企业网络安全合规框架体系

云安全联盟大中华区发布报告《企业网络安全合规框架体系》(以下简称报告),该报告对典型业务场景给出了参考实例,供广大甲方单位、集成商、咨询机构参考。企业网络安全合规框架体系_第1张图片
近些年,随着国内网络安全领域相关法律、法规、政策文件、标准规范的发布和完善,我国目前已经建立了比较完善的网络安全法律法规政策体系。

企业在越发复杂的业务场景下,其安全需求的驱动力主要来自三个方面:

1、合规驱动:逐渐完善的网络安全监管体系,给企业开展网络安全合规建设提出了更高的要求。

2、事件驱动:各种0Day事件、开源框架漏洞事件、供应链安全事件,以及层出不穷的勒索病毒、挖矿病毒,为企业的供应链安全提出了更加严峻的挑战。

3、风险驱动:APT攻击、商业黑客、运维人员误操作、内部人员恶意操作等事件,为企业的网络安全带来了极大威胁。
企业网络安全合规框架体系_第2张图片

面对此种情况,很多企业感觉开展网络安全建设千头万绪,无从下手,因此需要有一个通用的、普适性的企业网络安全合规框架体系,为企业开展网络安全建设提供参考依据,并且要结合业界目前已经广泛使用的技术,如云计算、云原生、零信任、SASE等,并结合数据安全保护、个人信息保护、安全运营等场景化的需求,CSA GCR组织相关领域专家,编写了《企业网络安全合规框架体系》,为企业网络安全合规体系建设提供参考。

该企业网络安全合规框架体系为“1+2+SEC+N+1”架构。即:1个云安全底座+2个中台(网络安全能力中台+数据安全中台)+SEC(安全即服务)+N个业务场景+1个安全运营中心。

1个云安全底座

负责保障企业内部私有云、混合云安全,考虑到很多企业内部还存在传统网络,如IDC等场景,因此也需要按照等级保护2.0“一个中心,三重防护”的原则进行防护。

2个中台

包含网络安全能力中台和数据安全中台,网络安全能力中台内置六大能力:安全合规能力、资产管理能力、身份认证&授权能力、靶场仿真能力、攻防实战能力、大数据安全分析能力,为云上租户的业务系统、用户提供安全赋能,保障云上租户的业务安全。数据安全中台包括数据安全管理、数据安全技术、数据安全运营、个人信息保护的能力,为云上租户的数据安全提供赋能,保障数据全生命周期安全。

SEC

安全即服务(Security-as-a-Service),为云上租户提供安全托管MSS、MDR、SASE、风险监测、威胁狩猎、重保服务等安全服务。

N个场景

面向智慧金融、智慧政务、工业互联网等场景,提供场景化的安全保障。

1个安全运营中心

按照PPTD框架,即:People专业运营团队、Process安全处置流程、Technology大数据安全分析、Data安全大数据四个方面,建立安全运营体系。

整个框架体系遵循“三化六防”原则。

《企业网络安全合规框架体系》为企业开展网络安全建设提供了一种参考思路,也希望业界同仁提出修改建议,大家一起不断完善此框架。

你可能感兴趣的:(web安全,网络,安全)