《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 ·上

市场
2年前

导读



历时三年,聚合行业安全专家智慧,凝练行业安全最佳实践,《数字时代—基于行业最佳实践的安全保护框架》(以下简称《安全保护框架》)于2022年6月18日正式发布,该框架是在中国信息协会信息安全专业委员会指导下,由PCSA安全研究院 & 数世咨询 & 数说安全 & CIO时代/安全学院开展联合研究工作,基于数十个行业、上百家安全运营单位以及行业安全专家,深刻总结提炼而成,为行业安全运营单位提供一个共性安全保护框架模型参考。


 


缘起


  • 安全监管单位:政策发布频率加快,监管要求日趋严格

  • 安全运营单位:如何落实监管要求,新要求与原体系融合

  • 安全产业单位:产业创新焦点明确,助力行业安全发展


安全已经走向业务化,如何将复杂的事情简单化,需要全局视角、业务视角,落实监管、行业创新、体系融合、一体化落地,多方呼唤出台新一代安全保护框架。


历程



聚焦


  • 共性顽疾:资产不清、风险不明、能力不足、防御无序等

  • 共性问题:新要求与原体系融合路径/方法、一体化程度等

  • 共性经验:安全业务场景化、模块化、体系化、融合化等


定位


  • 宏观视角:具备全局性、科普性,聚焦行业安全运营单位

  • 中观架构:逻辑结构分层模块化,共性经验解决共性顽疾

  • 微观要素:抓重点关键点,实战对抗&资产&数据&供应链等


价值


  • 开放共享:安全知识、安全经验、安全智慧,开放共享

  • 体系融合:解决全局多维视角、新要求与原体系融合衔接

  • 一体化:安全管理、技术和运营看管监控、平战结合一体化


计划


  • 2019年8月-2022年5月,三年持续研究持续沉淀

  • 2022年5月-6月,框架出台,开展大范围专家意见征求

  • 2022年6月18日,正式公开发布

  • 后续计划,多轮研讨、持续改进、落地行业


鸣谢


  • 产业研究力量:中国信息协会信息安全专业委员会、PCSA安全研究院、数世咨询、数说安全、CIO时代/安全学院

  • 行业实践力量:能源、金融、交通、电子政务、建筑、运营商、医疗、制造、科研院校、地方大数据局等众多行业及安全专家

 


声 明
本文及框图《数字时代—基于行业最佳实践的安全保护框架》中涉及的内容,包括但不限于文本、图片、数据、表格、观点等各种形式,已取得相关著作权,严格遵循国家网络安全法律法规、标准规范,均为互联网可公开查询资料,总结凝聚了行业共性经验,意在开展深度交流、学习及研讨。

科技创新、学无止境,尊重原创、尊重创新,转载、摘编使用本文图片、文字或观点等的应注明来源。未经授权许可,任何法人单位及个人不得用于商业目的使用。违反上述声明者,我司可追究其相关法律责任。


叶红女士:指导单位致辞


中国信息协会信息安全专业委员会叶红主任就本次安全保护框架的线上发布做致辞。


一、《安全保护框架》历经三年


新一代安全保护框架的议题讨论缘起于2019年年中,三年多来持续完善,历经众多安全专家点拨,经历数十个重要行业、上百家安全运营单位落地实践,凝聚各行业顶级安全专家智慧,聚合生态开放安全力量,于2022年6月正式出台。旨在为网安产业、行业用户和安全从业者提供一个共性安全保护框架模型,用于:



1、解决新颁布的大量安全政策、标准体系与现有安全合规基础体系的融合衔接;
2、探索新形势下安全全局视角、识别关键要素、突破共性问题&共性顽疾的落地路径;
3、满足新时代安全监管要求、逐步实现安全管理、技术和运营多体系融合,做到看管监控、平战结合一体化。



二、《安全保护框架》凝聚了数十个重要行业安全专家智慧奉献


“安全保护框架”进入征求意见稿阶段,以关基运营单位和重要行业单位为基础,开展为期20天左右的安全专家意见征求工作。截至目前,共计对数十个重要行业300余家单位近500人进行意见征求,反馈率达70%以上,其中意见、建议及寄语分别约占10%、20%、40%。经研究团队进一步研讨,约30%的有效建议予以采纳。同时,众多专家给予了寄语和厚望。


三、《安全保护框架》核心内容将进行三个篇章的解读


为了让大家更加深入理解安全保护框架的内涵,后续将从为什么需要新一代《安全保护框架》、《安全保护框架》研究过程、意见反馈与计划、《安全保护框架》核心思想解读等方面展开介绍。


新时代带来新趋势,需要提出新观点,做到融合创新、聚合能力,中国信息协会信息安全专业委员会愿意与安全产业界一起创新为数字中国、数字安全进行更好的知识分享。 


谭晓生先生:为什么需要新一代《安全保护框架》


赛博英杰创始人兼董事长谭晓生围绕“为什么需要新一代《安全保护框架》”这一话题,详细阐述了研究团队出台安全保护框架的初衷。


一、“灵魂五问”


百年变局和世纪疫情交织叠加,国际网络安全形势日益严峻,国内安全监管要求密集出台,严峻的安全形势对安全运营单位的安全工作提出了越来越高的要求,引发“灵魂五问”的思考。



一问:如何应对严峻的国际网络安全形势?
二问:如何落实频发的国内安全监管要求?
三问:如何有效融合新政策要求和现体系?
四问:如何匹配数字化转型下的业务发展?
五问:如何构建网络安全顶层及全局视角?



二、“延展五问”


研究团队在深度思考“灵魂五问”的基础上,从价值意义、保护层次、服务角色、核心要素和生命周期五个维度,对安全保护框架进行深度剖析,引发“延展五问”。



一问:安全保护框架带来的价值意义?
安全保护框架汇聚了各行业实践力量和各产业研究力量的经验与智慧,框架的发布将大力推动网络安全知识共享、经验共享和智慧共享,做到共性顽疾共生解决。

二问:安全保护框架的层次有哪些?
国家层面、行业层面、公共及个人层面应建立不同的安全保护框架。而本次发布的安全保护框架主要聚焦于行业层面,为各行业的安全运营单位提供共性问题、共性顽疾的解决方向及思路。

三问:安全保护框架服务哪些角色?
安全保护工作涉及国家监管部门、行业监管部门、安全运营单位等多类角色,而本次发布的安全保护框架主要服务于安全运营单位的安全决策层、安全管理层、安全执行层和安全运营层等对象。

四问:安全保护框架的核心要素是什么?
从覆盖要素角度上来看,安全保护框架主要囊括公共要素和共性要素,为安全运营者提供明确的范围边界以及共性问题与顽疾的解决思路,而行业特色要素将在行业安全保护框架中进一步研讨。

五问:安全保护框架的生命周期有多长?
本次发布的安全保护框架具备适度前瞻性和敏捷迭代性,可指导安全运营者未来3-5年的安全建设、管理及运营工作,适应未来网络安全形势、技术的迅猛发展。

下载:

01-谭晓生先生:为什么需要新一代《安全保护框架》.pdf


 

李少鹏先生:《安全保护框架》研究过程及意见反馈


数世咨询创始人&CEO李少鹏详细阐述了《安全保护框架》的三年研究过程、意见征求反馈情况以及后续工作安排。


一、从困惑到清晰,积木式沉淀完成《安全保护框架》


历年来研究团队深度参与数十个行业、上百家安全运营单位的落地实践,自2019年起着手研讨安全保护框架事宜,持续开展多个专题研究,逐步积淀形成《数字时代——基于行业最佳实践的安全框架》。


安全场景研究:聚焦行业安全场景,于2020年公开发布《年度红蓝攻防全景推演系列套图》,全面刻画网络安全实战攻防的全景对象和步骤推演,受到业界高度认可。


安全模块化研究:分模块、分领域地持续研究安全运营、资产安全、风险、数据安全、供应链安全等专题,形成了多个维度可落地的研究成果。


安全业务化研究:围绕安全业务化目标,深入研究安全管理及运营模式,于2021年公开发布《关键信息基础设施 三化六防挂图作战总体架构图》,通过构建四层架构,实现一体化安全管理运营与指挥协同。


安全框架研究:基于前期研究成果,结合多年安全实战经验,参考并借鉴国际安全保护框架优秀思路,经历持续大量的研讨、推翻、修订的推演打磨,最终形成《数字时代——基于行业最佳实践的安全保护框架》。


二、多方征求意见,持续迭代优化完善《安全保护框架》


本次意见征求工作覆盖了众多关基运营单位和重要行业单位,截至统计时间,共计对数十个行业300余家单位近500人进行意见征求,征求反馈率达70%以上。


经进一步研讨,约30%的有效建议予以采纳,主要来自电子政务、国防科技、交通、金融、科研院校、能源、软件和信息技术服务、物流、医疗、制造、媒体、安全产业单位等12个行业的安全专家。经过综合梳理,建议可分为四大类,研究团队针对有效建议开展了多轮的优化完善。


  • 根据各行业特点,细化具备行业特性的安全保护框架

  • 进一步明确安全保护框架定位、对象、保护范围

  • 安全保护框架中四大支柱维度和粒度不统一

  • 安全保护框架中体系结构及部分表达有待探讨


此外,来自电子政务、国防科技、建筑、交通、金融、科研院校、运营商、能源、软件和信息技术服务、物流、医疗、制造等12个行业的众多安全专家对本次发布的安全保护框架均惠赠寄语,给予了高度评价和厚望。


三、后续工作安排


《数字时代—基于行业最佳实践的安全保护框架》正式发布后,研究团队将组织开展为期两个月的持续线上研讨和线下征求意见,并邀请行业专家,就某行业特色,开展专项研讨,形成行业特色安全保护框架。 


下载:

02-李少鹏先生:《安全保护框架》研究过程及意见反馈.pdf



参考阅读

《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 ·下

第二届数字安全大会618重磅开启!

第二届数字安全大会:13位重量级安全大咖解读数字安全

人机合智:第二届数字安全大会重磅启动