企业网络安全合规框架体系

企 业 网 络 安 全 合 规 框 架 体 系目 录企业安全需求的驱动力网络安全法律法规政策合规要求分析企业网络安全合规框架体系云安全合规建设框架云原生安全合规建设框架基于等级保护的云安全框架体系零信任与SASE建设框架云中需要保护的数据类型数据安全保障体系的四个维度企业个人信息保护体系网络安全规划方法论我国数据安全法律体系云计算场景下的8类数据安全责任数据安全治理体系运行过程企业安全合规视角安全运营框架体系国内各行业数据安全监管要求建立“以数据为中心”的安全体系数据安全技术体系技术框架及建设分工数据安全能力地图致 谢《企业网络安全合规框架体系》由CSA大中华区专家撰写，感谢以下专家的贡献：项目组组长：杨天识主要贡献者：吴潇、王玮、张建盛、刘旭、靳倩倩、秦柯、徐岩贡献单位：北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司杭州安恒信息技术股份有限公司深信服科技股份有限公司（以上排名不分先后）关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c- csa.cn/research/） 上查看。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。企业安全需求的驱动力关基信息基础设施/云中心/大数据中心合规驱动HW 行动风险驱动事件驱动2勒索软件 Ransom挖矿程序 Mining《网络安全法》 《数据安全法》《个人信息保护法》《关基条例》公安 1960 号文（三化六防）等保 2.0《密码法》网络安全法律法规政策合规要求分析我国目前已经建立了比较完善的网络安全法律法规政策体系。企业网络安全合规框架体系企业网络安全合规框架体系为“1+2+SEC+N+1”架构。云安全合规建设框架 云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。云原生安全合规建设框架 云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。基于等级保护的云安全框架体系 基于等级保护“一个中心、三重防护”的云安全框架体系，体现出云平台和云租户安全责任分担的原则，并要求云计算资源对对IaaS、PaaS、SaaS层的租户提供不同的安全服务。零信任与SASE建设框架SASE 可以为云租户提供网络弹性接入、安全服务、可以有效提升用户体验以及降低企业IT运维成本。我国数据安全法律体系国家法律是开展数据安全保护的依据数据安全有法可依国家层面新高度数据安全治理体系l 2017年习主席在中共中央政治局第二次集体学习时强调 ，“要切实保障国家数据安全，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。” l 2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出“加快培育数据要素市场”，包括推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。数据安全领域基础性法律体系三驾马车《网络安全法》《数据安全法》《个人信息保护法》010203 国内各行业数据安全监管要求《电力行业网络与信息安全管理办法》 金融行业电信行业《电信和互联网用户个人信息保护规定》（24号令） 《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》 《2021年基础电信企业行业数据安全标准贯标工作方案的通知》 《基础电信企业数据分类分级防范》《电信和互联网数据安全评估规范》《电信领域重要数据和核心数据识别指南》《电信和互联网行业数据安全标准体系建设指南 》能源行业《中华人民共和国能源法(征求意见稿) 》 ……政务行业《中国人民银行网络数据安全管理指南》 《金融科技（FinTech）发展规划（2019-2021年）》 《网上银行系统信息安全通用规范》 《关于开展金融科技应用风险专项摸排工作的通知》 《银行业金融机构数据治理指引》 《金融数据安全数据安全分级指南》 《金融数据安全 数据生命周期安全规范》 …………《政务信息资源共享管理暂行办法》 《关于政务信息系统整合共享实施方案的通知 》 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要 》 《信息安全技术 政务信息共享 数据安全技术要求 》 《政务数据安全管理指南》 《河南省政务数据安全管理暂行办法》 《关于加强数字政府建设的指导意见》 ……《《国资监管数据管理暂行办法》 云中需要保护的数据类型YD/T 4060-2022 《云计算安全责任共担模型》云 服 务 客 户 数 据基于法律或者其他方面的原因，由云服务客户所控制的一类数据对象。这些数据对象包括输入到云服务的数据，或云服务客户通过已发布的云服务接口执行云服务所产生的数据。云 服 务 衍 生 数 据云 服 务 提 供 者 数 据由云服务客户和云服务交互所产生的云服务提供者控制的一类数据对象。包括：日志数据、授权用户数以及授权用户的身份、配置数据和定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用了什么功能和数据等。由云服务提供者控制，与云服务运营相关的一类数据对象。包括但不限制于资源的配置和使用信息，云服务特定的虚拟机信息，存储和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚拟机资源的故障率和运营成本等。云计算场景下的8类数据安全责任YD/T 4060-2022 《云计算安全责任共担模型》云中数据安全责任数据存储安全数据传输安全数据访问安全数据迁移安全数据销毁安全数据安全管理数据安全合规安全审查和取证建立“以数据为中心”的安全体系安全组织能力架构与职能安全技术能力数据资产分布数据分类分级数据安全审计安全管理能力数据安全防护数据识别数据防泄漏数据动静态脱敏数据加密数据备份容灾数据标签数据访问控制数据安全擦除可信环境保障数据安全智能管控部门及角色业务及权责人员与能力协作与监督数据改进合规要求业务需求现状风险驱动数据生命周期用户行为分析环境网络安全物理安全应用安全设备安全接入安全云安全密码管理时间同步安全基础设施身份认证规划（P）执行（D）检查（C）纠正（A）治理评估统一策略下发治理评估能力建设审计核查持续改进能力支撑情报支撑安全服务运营维护应急响应策略管理办法流程 规范 指南 模板计划 报告 记录 日志建立“以数据为中心”的安全体系包括组织、管理、技术能力三个维度，通过治理评估持续改进，通过数据安全运营能力确保数据安全治理体系持续有效运行。数据安全保障体系的四个维度决策层（高级管理人员及数据安全官）管理层（数据安全管理团队）监督层（审计部门、人员）执行层（数据安全运营、技术团队）参与层（员工及合作伙伴）运行维护安全咨询安全评估威胁情报安全整改上线检查运维保障应急响应……组织体系管理体系运营体系技术体系采集存储处理交换传输销毁大数据安全管控访问控制安全审计属地限制数据加密授权许可访问控制安全