omniture

《數(shù)字時代-基于行業(yè)最佳實踐的安全保護框架》正式發(fā)布

CIO時代
2022-06-21 17:57 5370

專家智慧 用戶實踐

北京2022年6月21日 /美通社/ -- 6月18日,由數(shù)世咨詢、CIO時代聯(lián)合主辦,新基建創(chuàng)新研究院為智庫支持的"第二屆數(shù)字安全大會"線上啟動會圓滿落幕。

第二屆數(shù)字安全大會線上啟動會
第二屆數(shù)字安全大會線上啟動會

本次啟動會在CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院執(zhí)行秘書長劉晶、數(shù)世咨詢創(chuàng)始人&CEO李少鵬的共同主持下,隆重發(fā)布了《數(shù)字時代 - 基于行業(yè)最佳實踐的安全保護框架》(以下簡稱《安全保護框架》),該框架是在中國信息協(xié)會信息安全專業(yè)委員會指導下,由PCSA安全研究院 、 數(shù)世咨詢 、 數(shù)說安全 、 CIO時代、CIO時代安全學院開展聯(lián)合研究工作,基于數(shù)十個行業(yè)、上百家安全運營單位以及行業(yè)安全專家,深刻總結提煉而成,為行業(yè)安全運營單位提供一個共性安全保護框架模型參考。

線上啟動會現(xiàn)場
線上啟動會現(xiàn)場

同時,《數(shù)字安全十三大創(chuàng)新賽道領航者》2022中國數(shù)字安全百強》的獲評企業(yè)也逐一揭曉,大家在線上共同見證安全行業(yè)"實力派"與"網(wǎng)安新秀"的風采與風貌。

本次啟動會,特邀了中國信息協(xié)會信息安全專業(yè)委員會主任葉紅蒞臨致辭。葉紅在發(fā)言中介紹到:《安全保護框架》通過三年的持續(xù)完善,歷經(jīng)眾多安全專家點撥,經(jīng)歷數(shù)十個重要行業(yè)、上百家安全運營單位落地實踐,凝聚各行業(yè)領先安全專家智慧,聚合生態(tài)開放安全力量,在為網(wǎng)安產(chǎn)業(yè)、行業(yè)用戶和安全從業(yè)者提供一個共性安全保護框架模型。

新時代帶來新趨勢,需要提出新觀點,做到融合創(chuàng)新、聚合能力,中國信息協(xié)會信息安全專業(yè)委員會愿意與安全產(chǎn)業(yè)界一起創(chuàng)新為數(shù)字中國、數(shù)字安全進行更好的知識分享。

數(shù)字時代:基于行業(yè)最佳實驗的安全保護框架
數(shù)字時代:基于行業(yè)最佳實驗的安全保護框架

為了讓大家更加深入理解安全保護框架的內(nèi)涵,本次啟動會也從為什么需要新一代《安全保護框架》、《安全保護框架》研究過程、意見反饋與計劃、《安全保護框架》核心思想解讀等進行了三個篇章的解讀。

篇章一
為什么需要新一代《安全保護框架》

賽博英杰創(chuàng)始人兼董事長譚曉生圍繞"為什么需要新一代《安全保護框架》"這一話題,詳細闡述了研究團隊出臺安全保護框架的初衷。

百年變局和世紀疫情交織疊加,國際網(wǎng)絡安全形勢日益嚴峻,國內(nèi)安全監(jiān)管要求密集出臺,嚴峻的安全形勢對安全運營單位的安全工作提出了越來越高的要求,引發(fā)"靈魂五問"的思考。

一問:如何應對嚴峻的國際網(wǎng)絡安全形勢?
二問:如何落實頻發(fā)的國內(nèi)安全監(jiān)管要求?
三問:如何有效融合新政策要求和現(xiàn)體系?
四問:如何匹配數(shù)字化轉型下的業(yè)務發(fā)展?
五問:如何構建網(wǎng)絡安全頂層及全局視角?

研究團隊在深度思考"靈魂五問"的基礎上,從價值意義、保護層次、服務角色、核心要素和生命周期五個維度,對安全保護框架進行深度剖析,得出了"延展五問"。

"一問"價值意義:安全保護框架匯聚了各行業(yè)實踐力量和各產(chǎn)業(yè)研究力量的經(jīng)驗與智慧,框架的發(fā)布將大力推動網(wǎng)絡安全知識共享、經(jīng)驗共享和智慧共享,做到共性頑疾共生解決。

"二問"框架層次:國家層面、行業(yè)層面、公共及個人層面應建立不同的安全保護框架。而本次發(fā)布的安全保護框架主要聚焦于行業(yè)層面,為各行業(yè)的安全運營單位提供共性問題、共性頑疾的解決方向及思路。

"三問"服務對象:安全保護工作涉及國家監(jiān)管部門、行業(yè)監(jiān)管部門、安全運營單位等多類角色,而本次發(fā)布的安全保護框架主要服務于安全運營單位的安全決策層、安全管理層、安全執(zhí)行層和安全運營層等對象。

"四問"核心要素:從覆蓋要素角度上來看,安全保護框架主要囊括公共要素和共性要素,為安全運營者提供明確的范圍邊界以及共性問題與頑疾的解決思路,而行業(yè)特色要素將在行業(yè)安全保護框架中進一步研討。

"五問"生命周期:本次發(fā)布的安全保護框架具備適度前瞻性和敏捷迭代性,可指導安全運營者未來3-5年的安全建設、管理及運營工作,適應未來網(wǎng)絡安全形勢、技術的迅猛發(fā)展。

篇章二
《安全保護框架》研究過程及意見反饋

數(shù)世咨詢創(chuàng)始人&CEO李少鵬詳細闡述了《安全保護框架》的三年研究過程、意見征求反饋情況以及后續(xù)工作安排。

從困惑到清晰,積木式沉淀完成《安全保護框架》。歷年來研究團隊深度參與數(shù)十個行業(yè)、上百家安全運營單位的落地實踐,自2019年起著手研討安全保護框架事宜,持續(xù)開展多個專題研究,逐步積淀形成《數(shù)字時代—基于行業(yè)最佳實踐的安全框架》。

安全場景研究:聚焦行業(yè)安全場景,于2020年公開發(fā)布《年度紅藍攻防全景推演系列套圖》,全面刻畫網(wǎng)絡安全實戰(zhàn)攻防的全景對象和步驟推演,受到業(yè)界高度認可。

安全模塊化研究:分模塊、分領域地持續(xù)研究安全運營、資產(chǎn)安全、風險、數(shù)據(jù)安全、供應鏈安全等專題,形成了多個維度可落地的研究成果。

安全業(yè)務化研究:圍繞安全業(yè)務化目標,深入研究安全管理及運營模式,于2021年公開發(fā)布《關鍵信息基礎設施 三化六防掛圖作戰(zhàn)總體架構圖》,通過構建四層架構,實現(xiàn)一體化安全管理運營與指揮協(xié)同。

安全框架研究:基于前期研究成果,結合多年安全實戰(zhàn)經(jīng)驗,參考并借鑒國際安全保護框架優(yōu)秀思路,經(jīng)歷持續(xù)大量的研討、推翻、修訂的推演打磨,最終形成《數(shù)字時代—基于行業(yè)最佳實踐的安全保護框架》。

多方征求意見,持續(xù)迭代優(yōu)化完善《安全保護框架》。征求工作覆蓋了眾多關基運營單位和重要行業(yè)單位,截至統(tǒng)計時間,共計對數(shù)十個行業(yè)300余家單位近500人進行意見征求,征求反饋率達70%以上。

經(jīng)進一步研討,約30%的來自電子政務、國防科技、交通、金融、科研院校、能源、軟件和信息技術服務、物流、醫(yī)療、制造、媒體、安全產(chǎn)業(yè)單位等12個行業(yè)的安全專家的有效建議予以采納。

研究團隊綜合梳理出四大類有效建議,并針對性開展了多輪優(yōu)化改善。

  • 根據(jù)各行業(yè)特點,細化具備行業(yè)特性的安全保護框架
  • 進一步明確安全保護框架定位、對象、保護范圍
  • 安全保護框架中四大支柱維度和粒度不統(tǒng)一
  • 安全保護框架中體系結構及部分表達有待探討

《數(shù)字時代 - 基于行業(yè)最佳實踐的安全保護框架》正式發(fā)布后,研究團隊將組織開展為期兩個月的持續(xù)線上研討和線下征求意見,并邀請行業(yè)專家,就某行業(yè)特色,開展專項研討,形成行業(yè)特色安全保護框架。

篇章三
《數(shù)字時代 - 基于行業(yè)最佳實踐的安全保護框架》核心思想解讀

PCSA安全能力者聯(lián)盟首席專家郭峰對本次發(fā)布的安全保護框架進行深入剖析,詳細解讀了安全保護框架的目標定位和核心思想內(nèi)容。

新時代整體安全形勢從合規(guī)-走向?qū)崙?zhàn)-走向協(xié)同,安全政策法規(guī)、標準規(guī)范密集出臺,安全運營單位應接不暇,經(jīng)過多年的安全建設運營,不同層級的安全人員面臨諸多安全困惑和安全問題,亟待需要一個安全保護框架模型,深度融合安全戰(zhàn)略與業(yè)務發(fā)展、原安全體系與新監(jiān)管要求,做到安全管理、技術與運營一體化、看管監(jiān)控一體化、平戰(zhàn)融合一體化,以解決共性問題和共性頑疾。

本次發(fā)布的安全保護框架聚焦服務對象,面向行業(yè)安全運營單位,從"宏觀-中觀-微觀"全局綜合視角出發(fā),總結凝練行業(yè)共性問題、共性頑疾,形成共性經(jīng)驗,為不同角色、不同視角答疑解惑。

《安全保護框架》的核心思想可總結為"1-3-3-4"架構:

"1"個頂層指引:自上而下
在總體國家安全觀指導下,嚴格遵循國家網(wǎng)絡空間安全戰(zhàn)略、安全相關法律法規(guī)及標準規(guī)范、上級監(jiān)管部門及行業(yè)主管部門要求以及組織戰(zhàn)略。

"3"個安全體系:融合一體化
持續(xù)完善安全管理體系和安全技術體系,構建安全運營體系,將安全管理指標化、安全技術生態(tài)化融入安全運營體系,實現(xiàn)融合一體化。

"3"個保護層次:模塊化
基于不同的安全成熟度、保護對象重要程度以及體系建設完整度,模塊化、循序漸進完善安全保護,逐步搭建合規(guī)基礎、實戰(zhàn)強化、指揮協(xié)同三個保護層次,不斷夯實基礎合規(guī),有效支撐實戰(zhàn)對抗和決策指揮協(xié)同。

"4"個重要支柱:有效落地
在平戰(zhàn)結合一體化的安全常態(tài)化背景和看管監(jiān)控一體化的安全業(yè)務化趨勢下,確保充足的資源保障,不斷提升安全能力,將成為安全保護工作的重要支柱。

中國信息協(xié)會信息安全專業(yè)委員會副主任趙進延先生也就本次《安全保護框架》的線上發(fā)布進行了總結發(fā)言。

在中國信息協(xié)會信息安全專委會的指導下,PCSA安全研究院聯(lián)合數(shù)世咨詢、數(shù)說安全、CIO時代、CIO時代安全學院與數(shù)十家行業(yè)用戶專家一起,總結了多個行業(yè)十三五安全建設最佳實踐和十四五安全規(guī)劃的經(jīng)典案例,開展了《新一代安全保護框架》深入研究,研究團隊2016年成立以來持之以恒實踐,深入研究安全領域的共性場景,共性問題、共性頑疾和共性解決方案。

后續(xù)中國信息協(xié)會信息安全專業(yè)委員會將會組織感興趣的行業(yè)主管部門和安全運營單位一起研究具體的行業(yè)安全保護框架,更有特點、更具特色、更貼實際,循序漸進、切實落地。

CIO時代和新基建創(chuàng)新研究院作為業(yè)內(nèi)專業(yè)的CIO智庫和研究組織,深諳CIO群體對產(chǎn)業(yè)安全的關注焦點,協(xié)作配合了此次《安全保護框架》的意見征求工作,并收獲了來自電子政務、國防科技、建筑、交通、金融、科研院校、運營商、能源、軟件和信息技術服務、物流、醫(yī)療、制造等12個行業(yè)的眾多安全專家對于本次發(fā)布的安全保護框架均的寄語,各位專家都給予了高度評價和厚望。

專家寄語精選(排名不分先后)

期待安全保護框架發(fā)布后,能夠指導各行業(yè)高效構建先進,完備的安全架構和安全運營體系,在國際安全形勢日趨嚴峻的大背景下,在提升行業(yè)信息安全防護能力方面發(fā)揮更大的作用!進入本世紀20年代以來,網(wǎng)絡安全問題在國家社會政治經(jīng)濟生活中變得更加突出,安全法律法規(guī)密集出臺,安全框架種類繁多,在這樣的背景下,《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》,融會貫通了安全政策、管理、技術、運營等領域的最新進展,提出了共性的安全框架,為安全生態(tài)中的各類組織提供了先進的通用參考框架,具有非常重要的應用價值。

-- 中國建設銀行  金磐石老師

以5G為代表的新一代信息基礎設施支撐著數(shù)據(jù)經(jīng)濟的發(fā)展,希望《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》,為各行業(yè)的高質(zhì)量發(fā)展提供指引,為新基建的高安全運營提供助力。

-- 中國移動通信集團有限公司  張濱老師

我國網(wǎng)絡安全領域的法律法規(guī)相繼出臺,政策環(huán)境日益完善。"數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架"匯總提煉國內(nèi)外網(wǎng)絡安全落地實踐優(yōu)秀成果,整合多方安全能力,經(jīng)過深刻分析、討論、并征詢行業(yè)專業(yè)意見和建議,開拓性提出有利于可供行業(yè)網(wǎng)絡安全工作落地見效的行動指南,對安全行業(yè)具有指導意義。

-- 中國聯(lián)合網(wǎng)絡通信集團有限公司  孫世臻老師

《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》在系統(tǒng)梳理十三五時期關基行業(yè)和產(chǎn)業(yè)各方最佳安全實踐的基礎上,總結凝練形成了面向未來的"1-3-3-4"網(wǎng)絡安全保護架構,內(nèi)容豐富,層次清晰,邏輯嚴密,具有較強的參考價值。

-- 中央國債登記結算有限責任公司  唐彬老師

《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》深刻總結提煉能源、交通、金融等行業(yè)國內(nèi)外先進實踐經(jīng)驗,構建了"五個融合"一體化的安全保護框架,整合多方安全能力,賦能新時代數(shù)字化建設。對于做好網(wǎng)絡與信息安全工作,促進企業(yè)健康發(fā)展具有指導意義。

-- 中國光大集團股份公司  李璠老師

"基于行業(yè)最佳實踐的安全保護框架"總結提煉了國際國內(nèi)網(wǎng)絡安全實踐優(yōu)秀成果,結合我國法律及有關政策環(huán)境,創(chuàng)造性地提出了可供各行業(yè)落實國家網(wǎng)絡強國戰(zhàn)略的行動指南。安全保護框架有助于解決各行業(yè)在加快推進數(shù)字化、智能化轉型中存在的網(wǎng)絡和數(shù)據(jù)安全顧慮,能夠為各行業(yè)開展網(wǎng)絡安全工作和實施網(wǎng)絡安全規(guī)劃、開展信息化項目建設提供切實有效幫助。

-- 國務院國有資產(chǎn)監(jiān)督管理委員會  張聲宏老師

《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》站在體系化、系統(tǒng)化的高度,以網(wǎng)絡安全問題的產(chǎn)生、預警、防護、處置為主線,從法規(guī)、政策、標準、資源配置、人力資源、認證評估、新技術應用、一體化運營等多要素出發(fā),總結了多年網(wǎng)絡安全保護的成功經(jīng)驗和最佳實踐,為進一步解決網(wǎng)絡安全技術和產(chǎn)品分散、體系化不足、產(chǎn)業(yè)不夠發(fā)展、運行保障模式陳舊等一系列重要問題進行了有益的探索,提出了基本框架,具有很強的指導意義。

-- 中國網(wǎng)絡安全審查技術與認證中心  王連印老師

報告成果為國內(nèi)近年來網(wǎng)絡安全發(fā)展準確把脈,提出的安全架構體系完善,方向精準,能夠有效指導國內(nèi)企業(yè)網(wǎng)絡安全建設。

-- 中國交通建設集團有限公司  劉學忠老師

框架綜合了國內(nèi)外政策法規(guī)標準和實踐,規(guī)模宏大,內(nèi)容豐富,信息量很大,涵蓋了各個層面工作以及管理和監(jiān)管,技術和運營多個體系,實屬不易,對網(wǎng)絡安全中長期規(guī)劃和總體設計具有較好的指導性。

-- 國家能源局  胡紅升老師

"安全保護框架"結合基礎保護要求,在網(wǎng)絡安全實戰(zhàn)化條件下提出了"一體化"概念,并給出了行業(yè)最佳實踐,可以為企業(yè)的網(wǎng)絡安全體系建設提供有效的指導,并提升企業(yè)的威脅發(fā)現(xiàn)、監(jiān)測預警、應急指揮、攻擊溯源能力。希望本框架能夠發(fā)揮指引作用,幫助更多的企業(yè)更快、更好地開展網(wǎng)絡安全工作。

-- 北京市燃氣集團有限責任公司  王廣清老師

數(shù)字時代基于行業(yè)最佳實踐的安全保護框架,既有"一個頂層指引、兩層基礎臺階、三個保護層級和安全體系、四個重要支柱"高屋建瓴的宏觀架構,在微觀處又有基于行業(yè)最佳實踐對三個保護層級,和三個安全體系中網(wǎng)絡安全保護框架建設要點的指引,體現(xiàn)了數(shù)字新時代網(wǎng)絡安全行業(yè)專家的集體智慧,為國家關鍵信息基礎設施和重點行業(yè)網(wǎng)絡安全防護體系建設提供了全面細致的落地指導。

-- 清華大學  諸葛建偉老師

任何理論都有它的適用性和局限性,安全保護框架也是如此,正因多樣的、多姿多彩的各種安全框架存在,才讓網(wǎng)絡安全充滿魅力和無限可能。

-- 平安科技(深圳)有限公司  劉凱老師

PCSA自2020年以來,相繼發(fā)布了"年度紅藍攻防全景推演系列套圖"、"三化六防掛圖作戰(zhàn)解決方案"研究成果,每次我都會認真學習研究,為網(wǎng)絡安全工作提供和很多思路和方向。本次發(fā)布的"基于行業(yè)最佳實踐的安全保護框架",綜合梳理了網(wǎng)絡安全管理者、安全運營者在面對日益嚴格細致的合規(guī)要求以及常態(tài)化的網(wǎng)絡安全對抗環(huán)境下,如何有效的將合規(guī)要求與實際場景進行結合,并且一步一步進階,在滿足合規(guī)的基礎上,實現(xiàn)體系化對抗能力,從中也看到了一體化運營在其中發(fā)揮的巨大作用。該框架為關基單位開展網(wǎng)絡安全工作提供了基本的指導。希望PCSA未來不斷總結實踐經(jīng)驗,結合網(wǎng)絡安全發(fā)展特點,推出更多有指導意義的網(wǎng)絡安全解決方案。

-- 中國海油石油集團有限公司  王英梅老師

開拓進取,守護信息化的生命線;
砥礪前行,鑄就網(wǎng)絡空間的萬里長城。

-- 全國人大信息中心  呂植老師

在數(shù)字時代,網(wǎng)絡安全涉及方方面面,需要從戰(zhàn)略和全局的視角來全面考慮和保障信息安全。編制組非常用心,從法律法規(guī)、國家行業(yè)標準及各業(yè)務的最佳實踐入手,全面梳理網(wǎng)絡安全從合規(guī)、管理、技術、運營和實踐各方面,讓從業(yè)人員有一個全局、直觀、方便的了解國家、行業(yè)的政策和最佳實踐,對自身應該如何實施網(wǎng)絡安全具有非常的指導意義。

-- 國家信息中心  邵國安老師

《基于行業(yè)最佳實踐的安全保護框架》可以網(wǎng)安產(chǎn)業(yè)、行業(yè)用戶和安全從業(yè)者提供一個共性安全保護框架模型,主要用于如下幾個方面:

一、為頒布新安全政策、標準體系與現(xiàn)有安全合規(guī)基礎體系的融合銜接提供支撐;
二、為在新形勢下具備全局安全視野、識別關鍵要素、突破共性問題提供路徑;
三、為在新時代滿足安全監(jiān)管要求,逐步實現(xiàn)安全管理、安全技術和安全運營多體系融合,實現(xiàn)看管監(jiān)控、平戰(zhàn)結合一體化提供方法。

-- 國務院法制辦公室  孔祥清老師

在數(shù)字化轉型的時代背景下,"安全保護框架"給出了建立融合管理、技術、運營為一體的安全體系,值得各行各業(yè)仔細研讀,對照監(jiān)管要求和實戰(zhàn)需要,補齊發(fā)展中的安全短板,走上智能化協(xié)同保護之路。

-- 教育部  任昌山老師

"安全保護框架"層次分明、結構清晰、考慮全面、管理與技術并重,是對國家整體網(wǎng)絡安全工作的一次系統(tǒng)性解構,希望可以繼續(xù)優(yōu)化完善,為國家級企事業(yè)單位安全工作開展、安全產(chǎn)業(yè)發(fā)展均提供有力指引。

-- 生態(tài)環(huán)境部  秦宇老師

安全保護框架從全局的視角綜合考慮了安全保護工作的各個方面,構建數(shù)據(jù)資產(chǎn)化安全治理及資產(chǎn)安全運營是做好強化安全保護的重點和關鍵點,數(shù)據(jù)價值從數(shù)據(jù)資源到數(shù)據(jù)資產(chǎn)到數(shù)據(jù)資本三個不同的發(fā)展階段,對應著不同的數(shù)據(jù)安全保護程度及保護能力,需要通過證據(jù)鏈的形式確認是否是合法權益方、交易方、授權方,方可進行電子化、流程化的訪問控制、產(chǎn)權轉移、數(shù)據(jù)流通等具體活動。

-- 海關總署  劉滌西老師

數(shù)字時代保護框架基于行業(yè)最佳實踐,頂層設計邏輯性強,架構層次關系清晰,符合稅務行業(yè)安全體系建設需求,有較強的指導作用。

-- 國家稅務總局湖北省稅務局  秦宏老師

護航數(shù)字安全不遺余力,助力數(shù)字經(jīng)濟行穩(wěn)致遠。希望數(shù)字安全大會的順利召開,能夠為企業(yè)筑牢數(shù)字安全的"銅墻鐵壁",為數(shù)字經(jīng)濟的安全穩(wěn)定發(fā)展貢獻綿薄之力。

期待"第二屆數(shù)字安全大會"的到來,7月23日北京見。

當然,錯過本次啟動會直播的小伙伴可以關注CIO時代公眾號【CIO時代網(wǎng)】查看回放。

消息來源:CIO時代
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection