构建普适通用的企业网络安全体系框架
日期:2023年07月26日 阅:109
在当今数字化时代,网络安全已成为企业保护信息资产和业务运行的重要任务。恶意攻击、数据泄露、网络病毒等威胁不断演进,给企业和个人带来了巨大风险。为了应对这一挑战,许多企业已经采取了一系列网络安全措施,如制定了网络安全政策和制度、部署了防火墙和入侵检测系统等技术工具、建立了安全事件响应机制等。然而,这些措施往往只是零散的应对特定问题,未能形成一个有机、整体的网络安全体系。因此,企业可能面临诸如部门协调和合作不足、安全措施缺乏整体规划和一致性、人才匮乏以及安全意识不足等问题和挑战,使得企业难以全面有效地保护信息资产和业务。
为了解决这些问题,企业需要建立一个整体的网络安全体系框架,将治理、管理、组织、制度、技术和运营等方面的安全工作有机地结合起来,形成协同作用,以实现全面的安全防护和风险管理。这样的网络安全体系框架不仅能够提升企业的网络安全能力,还能够促进业务的可靠运行和持续发展。
在本文中,我们将介绍针对我国大多数组织普适通用的网络安全体系框架的构成要素和体系建设的关键步骤,探讨搭建网络安全体系的难点和挑战,并提供一些实用的建议和方法。通过深入理解和实施网络安全体系建设,企业能够更好地保护自己的信息资产和网络安全,应对复杂多变的网络威胁,确保业务的安全和可靠性。
一、网络安全体系建设的驱动因素
网络安全体系建设的驱动力主要来自以下几个方面:
企业应意识到这些驱动因素的重要性,并将其纳入战略规划和决策过程中,全面推进网络安全体系建设,有效应对网络威胁,保护信息资产和维护业务的可持续发展。
二、网络安全体系框架的构成要素
根据企业数字化转型的实现情况和我国网络安全合规要求的现状,结合我们在国企央企和金融机构长期进行网络安全咨询的经验,提出如下图所示的网络安全体系框架:
(一)网络安全建设愿景
网络安全体系是企业保障信息资产和网络安全的重要基石,而构建一套完善的网络安全体系框架,其目的在于更好地推动网络安全愿景的实现。网络安全建设愿景体现在下面五个方面:
(二)网络安全关键要素
(三)网络安全六大体系
本网络安全框架由治理体系、管理体系、组织体系、制度体系、技术体系和运营体系六大安全体系组成。
企业应全面把握网络安全体系建设的重要组成部分,确保每个要素的合理规划和有效运作,建立完善的网络安全体系,保护信息资产和网络安全,以应对不断变化的网络威胁和安全挑战。
三、网络安全体系建设的方法和步骤
(一)构建网络安全体系的两根支柱
01
合法合规支柱
合法合规是支撑网络安全体系的重要支柱之一。在建立和维护网络安全体系时,企业必须确保其行为符合适用的法律条例、行业规章和国家标准,以确保合法合规性。
法律条例是国家针对网络安全领域制定的法规,这些法律条例规定了企业在网络安全方面的法律责任和义务。此外,信创产业目前已被提升为国家安全的战略高度,国务院、国资委、发改委、工信部等部委及地方政府部门相继出台与信创相关的政策,尤其是对于国企央企来说,应逐步全面落实信息化系统的信创国产化改造,规避安全风险。
行业规章是指特定行业针对网络安全领域制定的规章和指南,旨在指导和规范该行业的网络安全实践。不同行业有不同的行业规章,这些行业规章为企业提供了行业特定的网络安全要求和标准。
国家标准是由国家制定的网络安全相关的标准,旨在规范和指导企业在网络安全领域的实践。企业应重视并遵守网络安全相关国家标准,这些标准为企业提供了网络安全等级保护和关键信息基础设施安全保护的基本要求和指导,有助于企业确保网络安全的等级保护,并保障关键信息基础设施的安全运行。
通过遵守合法合规的支柱,企业能够确保其网络安全体系符合法律要求和行业标准,降低违规风险,保护个人隐私和敏感信息的安全,增强与利益相关方的信任,以及避免法律责任和不良影响。
02
最佳实践支柱
网络安全最佳实践是支撑网络安全框架的另一个重要支柱。最佳实践包括了方法论、国际实践和国内实践,为企业的网络安全管理过程提供了经过验证的方法和标准。
在方法论方面,有一些知名的实践模型,如Gartner数字安全模型、网络安全滑动标尺模型、NIST网络安全框架等,它们提供了评估和改进企业网络安全的框架和方法。
国际实践方面,ISO国际标准化组织制定了一系列与信息安全相关的标准,包括ISO 27001信息安全管理体系、ISO 27701隐私信息管理体系、ISO 20000信息技术服务管理体系、ISO 22301业务连续性管理体系等。这些国际标准为企业提供了全球认可的最佳实践,可用于制定和实施网络安全管理措施。
国内实践方面,国家标准化管理委员会制定了一系列与信息安全相关的推荐性国家标准,包括《信息安全技术 网络安全事件分类分级指南(GB/T 20986-2023)》《信息安全技术 网络数据处理安全要求(GB/T 41479-2022)》《信息安全技术 个人信息安全规范(GB/T 35273-2020)》《信息安全技术 信息安全风险评估方法(GB/T 20984-2022)》《信息安全技术 数据安全能力成熟度模型(GB/T 37988-2019)》等。这些国内标准结合了国内环境和需求,为企业提供了适用于中国的最佳实践。
通过遵循这些最佳实践,企业可以借鉴已经验证过的方法和标准,提升网络安全管理的有效性和可持续性。同时,这些实践也帮助企业与国际标准和行业最佳实践保持一致,提升在全球范围内的信任和合规性。
(二)确定业务安全需求
为确保网络安全体系与业务需求紧密相融,企业应全面分析业务的关键要素,如其功能、特性、技术实现方式、市场发展动向、用户规模、业务流程与规则、数据流动方式、个人信息处理方式,以及对个人信息主体权益的保护等。这样的分析有助于评估潜在的安全威胁和影响。业务安全评估涵盖了业务应用、业务平台、业务运行以及业务数据的各个安全方面。
业务应用安全评估:关注用户的规模、类型、相关性和身份验证方法,来识别是否存在如用户账户信息泄露等的安全风险。同时,信息的主题、生成、传播、接收和存储方式等也需进行审查,以便识别并确认是否存在违法信息或其他安全风险。
业务平台安全评估:对承载业务的服务器、数据中心或节点的物理位置分布进行评估,判断是否存在跨境数据传输的安全风险;同时,评估与其他企业合作的合规性,以确保业务信息安全。
业务运行安全评估:对业务规则的合规性、业务流程的合理性以及相应的技术保障措施的完备性进行评估,以识别业务运行中是否存在安全漏洞;此外,对通信过程进行评估,确认其中是否存在欺诈行为、违法传播等风险。
业务数据安全评估:对数据采集、存储、传输、加工等环节及个人信息安全风险进行评估,确认是否存在数据泄露等安全风险。
对已识别的业务安全风险进行深入地分析与评估,综合考量企业的网络安全管理措施和技术保障能力,确保对这些业务安全风险具有可行的控制和管理策略。这些工作将有助于企业确定全面地业务安全需求,从而为建立网络安全体系提供明确的目标和方向。
(三)确定网络安全需求
在确保网络和信息资产的安全方面,企业需要考虑多个网络安全需求,以建立全面的网络安全体系。这些需求包括但不限于网络安全管理体系建设、数据安全治理、个人信息保护、关键信息基础设施保护、信息技术应用创新(信创)、国产密码、供应链安全、互联网攻击面管理和安全运营中心建设等。
这些网络安全需求的制定是为了保护组织的网络和信息资产的安全,防范各类威胁和攻击,确保业务的持续运行和数据的保密性、完整性和可用性。通过建立相应的安全策略、规程和措施,组织能够有效应对各类网络安全挑战,提升整体的安全防护能力,并获得可靠的网络和信息资产安全保障。
(四)创建信息化、数字化和智能化的安全需求
为了确保网络安全体系与业务需求的紧密结合,企业应建立一个稳固的信息化、数字化和智能化底座,利用先进的信息技术和智能技术,构建一个全面、高效和灵活的基础设施,为网络安全体系提供全方位的支持和依托,以应对日益复杂的威胁和风险,提高业务的安全性、效率和创新能力。
信息化、数字化、智能化作为新一轮科技革命的突出特征,也是新一代企业信息技术的核心;其中信息化是基础,数字化是信息化到了一定阶段的必然产物,未来会继续向智能化发展。三个阶段有着不同的特征和安全管理要求。
(五)建设网络安全体系
在确定了业务安全需求和网络安全需求的基础上,企业可以搭建起完善的网络安全体系。网络安全体系包括了治理体系、管理体系、组织体系、制度体系、技术体系和运营体系几大组成部分。
01
治理体系
治理体系是网络安全体系的核心,它涉及建立治理机制和资源保障,以确保网络安全体系的有效运行和资源的合理配置。
02
管理体系
管理体系涉及制定和实施一系列管理手段和方法,以确保网络安全的有效管理和控制。企业应建立相应的安全策略、规程和流程,规范各项安全措施的实施和执行。
03
组织体系
组织体系涉及网络安全的组织架构和职责分配。企业应建立自上而下的覆盖决策、管理、执行和监督四个层面的网络安全组织架构,明确网络安全部门和相关岗位的职责和权限,确保网络安全工作的有效落实。
04
制度体系
制度体系涉及网络安全的制度和政策规定。为确保网络安全要求得到有效落实,企业应指定或授权专门的部门或人员负责安全管理制度的制定。建立适应网络安全要求的制度框架,形成包括安全策略、管理制度、操作规程、记录表单等在内的全面的安全管理制度体系。定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
05
技术体系
技术体系涉及网络安全技术和工具的选择、实施和管理,以确保网络的安全性和可靠性。在建立技术体系时,企业应根据具体需求和风险评估选择适当的技术和工具,如网络安全、终端安全、数据安全、云安全、工控安全等,并进行适当的配置、实施和管理,以提供全面的网络安全保护。同时,持续地监测和更新技术体系,及时应对新的威胁和漏洞,确保网络安全的持续有效性。
06
运营体系
运营体系是网络安全管理中的重要组成部分,企业应提供全面的网络安全服务和运维管理,确保网络的安全性和稳定性。安全服务包括安全服务目录、服务编排和服务接口的定义和管理。安全运维是保证网络安全的重要环节,包括分析识别、监测预警、安全防护、主动防御、检测评估、事件处置等工作。
四、网络安全体系建设的难点和挑战
网络安全体系的建设是一个持久的过程,在建设过程中,企业会面临着一些重要的难点和挑战,如:
面对这些挑战,企业应制定合适的战略和计划,建立专业的团队和合作伙伴关系,加强人才培养和员工意识教育培训,进行定期评估和持续改进。只有通过持续地努力和创新,才能有效地应对网络安全体系建设的难点和挑战,建立起坚实的网络安全体系,保护企业的利益和客户的信任,推动业务的持续发展和创新。
作者简介
张兵,谷安天下信息技术咨询合伙人,数据安全治理委员会专家,全国金融标准化技术委员会证券分技术委员会专家,《中小银行数据安全治理研究报告》、《数据防泄露产品选型指南》报告主编,20多年的信息安全、数据安全、个人信息保护、科技风险、网络安全规划、SOC管理体系等咨询及审计服务经验,获得CISA、CDPSE、CISP-DSG、ISO 27701等证书,熟悉银行业、保险业、证券业、电信互联网行业、医疗健康行业及大型央企的科技管理与风险应对措施,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。
李欣韦,谷安天下信息技术咨询经理,10多年的信息安全咨询和信息科技风险审计工作经验,获得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对数据安全、个人信息保护、科技风险管理等领域均有着较为深入的研究,掌握专业的数据安全建设方法论,并具备丰富的项目实践经验。