2024企业网络安全合规框架体系建设指南.docx

企业安全需求的驱动力云安全合规建设框架零信任与SASE建设框架云中需要保护的数据类型数据安全保障体系的四个维度企业个人信息保护体系网络安全规划方法论网络安全法律法规政策合规要求分析云原生安全合规建设框架我国数据安全法律体系云计算场景下的8类数据安全责任数据安全治理体系运行过程企业安全合规视角安全运营框架体系企业网络安全合规框架体系基于等级保护的云安全框架体系国内各行业数据安全监管要求建立“以数据为中心”的安全体系数据安全技术体系技术框架及建设分工数据安全能力地图企业安全需求的驱动力中华人民共粕国网络安全法合规驱动中隼入K共和Bl个人信息保护法中华人民灰和国密科法S.Irt119BOMM.<,:；.J>*e*M-<i.一中华人民共和国公安部的指导就WJ的曲网络安全法数据安全法个人信息三t）密码法关基条例等保2.0CXM)*M>9公安1960号文（三化六防）事件驱动StrUtS20larvvndspring关基信息基础设施/云中心/大数据中心风险驱动OceanLotus高持续性威胁1T.AdvancedPersistentThreat,一二,二一2PowerOutageCausedby>Hackers'Fl-RlwlE网络安全法律法规政策合规要求分析我国目前已经建立了比较完善的网络安全法律法规政策体系。2003年8月26日1网年2月18 H2016 年 12 月 27 H2012 年 6 月 28 日闰米网络&IW安金松电发布2017 年 1 月 IOfI2017年6月I日2017 年 3 月 IH2019年12月1日等级保护2.0 Atf2020 年 7 月 22 H2020年1月1日2021年9月1日2021年9月1日物卅安全法*hMM2021 *r 11 H I 2022 年 3 月 28 H2021隼9月I日2022 年 2 月 15 HX第产品安令洞管丹螳定行国篝就关于大力推造信息化发 展融的水保障片应安全的4f fi 见（国发I2012J23号>） 发布中华人怜共和国大0C, 拙设处安全 保护条例（国务筑令*745t） > *tf网店安全审食办法«h关于薄裳网格安全保护.点捣. »人实*网络安全需蛾保妒M度的指铮堂L）公河安U»221HttK号）发布中华人民以和国计。机信 国农信息化*9小fii关i Ml 且余缴安全保护条例（国务 强伯恩安全保障I作的且她K第M7号> > 发布（中办&【2003127号）发布贵M魅赛M热安全03保护 MM和K信恩基娥设施安全 «京用法什 保护制度的指SJtt见公网 安2020H960号）发网格中旬乐合代城略发布国*网络安全事件戍加传蜜发布2022年9月I日“鼾州地安全舟估办法Atr个人伯恩保妒”Mtr2023年1月3日13电箸I六部门修台印发美促透*维安全广发”的m3儿企业网络安全合规框架体系企业网络安全合规框架体系为“1+2+SEC+N+1”架构。网第安至.力中台2个柏等<1一XBftIPMMZDfMMAUIWttn»*»««IAM/»042fAMFAtKCAMfamWf4MIIkMMro50WMABIMMATTACKIBCMIBMAIHa”力I三rwvtn1Q9aIM力1MB力1IIXArt¼全力探W安»!«(MrtB安生中台云安全合规建设框架安全达营威胁情报态势掇知威胁监测应急响应日志审计云堡垒机安全运维 基线核花漏洞修复监控告警达维审计风险押估物理与环境安全云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。云原生安全合规建设框架云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。-tH务安¼二W务国塔m履善安÷B不抻安÷通信加密传统攻击防护应用代码审计七朦务平台认证授权无服务平台账户安全接口安全防护依赖陈安全业务资产梳理无服务平台访问控制函数应用安全双向加密最小化授权缺省拒绝联域Jfi务不离补丁更新比置有效性怆育舞露面管控规范化访制请求微服务应用APl安全通用安全技KI认证投比I云原生APl网关微服务APl能弱性评估傥服务应用通信安全微服务应用凭讦管挥IHiS审计I基砒祖件女全配J?集中管控、检测和审计区扑平门最小化组件编排平台网络安全咨界安全慨像及壮浑安全玷行时安全内核安全主机航日榨传轴室构建安全镇住金潭访问桂网册KtI格勒拿代码椅制在区仓“安全1球，BUild文件A*AR/r赁每希篇性评伟惶像仓涔安全沮侑戒劭检测威胁住瞽当容安至加四ACKQfliM惟像6座附限询理访向控制选口IMiHf为拾到E行M最护配血7Q1自主机安至卸血核存家传/安全遹像。，事“广警入侵防护浅信可视化*行仄境安全Mifl守护且税及文MflflKft仓底镇球必描憧像仓南容灾备份(1动府向葬索行为办1及拧斯资源加固与隰离率指平台版本拧M埔持平台安全加固秘钥靴理I端拄独踩I资产舱收III安全供域边界II安全04心云安全It 曜窣台aa*VPN防火流校云安全注KVCA iiW8次科皆理IAM*ttV9日志曾殍运计Nr? nw 阿雳胸考B基于等级保护的云安全框架体系基于等级保护“一个中心、三重防护”的云安全框架体系，体现出云平台和云租户安全责任分担的原则，并要求云计算资源对对laaS、PaaS>SaaS层的租户提供不同的安全服务。零信任与SASE建设框架SASE可以为云租户提供网络弹性接入、安全服务、可以有效提升用户体验以及降低企业IT运维成本。安全专拿咨询I1SD-WAN网络接入/提应体物肋体和产率分寅(皿)(OW)()(3(g”)(WgmtRJ3zSM)m(降低企业T运雄成本(TCO)和企业安全风险我国数据安全法律体系国家法律是开展数据安全保护的依据2020年4月9日，印发关于构建更加完善的要素市场化配置体制机制的意见，明确提出“加快培育数据要素市场”，包括推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。国家层面新高数据安全治理数据安全有法度标素,可依L皿网皿网皿g网络安全法数据安全法个人信息保护法数据安全领域基础性法律体系三驾马车国内各行业数据安全监管要求融业金行中国人民银行网络数据安全管理指南金触科技（FinTeeh）发展规划（2019-2021年）网上银行系统信息安全通用规范关于开展金融科技应用风险专项摸排工作的通知银行业金融机构数据治理指引金融数据安全数据安全分级指南金融数据安全数据生命周期安全规范电信行业电信和互联网用户个人信息保护规定（24号令）关于做好2020年电信和互联网行业网络数据安全管理工作的通知2021年基础电信企业行业数据安全标准贯标工作方案的通知1基础电信企业数据分类分级防范（电信和互联网数据安全评估规范（电信领域重要数据和核心数据识别指南电信和互联网行业数据安全标准体系建设指南源业能行（电力行业网络与信息安全管理办法（中华人民共和国能源法（征求意见稿）国资监管数据管理暂行办法政务行业政务信息资源共享管理暂行办法关于政务信息系统整合共享实施方案的通知（中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要关于加强数字政府建设的指导意见信息安全技术政务信息共享数据安全技术要求政务数据安全管理指南河南省政务数据安全管理暂行办法云服务衍生数据云服务提供者数据云中需要保护的数据类型基于法律或者其他方面的原因，由云服务客户所控制的一类数据对象。这些数据对象包括输入到云服务的数据，或云服务客户通过已发布的云服务接口执行云服务所产生的数据。由云服务客户和云服务交互所产生的云服务提供者控制的一类数据对象。包括：日志数据、授权用户数以及授权用户的身份、配置数据和定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用了什么功能和数据等。由云服务提供者控制，与云服务运营相关的一类数据对象。包括但不限制于资源的配置和使用信息，云服务特定的虚拟机信息，存储和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚拟机资源的故障率和运营成本等。云计算场景下的8类数据安全责任安全审查和取证数据存储安全数据传输安全云中数数据安÷EzS.数据访全合规循女王问安全数据安全管理数据迁移安全责任数据销毁安全建立“以数据为中心”的安全体系建立“以数据为中心”的安全体系包括组织、管理、技术能力三个维度，通过治理评估持续改进，通过数据安全运营能力确保数据安全治理体系持续有效运行。治理评估安全组织能力能力支撑治理评估能力建设审计核查规划驱动业务需求现状风险统一策略下监物理安全数据识别应用安全数据加密可信环境保障数据架构与职能部门及角色r业务及权责人员与能力协作与监督安全管理能力管理办法计划报告记录日志流程规范指南模板安全技术能力数据安全防护云安全密码管理身份认证检查JcL安全服务数据备份容灾时间同步运营维护应急响应数据安全保障体系的四个维度决策