2024企业网络安全合规框架体系建设指南

企业网络安全合规框架体系建设目录目录企业安全需求的驱动力网络安全法律法规政策合规要求分析 企业网络安全合规框架体系 云安全合规建设框架云原生安全合规建设框架 基于等级保护的云安全框架体系 零信任与SASE建设框架我国数据安全法律体系 国内各行业数据安全监管要求 云中需要保护的数据类型云计算场景下的8类数据安全责任 建立“以数据为中心”的安全体系 数据安全保障体系的四个维度数据安全治理体系运行过程 数据安全技术体系技术框架及建设分工 企业个人信息保护体系企业安全合规视角安全运营框架体系 数据安全能力地图 网络安全规划方法论企业安全需求的驱动力企业安全需求的驱动力 合规驱动合规驱动

《关基条例》

等保2.0

公安1960号文（三化六防）

HW行动勒索软件Ransom勒索软件Ransom挖矿程序Mining2风险驱动事件驱动关基信息基础设施/云中心/大数据中心2风险驱动事件驱动网络安全法律法规政策合规要求分析网络安全法律法规政策合规要求分析我国目前已经建立了比较完善的网络安全法律法规政策体系。企业网络安全合规框架体系企业网络安全合规框架体系企业网络安全合规框架体系为“1+2+SEC+N+1”架构。云安全合规建设框架云安全合规建设框架云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。云原生安全合规建设框架云原生安全合规建设框架云安全合规建设框架涵盖公有云、私有云、混合云和多云场景，从安全管理、安全技术、安全运营和运维几个维度进行设计，安全技术从基础设施安全、虚拟化安全、租户侧横向流量安全和纵向安全展开设计。基于等级保护的云安全框架体系基于等级保护的云安全框架体系基于等级保护“一个中心、三重防护”的云安全框架体系，体现出云平台和云租户安全责任分担的原则，并要求云计算资源对对IaaS、PaaS、SaaS层的租户提供不同的安全服务。零信任与SASE建设框架零信任与SASE建设框架SASE可以为云租户提供网络弹性接入、安全服务、可以有效提升用户体验以及降低企业IT运维成本。我国数据安全法律体系我国数据安全法律体系国家法律是开展数据安全保护的依据数据安全有法可依国家层面新高度数据安全治理体系2020年4月9化配置体制机制的意见》，明确提出“加快培育数据要素市场”，包括推和安全保护。数据安全有法可依国家层面新高度数据安全治理体系010102《数据安全法》03《个人信息保护法》数据安全领域基础性法律体系三驾马车国内各行业数据安全监管要求国内各行业数据安全监管要求《中国人民银行网络数据安全管理指南》《金融科技（FinTech）发展规划《中国人民银行网络数据安全管理指南》《金融科技（FinTech）发展规划（2019-2021年）》《银行业金融机构数据治理指引》《金融数据安全数据安全分级指南》范》《金融数据安全数据生命周期安全规范》《关于开展金融科技应用风险专项摸排工作的通知》……《电信和互联网用户个人信息保护规定》（24号令）《电信和互联网用户个人信息保护规定》（24号令）《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》《2021年基础电信企业行业数据安全标准贯标工作方案的通知》《基础电信企业数据分类分级防范》《电信和互联网数据安全评估规范》《电信领域重要数据和核心数据识别指南》《电信和互联网行业数据安全标准体系建设指南》……《电力行业网络与信息安全管理办法》《电力行业网络与信息安全管理办法》《中华人民共和国能源法(征求意见稿)》《《国资监管数据管理暂行办法》行业 ……《政务信息资源共享管理暂行办法》《政务信息资源共享管理暂行办法》《关于政务信息系统整合共享实施方案的通知》《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《关于加强数字政府建设的指导意见》《信息安全技术政务信息共享数据安全技术要求》《政务数据安全管理指南》《河南省政务数据安全管理暂行办法》……云中需要保护的数据类型云中需要保护的数据类型基于法律或者其他方面的原因，由云服务客户所控制的一类数据对象。这些数据对象包括输入到云服务的数据，或云服务客户通过已象。这些数据对象包括输入到云服务的数据，或云服务客户通过已云服务客户数据发布的云服务接口执行云服务所产生的数据。云服务衍生数据定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用云服务衍生数据定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用了什么功能和数据等。由云服务提供者控制，与云服务运营相关的一类数据对象。包括但不限制于资源的配置和使用信息，云服务特定的虚拟机信息，存储云服务提供者数据云服务提供者数据和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚拟机资源的故障率和运营成本等。YD/T4060-2022《云计算安全责任共担模型》云计算场景下的8类数据安全责任云计算场景下的8类数据安全责任安全审查和取证数据安全合规数据安全管理

数据存储安全云中数据安全责任数据销毁安全

数据传输安全数据访问安全数据迁移安全YD/T4060-2022《云计算安全责任共担模型》建立“以数据为中心”的安全体系建立“以数据为中心”的安全体系建立“以数据为中心”的安全体系包括组织、管理、技术能力三个维度，通过治理评估持续改进，通过数据安全运营能力确保数据安全治理体系持续有效运行。治理评估治理评估合规要求情报支撑治理评估架构与职能合规要求情报支撑治理评估

安全组织能力改进规划（P）策略改进规划（P）策略驱动

能力支撑安全管理能力安全管理能力检查（C）计划报告记录日志现状风险流程规范指南模板执行（D）检查（C）计划报告记录日志现状风险流程规范指南模板执行（D）纠正（A）管理办法业务需求安全服务能力建设数据安全智能管控数据分类分级

数据生命周期

数据资产分布

数据安全审计

用户行为分析

统一策略下发审计核查物理安全审计核查

可信环境保障

网络安全

数据安全防护运营维护数据识别 数据防泄漏运营维护应用安全

环境 设备安

数据标签

数据动静态脱敏数据持续改进云安全持续改进

接入安全

数据加密 数据备份容灾应急响应数据访问控制 数据安全擦除应急响应密码管理

安全基础设施身份认证

时间同步数据安全保障体系的四个维度数据安全保障体系的四个维度管理体系技术体系对数据安管理体系技术体系对数据安全治理策略管理办法管理规范、标准指南、细则、操作手册、记录数据全生命周期安全防护技术采集 存储 处理 交换 传输 销大数据安全管控授权许可 访问控制 授权许可访问控制 安全审计 访问控制安全审计 属地限制 安全审计溯源审计 数据加密 溯源审计数据脱敏 数据脱敏授权许可访问控制安全审计溯源审计数据脱敏授权许可属地限制授权许可安全审计安全擦除终端DLP行为监控泄漏阻断泄漏审计存储DLP数据扫描分级分类智能加密备份容灾数据备份数据恢复VPN传输加密网络DLP网络监控泄漏阻断泄漏审计存储DLP文件扫描安全擦除数据库安全网关访问控制操作审计备份存储数据归档文档安全管理权限控制外发审核决策层（高级管理人员及数据安全官）管理层（数据安全管理团队）监督层决策层（高级管理人员及数据安全官）管理层（数据安全管理团队）监督层（审计部门、人员）执行层（数据安全运营、技术团队）参与层（员工及合作伙伴）组织体系运营体系运行维护安全咨询安全评估威胁情报安全整改上线检查运维保障应急响应……数据安全治理体系运行过程数据安全治理体系运行过程措施评估追踪溯源风险评估基线目标应急处置数据识别业务梳理异常分析管理评估计划、报告、记录、日志四级流程、规范、指南、模板三级管理制度和管理办法二级方针和总纲一级管理制度建设管理现状梳理需求梳理措施评估追踪溯源风险评估基线目标应急处置数据识别业务梳理异常分析管理评估计划、报告、记录、日志四级流程、规范、指南、模板三级管理制度和管理办法二级方针和总纲一级管理制度建设管理现状梳理需求梳理威胁情报主要问题业务审计记录组织评估威胁情报主要问题业务审计记录组织评估治理目标架构与职能部门及角色业务及权责人员与能力协作与监督运行监控治理目标架构与职能部门及角色业务及权责人员与能力协作与监督运行监控差距分析能力目标方案设计产品实施策略实施验证确认改进优化差距分析能力目标方案设计产品实施策略实施验证确认改进优化数据安全技术体系技术框架及建设分工数据安全技术体系技术框架及建设分工全域资产呈现 动态数据流监测 安全风险趋势 全域资产呈现 动态数据流监测 安全风险趋势 审批评估决策统一资产管理数据安全服务平台实体行为分析生命周期监控统一策略下发统一分级管理数据监督者 数据托管者合规采集安全传输可靠存储分级处理可控交换有效销毁双因素 双向认定 合规鉴别记录 传输加密 媒体安全 环境安全 接口安全 介质销毁加密 脱敏认定 合规 类 数据所有者、提供者网络可用性逻辑隔离过程安全共享安全逻辑销毁加密 脱敏 识 存储加密定时实时异地备份容灾数据脱敏加密导入导出安全开放安全 理 企业个人信息保护体系企业个人信息保护体系活动安全、个人信息支撑环境安全、安全管理、个人主体权益组建立配套的安全管理要求贯穿始

安全管理责任人责任人责任部门责任部门应急预案应急预案安全事件告知安全事件告知

信 信 信息 息 息收 存 使集 储 用

个人信息识别个个人信息识别个个个个个个人个人人人人信人信信信信息信息息息息保息分处处处护跨类理理理影境处条规义响传理件则务评输信信信信信

个人主体权益查询更正删除撤回授权同意被遗忘合规审计记录管理人员管理与培训步提高企业个人信息数据合规水建设。合规审计记录管理人员管理与培训

个人信息处理活动安全通信环境安全 存储环境安全 计算环境安全通信环境安全存储环境安全计算环境安全供应链安全供应链安全

响应投诉企业安全合规视角安全运营框架体系企业安全合规视角安全运营框架体系企业安全合规视角安全运营框架体系，依托安全技术体系，为安全管理合规提供必要的支撑与输入，在当前多样安全标准、安全监管的态势下，形成符合企业自身的合规图谱，实现安全合规可量化、可展示，提升合规响应效率，降低安全合规风险。数据安全能力地图数据安全能力地图数据安全能力地图描绘的是企业开展数据安全治理工作应该遵循的能力要素，顶层视角包括“道、法、术、器”数据安全需求的驱动力和企业开展数据安全治理的原则。企业数据安全治理实施五步走。企业开展数据安全治理的技术体系、