2024企业网络安全合规框架体系建设指南

目录

1企业安全需求的驱动力网络安全法律法规政策合规要求分析

云原生安全合规建设框架

我国数据安全法律体系

云计算场景卜的8类数据安全责任

数据安全治理体系运行过程

企业个人信息保护体系1企业安全合规视角安全运营框架体系1

网络安全规划方法论

企业安全需求的驱动力

fi

中华人民共和国公安部

♦•人KA阿。中，Mem*MV（X0H一，

**e«2个人aaMaa

合规艮1外退＜ft■第会全号・保护

«1大~“侑组"全保炉M

驱动的amt"g

《网络安全法》《数据安全法》《个人信息保护法》《密码法》公安1960号文（三化六防）HV行动

高持续性威胁XPT.

AdvancedPersistentThreat

事件Stg黑尊aarwind#风险

驱动LOCMJ^Jespring驱动

勒索软件Ransom挖矿程序Mining

网络安全法律法规政策合规要求分析

我国目前已经建立了比较完善的网络安全法律法规政策体系。

19弘年2月18H2003年8月26日2012«(6月28口20)6年12月27H

（中华人民K和国计《国*体4化11，小班另卜，

且拿工安个保护条例,脚善安令保障1作的♦兄展翱切女伙i•公总安个的内卜自

K*J8M7号）＞&«（中办发【23127号）＞发布M＜国发［2012）23号》＞**

30171T«JIIII»I743/11II20174I月10II

发*《国*网络安全事件应急停泉》发布

।二:：《网络安全质》修行

2.0*h

2020年1月IH202•年7，122fl20219)1IH2021年9用IH

《&内存女X*安除等&保护

■《中华人反共利叫美

加度，1大・仿必*砒&**令

＜

＜Ntm＞an保妒翻德的mea姐》（公xaASMatsi«fe«*

<«««*»>Btr便/*条例（W务院♦

安1208）1960号）发*

»74SM）＞atr

2021母9MlII2021<TII>1III皿年2月15H2022年3月28U

《"终产丛安令・料管唐震定》■"八〈X懦安全甲A办法》・忖《美f■夫X盗女金保护♦丸・■«

入次舱网络安全号”保护M度的？6?意

,HSS：《个人信息保妒法》iktr

儿》（公科安［2022］1058号）发布

2022扉9Ml口I一=_I3023年工M3日

««1|«州埴女金评依办珠》・打工弓睁*I六令卬发

《美i段进数抿安全户♦发M的报3意见》

企业网络安全合规框架体系

企业网络安全合规框架体系为“1+2+SEC+N+1”架构。

♦♦)•

CM/CM

—5<»..

wejMi

mMraATTACKMAM

安个W

云安全合规建设框架

安全讨卉赛合云・安全达首

公有云私“公1多云

威助情报

1云门户

云安全合规建设框架涵安全绢以

自助JR苏，］户

架构_________:

盖公有云、私有云、混合云态跨感知

1MSPaaSSMS1----

安全管理

和多云场景，从安全管理、制度喳助监测

会总机雁鹿*,防护度0管理咨荐安全崛号安全传蛤安全

安全技术、安全运营和运维

网@・博分份等旅事歧代考工■总拄AP】安全

人员安全应急响应

几个维度进行设计，安全技管博研I网离入侵陶柳故必安全m*rftw四舞和外警安全网附

IH商审计

术从基础设施安全、虚拟化供应链安

做网战访何佗由<1入侵防御ift量可硬化行为分析

全管拜1----

安全、租户侧横向流量安全云阴*机

迁移安全人手土H丁口

和纵向安全展开设计。安全运维

管理虐

1-,：女仝1访何控¥||资源;5拄||资源卤蜜通信安全I

悦秣找核代

业务连续源f0%E

性省理安访问控研侵注理离1入侵劭御M络M/fc访问投乜入侵枪器

全漏泥修乂

酒像安全只，检两」入侵直。

虎拟化安全|货源a-

海谕t博tn”加巩J____监控方警

基，工上in无？4ttakd依*:A

安础运缰审计

日志管理丛及核有t机入侵防御衣金泞箱安全区域划分访向控♦,网络入侵防。

全总

盘制「把rm/劭mj1代金加网1阿外成物怆住,「「：1，联,湎沪

隙1KPiTW

物理与环境安全

云原生安全合规建设框架

J♦ISFIHMQKGT^MIX不*

w潮俗加密传♦攻击防护,用代无一务平白。二如小上服务平仃账，［女勺।

云安全合规建设框架接II安全防护侬顿摩安全业务宽产恒烹尢服务平台助的控制由数应用女金

队(tI，，T位MV反An

涵盖公有云、私有云、混«版向大音［最小化授权族省担生|敏感胫务器岗

8补丁更衽［也置在效性检自《亦而管控］|双能化访“请求

合云和多云场景，从安全

£一原中网:/艇-API无弱件评估|

管理、安全技术、安全运RX*it

1__________1

营和运维几个维度进行设做服务R用API安全为服务应用通信安全|微圈务向用凭证管理

计，安全技术从基础设施且M肝加『•安个yy;集中;i足怜测和审“城川平门最小化组件编W平台：中也个|1©按地或1

安全、虚拟化安全、租户

资源加固与隔离重排中台版本柱,'编排平台安全加固秘钥曾坦

侧横向流量安全和纵向安

1urn及6从女拿片好时女金

全展开没计。演尸wu

内核登、］生机配一幡ft检■一―我生|，像6，*访＞1笈*Mzmtt|盟余代的方加

蓦自X仓就安全1口叫汶朽性+代场便66交±±c喊的口禽||威切昌■

女太凰川1!■―,…扁危情生用ut>.ita.tF4RjTr!f份向及制||端口网梯行为总涮

riit.wtoudi|1匕门笛蜃传检我十值保6座*件,警入侵||洸*化

1寸妒4叱0NC------------------------------

「行0城货乍aid［£自一。仓昨短欠打帽一像6存宫衣n动力力异常行为々黑及第抬

基于等级保护的云安全框架体系

I

基于等级保护“一

个中心、三重防护”的云安全IAAKt防火■

框架体系，体现出云平台和云&■亢*AntiCXM

租户安全责任分担的原则，并众噩均，VPH

要求云计算资源对对laaS、IPS/OS

PaaS、SaaS层的租户提供不同VPHWAF

的安全服务。防火■遇是M

■■■if

演■席，

•线・理

a«*it

零信任与SASE建设框架

安全（皿】[s]（皿0・）（■*•】

■劣[3M）[g）（—[m）（—][n降低

△企业

口运

提开全球

应分布维成

SASE可以为云租户提供网络弹性接

用

体八

入、安全服务、可以有效提升用户体验(TCO

、

用

户)和

验以及降低企业IT运维成本。

体

验企业

和

生安全

效

产风险

率

我国数据安全法律体系

国家法律是开展数据安全保护的依据

••2020年4月9日,印发《关于构建更加完善的要素市场化配置体

国家层面新高,数据安全治理■数据安全有法

制机制的意见》，明确提出“加快培育数据要素市场”，包括推进度・底索■可依

政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安

全保护。

国内各行业数据安全监管要求

《中国人民银行网络数据安全管《金融科技（FinTech）发展规划《网上银行系统信息安全通用规《关于开展金融科技应用风险专

金融理指南》＜20192021年）＞范》项摸掉工作的通知》

行业

《银行业金融机构数据治理指引》《金融数据安全数据安全分级指《金融数据安全数据生命周期安

南》全规范》

电信《电信和互联网用户个人信息保《关于做好2020年电信和互联网行《2021年基础电信企业行业数据安

《基础电信企业数据分类分级防范》

护规定》（24号令）业网络数据安全管理工作的通知》全标准贯标工作方案的通知》

业

行

《电信和互联网数据安全评估规《电信领域重要数据和核心数据识

《电信和互联网行业数据安全标准....

范》别指南》体系建设指南＞

能源

《电力行业网络与信息安全管理（中华人民共和国能源法（征求意见（《国资监管数据管理暂行办法》....

行业办法》稿）》

《政务信息资源共享管理哲行办《关于政务信息系统整合共享实《中华人民共和国国民经济和社会发展第《关于加强数字政府建设

法》施方案的通知》十四个五年规划和年远景目标纲要》

9手2035的指导意见》

《信息安全技术政务信息共享

《政务数据安全管理指南》《河南省政务数据安全管理暂行办法》

数据安全技术要求》.....

云中需要保护的数据类型

基于法律或者其他方面的原因，由云服务客户所控制的一类数据对

象.这些数据对象包括输入到云服务的数据，成云服务客户通过已

发布的云服务接口执行云服务所产生的数据。

由云服务客户和云服务交互所产生的云服务提供者控制的一类数据对

象。包括：口志数据、授权用户数以及授权用户的身份、配置数据和

定制化数据。其中，日志数据记录了谁在什么时间使用了服务，使用

S云服务衍生数据——了什么功能和数据等。

由公服务提供者控制，与公服务运营相关的类数据对象.包括但

不限制于资源的配置,和使用信息，云服务特定的虚拟机信息，存储

和网络资源配置信息、数据中心的整体配置和使用信息、物理和虚

茴云服务提供者数据拟机资源的故障率和运营成本等。

YD/T4060-2022《云计算安全责任共担模型》

云计算场景下的8类数据安全责任

数据存

安全审储安全

数据传

查和取

输安全

证

云中数

数据安数据访

全合规据安全问安全

责任

数据安数据迁

全管理移安全

数据销

毁安全

YD/T4060-2022《云计算安全责任共担模型》

建立“以数据为中心”的安全体系

安

全

赧

务

数据安全保障体系的四个维度

决策层

（高级管理人员及数据安全官）

管理层

（数据安全管理团队）

执行层监督层

（审计部门

（数据安全运营、技术团队）

、人员）

参与层

（员工及合作伙伴）

对数据全生命周期安全防护技术

进

数

行

大•抠■个留,话--、

据二

约1•«««»(•可

•etfWrt•

vf4»if•。生•一

安•安gt

束