《企业网络安全合规框架体系》.pptx

目 录 建立“ 以数据为中心 ”的安全体系 国内各行业数据安全监管要求 数据安全技术体系技术框架及建设分工 数据安全能力地图 企业网络安全合规框架体系 基于等级保护的云安全框架体系 网络安全法律法规政策合规要求分析 云原生安全合规建设框架 我国数据安全法律体系 云计算场景下的8类数据安全责任 数据安全治理体系运行过程 企业安全合规视角安全运营框架体系 企业安全需求的驱动力 云安全合规建设框架 零信任与SASE建设框架 云中需要保护的数据类型 数据安全保障体系的四个维度 企业个人信息保护体系 网络安全规划方法论 《企业网络安全合规框架体系》 由CSA大中华区专家撰写，感谢以下专家的贡献： 项目组组长：杨天识 主要贡献者： 吴潇、王玮、张建盛、刘旭、靳倩倩、秦柯、徐岩 贡献单位： 北京启明星辰信息安全技术有限公司 北京天融信网络安全技术有限公司 杭州安恒信息技术股份有限公司 深信服科技股份有限公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在 CSA 大中华区官网（https ://c- /research/） 上查看。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱research@；国际 云安全联盟CSA公众号。 致 谢 企业安全需求的驱动力 关基信息基础设施/云中心/大数据中心 struts2 《数据安全法》《个人信息保护法》 《密码法》 公安 1960 号文（三化六防） 勒索软件 Ransom 挖矿程序 Mining 《网络安全法》 《关基条例》 等保 2.0 HW 行动 网络安全法律法规政策合规要求分析 我国目前已经建立了比较完善的网络安全法律法规政策体系。 企业网络安全合规框架体系 企业网络安全合规框架体系为“ 1+2+SEC+N+1 ”架构。 云安全合规建设框架涵 盖公有云、私有云、混合云 和多云场景，从安全管理、 安全技术、安全运营和运维 几个维度进行设计，安全技 术从基础设施安全、虚拟化 安全、租户侧横向流量安全 和纵向安全展开设计。 云安全合规建设框架 云安全合规建设框架 涵盖公有云、私有云、混 合云和多云场景，从安全 管理、安全技术、安全运 营和运维几个维度进行设 计，安全技术从基础设施 安全、虚拟化安全、租户 侧横向流量安全和纵向安 全展开设计。 云原生安全合规建设框架 基于等级保护“一 个中心、三重防护 ”的云安全 框架体系，体现出云平台和云 租户安全责任分担的原则，并 要求云计算资源对对IaaS、 PaaS、SaaS层的租户提供不 同的安全服务。 基于等级保护的云安全框架体系 零信任与SASE建设框架 SASE 可以为云租户提供网络弹性接 入、安全服务、可以有效提升用户体 验以及降低企业IT运维成本。 l2017年习主席在中共中央政治局第二次集体学习时强调 ，“要切 实保障国家数据安全，要加强关键信息基础设施安全保护，强化国 家关键数据资源保护能力，增强数据安全预警和溯源能力。 ” l2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素 市场化配置体制机制的意见》 ，明确提出“加快培育数据要素市 场 ”，包括推进政府数据开放共享，提升社会数据资源价值，加强 数据资源整合和安全保护。 我国数据安全法律体系 01 数据安全领域基础性法律体系三驾马车 国家法律是开展数据安全保护的依据 数据安全有法 可依 数据安全治理 体系 国家层面新高 度 02 03 《个人信息保护法》 《数据安全法》 《网络安全法》 电信 行业 《电信和互联网用户个人信息保 护规定》（24号令） 《电信和互联网数据安全评估规 范》 《关于做好2020年电信和互联网行 业网络数据安全管理工作的通知》 《电信领域重要数据和核心数据识 别指南》 《2021年基础电信企业行业数据安 全标准贯标工作方案的通知》 《电信和互联网行业数据安全标准 体系建设指南 》 《基础电信企业数据分类分级防范》 …… …… 能源 行业 《电力行业网络与信息安全管理 办法》 《中华人民共和国能源法(征求意见 稿) 》 《《国资监管数据管理暂行办法》 国内各行业数据安全监管要求 政务 行业 金融 行业 …… …… 基于法律或者其他方面的原因，由云服务客户所控制的一类数据对 象。这些数据对象包括输入到云服务的数据，或云服务客户通过已 发布的云服务接口执行云服务所产生的数据。 i--------------------------。 云中需要保护的数据类型 由云服务提供者控制，与云服务运营相关的一类数据对象。包括但 不限制于资源的配置和使用信息，云服务特定的虚拟机信息，存储 和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚 拟机资源的故障率和运营成本等