形成符合企业自身的合规图谱，实现安全合规可量化、可展示，提升合规响应效率，降低安全合规风险。 数据安全能力地图数据安全能力地图描绘的是企业开展数据安全治理工作应该遵循的能力要素，顶层视角包括“道、法、术、器”数据安全需求的驱动力和企业开展数据安全治理的原则。企业数据安全治理实施五步走。企业开展数据安全治理的技术体系、管理体系、运营体系。 网络安全规划方法论企业网络安全总方针上级监管要求网络安全愿景、目标和原则现状和需求分析网络安全规划网络安全实施路线图实施总体策略项目任务内容实施方式项目卡需求网络安全现状评估风险及规避项目实施路线图安全技术体系设计行业最佳实践经验法律法规要求安全发展战略定义网络安全标准安全管理体系设计安全运营体系设计