《2024企业网络安全合规框架体系建设指南.docx》由会员分享,可在线阅读,更多相关《2024企业网络安全合规框架体系建设指南.docx(28页珍藏版)》请在课桌文档上搜索。
1、企业安全需求的驱动力云安全合规建设框架零信任与SASE建设框架云中需要保护的数据类型数据安全保障体系的四个维度企业个人信息保护体系网络安全规划方法论网络安全法律法规政策合规要求分析云原生安全合规建设框架我国数据安全法律体系云计算场景下的8类数据安全责任数据安全治理体系运行过程企业安全合规视角安全运营框架体系企业网络安全合规框架体系基于等级保护的云安全框架体系国内各行业数据安全监管要求建立“以数据为中心”的安全体系数据安全技术体系技术框架及建设分工数据安全能力地图企业安全需求的驱动力中华人民共粕国网络安全法合规驱动中隼入K共和Bl个人信息保护法中华人民灰和国密科法S.Irt119BOMM.*e*
2、M-9公安1960号文(三化六防)事件驱动StrUtS20larvvndspring关基信息基础设施/云中心/大数据中心风险驱动OceanLotus高持续性威胁1T.AdvancedPersistentThreat,一二,二一2PowerOutageCausedbyHackersFl-RlwlE网络安全法律法规政策合规要求分析我国目前已经建立了比较完善的网络安全法律法规政策体系。2003年8月26日1网年2月18 H2016 年 12 月 27 H2012 年 6 月 28 日闰米网络&IW安金松电发布2017 年 1 月 IOfI2017年6月I日2017 年 3 月 IH2019年12月1
3、日等级保护2.0 Atf2020 年 7 月 22 H2020年1月1日2021年9月1日2021年9月1日物卅安全法*hMM2021 *r 11 H I 2022 年 3 月 28 H2021隼9月I日2022 年 2 月 15 HX第产品安令洞管丹螳定行国篝就关于大力推造信息化发 展融的水保障片应安全的4f fi 见(国发I2012J23号) 发布中华人怜共和国大0C, 拙设处安全 保护条例(国务筑令*745t) *tf网店安全审食办法h关于薄裳网格安全保护.点捣. 人实*网络安全需蛾保妒M度的指铮堂L)公河安U221HttK号)发布中华人民以和国计。机信 国农信息化*9小fii关i Ml
4、 且余缴安全保护条例(国务 强伯恩安全保障I作的且她K第M7号 发布(中办&【2003127号)发布贵M魅赛M热安全03保护 MM和K信恩基娥设施安全 京用法什 保护制度的指SJtt见公网 安2020H960号)发网格中旬乐合代城略发布国*网络安全事件戍加传蜜发布2022年9月I日“鼾州地安全舟估办法Atr个人伯恩保妒”Mtr2023年1月3日13电箸I六部门修台印发美促透*维安全广发”的m3儿企业网络安全合规框架体系企业网络安全合规框架体系为“1+2+SEC+N+1”架构。网第安至.力中台2个柏等SaaS层的租户提供不同的安全服务。零信任与SASE建设框架SASE可以为云租户提供网络弹性接入
5、、安全服务、可以有效提升用户体验以及降低企业IT运维成本。安全专拿咨询I1SD-WAN网络接入/提应体物肋体和产率分寅(皿)(OW)()(3(g”)(WgmtRJ3zSM)m(降低企业T运雄成本(TCO)和企业安全风险我国数据安全法律体系国家法律是开展数据安全保护的依据2020年4月9日,印发关于构建更加完善的要素市场化配置体制机制的意见,明确提出“加快培育数据要素市场”,包括推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。国家层面新高数据安全治理数据安全有法度标素,可依L皿网皿网皿g网络安全法数据安全法个人信息保护法数据安全领域基础性法律体系三驾马车国内各行业数据安全
6、监管要求融业金行中国人民银行网络数据安全管理指南金触科技(FinTeeh)发展规划(2019-2021年)网上银行系统信息安全通用规范关于开展金融科技应用风险专项摸排工作的通知银行业金融机构数据治理指引金融数据安全数据安全分级指南金融数据安全数据生命周期安全规范电信行业电信和互联网用户个人信息保护规定(24号令)关于做好2020年电信和互联网行业网络数据安全管理工作的通知2021年基础电信企业行业数据安全标准贯标工作方案的通知1基础电信企业数据分类分级防范(电信和互联网数据安全评估规范(电信领域重要数据和核心数据识别指南电信和互联网行业数据安全标准体系建设指南源业能行(电力行业网络与信息安全管
7、理办法(中华人民共和国能源法(征求意见稿)国资监管数据管理暂行办法政务行业政务信息资源共享管理暂行办法关于政务信息系统整合共享实施方案的通知(中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要关于加强数字政府建设的指导意见信息安全技术政务信息共享数据安全技术要求政务数据安全管理指南河南省政务数据安全管理暂行办法云服务衍生数据云服务提供者数据云中需要保护的数据类型基于法律或者其他方面的原因,由云服务客户所控制的一类数据对象。这些数据对象包括输入到云服务的数据,或云服务客户通过已发布的云服务接口执行云服务所产生的数据。由云服务客户和云服务交互所产生的云服务提供者控制的一类数据
8、对象。包括:日志数据、授权用户数以及授权用户的身份、配置数据和定制化数据。其中,日志数据记录了谁在什么时间使用了服务,使用了什么功能和数据等。由云服务提供者控制,与云服务运营相关的一类数据对象。包括但不限制于资源的配置和使用信息,云服务特定的虚拟机信息,存储和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚拟机资源的故障率和运营成本等。云计算场景下的8类数据安全责任安全审查和取证数据存储安全数据传输安全云中数数据安EzS.数据访全合规循女王问安全数据安全管理数据迁移安全责任数据销毁安全建立“以数据为中心”的安全体系建立“以数据为中心”的安全体系包括组织、管理、技术能力三个维度,通过治理
9、评估持续改进,通过数据安全运营能力确保数据安全治理体系持续有效运行。治理评估安全组织能力能力支撑治理评估能力建设审计核查规划驱动业务需求现状风险统一策略下监物理安全数据识别应用安全数据加密可信环境保障数据架构与职能部门及角色r业务及权责人员与能力协作与监督安全管理能力管理办法计划报告记录日志流程规范指南模板安全技术能力数据安全防护云安全密码管理身份认证检查JcL安全服务数据备份容灾时间同步运营维护应急响应数据安全保障体系的四个维度决策层(高级管理人员及数据安全官)管理层(数据安全管理团队)监督层(审计部门、人员)执行层(数据安全运营、技术团队)参与层(员工及合作伙伴)组织体系运营体系进行约束对
10、数据安全治理管理体系技术体系数据全生命周期安全防护技术3E,:访问控时H捻加密授权许可JM控制t*IGIMMHnI累此校破.,.的向控M我全审计找E4济可授权许可Mmu安全审计安全擦除fWDLPT存储DLP数据库安全网关MftJDLPIg8DLPI行为监控.占利;HR!斯分级分类潮磨军计荆俭m也访问控制愫作审计M络圈校M阻断潘演示计文样扫Ji-他:数据校政乙、,皎出山依各份海灾I文档安全管理IVPN僦)存微tt三se权JR投制外发亩校伯电0Kfie数据安全治理体系运行过程数据安全治理体系运行过程包括围绕组织、管理、技术三个维度进行建设,通过定期治理评估发现差距不断完善体系的建设,通过定期审计发
11、现问题,使得数据安全治理体系持续改进。治理评估i架构与职能部门及角色业务及权责人员与能力协作与监督审计改进治理目标组织评估管理评估业务业务梳理管理需求梳理合规风险数据识别管理现状梳理执行情况风险评估基线目标风险事件主要问题管理制度建设一级方针和总纲二级管理制度和管理办法三级流程、规范、指南、模板四级计划、报告、记录、日志措施评估差距分析技术建设能力目标方案设计产品实施策略实施验证确认数据安全技术体系技术框架及建设分工数据监督者通过数据安全监管中心集中下发管控策略,管理和监控数据安全资产、数据安全风险态势的总体情况;数据托管者接收数据安全能力中心统一的安全技术能力,包括基础环境安全能力和数据安全
12、技术能力,同时接收数据安全监管中心下发的策略;数据所有者、提供者的数据受到统一管理和保护,数据全生命周期的数据执行情况被审计和监控。数据安全监管中心数据叫服务了台统一资产管理统一分级管理统二策略下发生命周期监控实体行为分析全域资产呈现动态数据流监测安全风险趋势审批评估决策数据监督者数据安全能力中心等级保护基础环境安全统一统一统一统一统一统一统一统一统一统一身份配置访问记录内容标识加密脱敏泄露备份管理管理控制市计识别管理空理屋理监控包合规采集安全传输可靠存储分级处理)可控交换有效销毁数据托管者数据安全应用执行网络可用性逻辑隔离I传输加密-I媒体安全环境安全接口安全I扑质错毁I过程安全安全毁企业个
13、人信息保护体系企业个人信息保护体系的建设主要包含个人信息识别、个人信息处理活动安全、个人信息支撑环境安全、安全管理、个人主体权益组成。首先要从个人信息识别作为起点,逐步囊括个人信息分类处理,个人信息处理条件、个人信息处理规则等需求和场景。其次以个人信息支撑环境安全为基础,在实现通信、存储、计算、供应链等安全的基础上,加强个人信息全生命周期的安全保障,个人信息生命周期包含了从信息收集到信息销毁等一系列个人信息处理活动。同时,还应建立配套的安全管理要求贯穿始终,明确的个人主体权益保障,逐步提高企业个人信息数据合规水平,实现企业个人信息安全体系的建设。安全管理责任人责任部门应急预案安全事件告知人员管
14、理与培训记录管理合规审计个人信息识别个人信息分类处理B个人信息处理条件个人信息处理规则个人信息处理义务4个人信息跨境传输信息收集信息存储信息使用信息传信息J提:供处理活动安全信息加工通信环境安全存储环境安全计算环境安全供应链安全个人信息保护支撑环境安全个人主体权益查询更正删除撤回授权同意被遗忘获取副本响应投诉企业安全合规视角安全运营框架体系企业安全合规视角安全运营框架体系,依托安全技术体系,为安全管理合规提供必要的支撑与输入,在当前多样安全标准、安全监管的态势下,形成符合企业自身的合规图谱,实现安全合规可量化、可展示,提升合规响应效率,降低安全合规风险。I风电防控盒态化I女士防露实奴化j合规唱
15、应流程生-auttostjI逅母沿境体余牝女版可现化I运专势合规振一调僮风险控制合规招标1.优化I支撑数据安全能力地图企业数据安全治理实施五步走。数据安全能力地图描绘的是企业开展数据安全治理工作应该遵循的能力要素,顶层视角包括“道、法、术、器”数据安全需求的驱动力和企业开展数据安全治理的原则。企业开展数据安全治理的技术体系、管理体系、运营体系。现状和需求分析企业网络安全总方针法律法规要求上级监管要求网络安全标准需求行业最佳实践经验网络安全规划方法论安全运营体系设计网络安全规划安全发展战略定义安全技术体系设计安全管理体系设计网络安全愿景、目标和原则实施总体策略网络安全实施路线图项目任务内容实施方式项目实施路线图风险及规避
