《数字时代-基于行业最佳实践的安全保护框架》正式发布
北京2022年6月21日 /美通社/ -- 6月18日,由数世咨询、CIO时代联合主办,新基建创新研究院为智库支持的"第二届数字安全大会"线上启动会圆满落幕。
第二届数字安全大会线上启动会
本次启动会在CIO时代联合创始人兼COO、新基建创新研究院执行秘书长刘晶、数世咨询创始人&CEO李少鹏的共同主持下,隆重发布了《数字时代 - 基于行业最佳实践的安全保护框架》(以下简称《安全保护框架》),该框架是在中国信息协会信息安全专业委员会指导下,由PCSA安全研究院 、 数世咨询 、 数说安全 、 CIO时代、CIO时代安全学院开展联合研究工作,基于数十个行业、上百家安全运营单位以及行业安全专家,深刻总结提炼而成,为行业安全运营单位提供一个共性安全保护框架模型参考。
线上启动会现场
同时,《数字安全十三大创新赛道领航者》和《2022中国数字安全百强》的获评企业也逐一揭晓,大家在线上共同见证安全行业"实力派"与"网安新秀"的风采与风貌。
本次启动会,特邀了中国信息协会信息安全专业委员会主任叶红莅临致辞。叶红在发言中介绍到:《安全保护框架》通过三年的持续完善,历经众多安全专家点拨,经历数十个重要行业、上百家安全运营单位落地实践,凝聚各行业领先安全专家智慧,聚合生态开放安全力量,在为网安产业、行业用户和安全从业者提供一个共性安全保护框架模型。
新时代带来新趋势,需要提出新观点,做到融合创新、聚合能力,中国信息协会信息安全专业委员会愿意与安全产业界一起创新为数字中国、数字安全进行更好的知识分享。
数字时代:基于行业最佳实验的安全保护框架
为了让大家更加深入理解安全保护框架的内涵,本次启动会也从为什么需要新一代《安全保护框架》、《安全保护框架》研究过程、意见反馈与计划、《安全保护框架》核心思想解读等进行了三个篇章的解读。
篇章一
为什么需要新一代《安全保护框架》
赛博英杰创始人兼董事长谭晓生围绕"为什么需要新一代《安全保护框架》"这一话题,详细阐述了研究团队出台安全保护框架的初衷。
百年变局和世纪疫情交织叠加,国际网络安全形势日益严峻,国内安全监管要求密集出台,严峻的安全形势对安全运营单位的安全工作提出了越来越高的要求,引发"灵魂五问"的思考。
一问:如何应对严峻的国际网络安全形势?
二问:如何落实频发的国内安全监管要求?
三问:如何有效融合新政策要求和现体系?
四问:如何匹配数字化转型下的业务发展?
五问:如何构建网络安全顶层及全局视角?
研究团队在深度思考"灵魂五问"的基础上,从价值意义、保护层次、服务角色、核心要素和生命周期五个维度,对安全保护框架进行深度剖析,得出了"延展五问"。
"一问"价值意义:安全保护框架汇聚了各行业实践力量和各产业研究力量的经验与智慧,框架的发布将大力推动网络安全知识共享、经验共享和智慧共享,做到共性顽疾共生解决。
"二问"框架层次:国家层面、行业层面、公共及个人层面应建立不同的安全保护框架。而本次发布的安全保护框架主要聚焦于行业层面,为各行业的安全运营单位提供共性问题、共性顽疾的解决方向及思路。
"三问"服务对象:安全保护工作涉及国家监管部门、行业监管部门、安全运营单位等多类角色,而本次发布的安全保护框架主要服务于安全运营单位的安全决策层、安全管理层、安全执行层和安全运营层等对象。
"四问"核心要素:从覆盖要素角度上来看,安全保护框架主要囊括公共要素和共性要素,为安全运营者提供明确的范围边界以及共性问题与顽疾的解决思路,而行业特色要素将在行业安全保护框架中进一步研讨。
"五问"生命周期:本次发布的安全保护框架具备适度前瞻性和敏捷迭代性,可指导安全运营者未来3-5年的安全建设、管理及运营工作,适应未来网络安全形势、技术的迅猛发展。
篇章二
《安全保护框架》研究过程及意见反馈
数世咨询创始人&CEO李少鹏详细阐述了《安全保护框架》的三年研究过程、意见征求反馈情况以及后续工作安排。
从困惑到清晰,积木式沉淀完成《安全保护框架》。历年来研究团队深度参与数十个行业、上百家安全运营单位的落地实践,自2019年起着手研讨安全保护框架事宜,持续开展多个专题研究,逐步积淀形成《数字时代—基于行业最佳实践的安全框架》。
安全场景研究:聚焦行业安全场景,于2020年公开发布《年度红蓝攻防全景推演系列套图》,全面刻画网络安全实战攻防的全景对象和步骤推演,受到业界高度认可。
安全模块化研究:分模块、分领域地持续研究安全运营、资产安全、风险、数据安全、供应链安全等专题,形成了多个维度可落地的研究成果。
安全业务化研究:围绕安全业务化目标,深入研究安全管理及运营模式,于2021年公开发布《关键信息基础设施?三化六防挂图作战总体架构图》,通过构建四层架构,实现一体化安全管理运营与指挥协同。
安全框架研究:基于前期研究成果,结合多年安全实战经验,参考并借鉴国际安全保护框架优秀思路,经历持续大量的研讨、推翻、修订的推演打磨,最终形成《数字时代—基于行业最佳实践的安全保护框架》。
多方征求意见,持续迭代优化完善《安全保护框架》。征求工作覆盖了众多关基运营单位和重要行业单位,截至统计时间,共计对数十个行业300余家单位近500人进行意见征求,征求反馈率达70%以上。
经进一步研讨,约30%的来自电子政务、国防科技、交通、金融、科研院校、能源、软件和信息技术服务、物流、医疗、制造、媒体、安全产业单位等12个行业的安全专家的有效建议予以采纳。
研究团队综合梳理出四大类有效建议,并针对性开展了多轮优化改善。
- 根据各行业特点,细化具备行业特性的安全保护框架
- 进一步明确安全保护框架定位、对象、保护范围
- 安全保护框架中四大支柱维度和粒度不统一
- 安全保护框架中体系结构及部分表达有待探讨
《数字时代 - 基于行业最佳实践的安全保护框架》正式发布后,研究团队将组织开展为期两个月的持续线上研讨和线下征求意见,并邀请行业专家,就某行业特色,开展专项研讨,形成行业特色安全保护框架。
篇章三
《数字时代 - 基于行业最佳实践的安全保护框架》核心思想解读
PCSA安全能力者联盟首席专家郭峰对本次发布的安全保护框架进行深入剖析,详细解读了安全保护框架的目标定位和核心思想内容。
新时代整体安全形势从合规-走向实战-走向协同,安全政策法规、标准规范密集出台,安全运营单位应接不暇,经过多年的安全建设运营,不同层级的安全人员面临诸多安全困惑和安全问题,亟待需要一个安全保护框架模型,深度融合安全战略与业务发展、原安全体系与新监管要求,做到安全管理、技术与运营一体化、看管监控一体化、平战融合一体化,以解决共性问题和共性顽疾。
本次发布的安全保护框架聚焦服务对象,面向行业安全运营单位,从"宏观-中观-微观"全局综合视角出发,总结凝练行业共性问题、共性顽疾,形成共性经验,为不同角色、不同视角答疑解惑。
《安全保护框架》的核心思想可总结为"1-3-3-4"架构:
"1"个顶层指引:自上而下
在总体国家安全观指导下,严格遵循国家网络空间安全战略、安全相关法律法规及标准规范、上级监管部门及行业主管部门要求以及组织战略。
"3"个安全体系:融合一体化
持续完善安全管理体系和安全技术体系,构建安全运营体系,将安全管理指标化、安全技术生态化融入安全运营体系,实现融合一体化。
"3"个保护层次:模块化
基于不同的安全成熟度、保护对象重要程度以及体系建设完整度,模块化、循序渐进完善安全保护,逐步搭建合规基础、实战强化、指挥协同三个保护层次,不断夯实基础合规,有效支撑实战对抗和决策指挥协同。
"4"个重要支柱:有效落地
在平战结合一体化的安全常态化背景和看管监控一体化的安全业务化趋势下,确保充足的资源保障,不断提升安全能力,将成为安全保护工作的重要支柱。
中国信息协会信息安全专业委员会副主任赵进延先生也就本次《安全保护框架》的线上发布进行了总结发言。
在中国信息协会信息安全专委会的指导下,PCSA安全研究院联合数世咨询、数说安全、CIO时代、CIO时代安全学院与数十家行业用户专家一起,总结了多个行业十三五安全建设最佳实践和十四五安全规划的经典案例,开展了《新一代安全保护框架》深入研究,研究团队2016年成立以来持之以恒实践,深入研究安全领域的共性场景,共性问题、共性顽疾和共性解决方案。
后续中国信息协会信息安全专业委员会将会组织感兴趣的行业主管部门和安全运营单位一起研究具体的行业安全保护框架,更有特点、更具特色、更贴实际,循序渐进、切实落地。
CIO时代和新基建创新研究院作为业内专业的CIO智库和研究组织,深谙CIO群体对产业安全的关注焦点,协作配合了此次《安全保护框架》的意见征求工作,并收获了来自电子政务、国防科技、建筑、交通、金融、科研院校、运营商、能源、软件和信息技术服务、物流、医疗、制造等12个行业的众多安全专家对于本次发布的安全保护框架均的寄语,各位专家都给予了高度评价和厚望。
专家寄语精选(排名不分先后)
期待安全保护框架发布后,能够指导各行业高效构建先进,完备的安全架构和安全运营体系,在国际安全形势日趋严峻的大背景下,在提升行业信息安全防护能力方面发挥更大的作用!进入本世纪20年代以来,网络安全问题在国家社会政治经济生活中变得更加突出,安全法律法规密集出台,安全框架种类繁多,在这样的背景下,《数字时代:基于行业最佳实践的安全保护框架》,融会贯通了安全政策、管理、技术、运营等领域的最新进展,提出了共性的安全框架,为安全生态中的各类组织提供了先进的通用参考框架,具有非常重要的应用价值。
-- 中国建设银行? 金磐石老师
以5G为代表的新一代信息基础设施支撑着数据经济的发展,希望《数字时代:基于行业最佳实践的安全保护框架》,为各行业的高质量发展提供指引,为新基建的高安全运营提供助力。
-- 中国移动通信集团有限公司? 张滨老师
我国网络安全领域的法律法规相继出台,政策环境日益完善。"数字时代:基于行业最佳实践的安全保护框架"汇总提炼国内外网络安全落地实践优秀成果,整合多方安全能力,经过深刻分析、讨论、并征询行业专业意见和建议,开拓性提出有利于可供行业网络安全工作落地见效的行动指南,对安全行业具有指导意义。
-- 中国联合网络通信集团有限公司? 孙世臻老师
《数字时代:基于行业最佳实践的安全保护框架》在系统梳理十三五时期关基行业和产业各方最佳安全实践的基础上,总结凝练形成了面向未来的"1-3-3-4"网络安全保护架构,内容丰富,层次清晰,逻辑严密,具有较强的参考价值。
-- 中央国债登记结算有限责任公司? 唐彬老师
《数字时代:基于行业最佳实践的安全保护框架》深刻总结提炼能源、交通、金融等行业国内外先进实践经验,构建了"五个融合"一体化的安全保护框架,整合多方安全能力,赋能新时代数字化建设。对于做好网络与信息安全工作,促进企业健康发展具有指导意义。
-- 中国光大集团股份公司? 李璠老师
"基于行业最佳实践的安全保护框架"总结提炼了国际国内网络安全实践优秀成果,结合我国法律及有关政策环境,创造性地提出了可供各行业落实国家网络强国战略的行动指南。安全保护框架有助于解决各行业在加快推进数字化、智能化转型中存在的网络和数据安全顾虑,能够为各行业开展网络安全工作和实施网络安全规划、开展信息化项目建设提供切实有效帮助。
-- 国务院国有资产监督管理委员会? 张声宏老师
《数字时代:基于行业最佳实践的安全保护框架》站在体系化、系统化的高度,以网络安全问题的产生、预警、防护、处置为主线,从法规、政策、标准、资源配置、人力资源、认证评估、新技术应用、一体化运营等多要素出发,总结了多年网络安全保护的成功经验和最佳实践,为进一步解决网络安全技术和产品分散、体系化不足、产业不够发展、运行保障模式陈旧等一系列重要问题进行了有益的探索,提出了基本框架,具有很强的指导意义。
-- 中国网络安全审查技术与认证中心? 王连印老师
报告成果为国内近年来网络安全发展准确把脉,提出的安全架构体系完善,方向精准,能够有效指导国内企业网络安全建设。
-- 中国交通建设集团有限公司? 刘学忠老师
框架综合了国内外政策法规标准和实践,规模宏大,内容丰富,信息量很大,涵盖了各个层面工作以及管理和监管,技术和运营多个体系,实属不易,对网络安全中长期规划和总体设计具有较好的指导性。
-- 国家能源局? 胡红升老师
"安全保护框架"结合基础保护要求,在网络安全实战化条件下提出了"一体化"概念,并给出了行业最佳实践,可以为企业的网络安全体系建设提供有效的指导,并提升企业的威胁发现、监测预警、应急指挥、攻击溯源能力。希望本框架能够发挥指引作用,帮助更多的企业更快、更好地开展网络安全工作。
-- 北京市燃气集团有限责任公司? 王广清老师
数字时代基于行业最佳实践的安全保护框架,既有"一个顶层指引、两层基础台阶、三个保护层级和安全体系、四个重要支柱"高屋建瓴的宏观架构,在微观处又有基于行业最佳实践对三个保护层级,和三个安全体系中网络安全保护框架建设要点的指引,体现了数字新时代网络安全行业专家的集体智慧,为国家关键信息基础设施和重点行业网络安全防护体系建设提供了全面细致的落地指导。
-- 清华大学? 诸葛建伟老师
任何理论都有它的适用性和局限性,安全保护框架也是如此,正因多样的、多姿多彩的各种安全框架存在,才让网络安全充满魅力和无限可能。
-- 平安科技(深圳)有限公司? 刘凯老师
PCSA自2020年以来,相继发布了"年度红蓝攻防全景推演系列套图"、"三化六防挂图作战解决方案"研究成果,每次我都会认真学习研究,为网络安全工作提供和很多思路和方向。本次发布的"基于行业最佳实践的安全保护框架",综合梳理了网络安全管理者、安全运营者在面对日益严格细致的合规要求以及常态化的网络安全对抗环境下,如何有效的将合规要求与实际场景进行结合,并且一步一步进阶,在满足合规的基础上,实现体系化对抗能力,从中也看到了一体化运营在其中发挥的巨大作用。该框架为关基单位开展网络安全工作提供了基本的指导。希望PCSA未来不断总结实践经验,结合网络安全发展特点,推出更多有指导意义的网络安全解决方案。
-- 中国海油石油集团有限公司? 王英梅老师
开拓进取,守护信息化的生命线;
砥砺前行,铸就网络空间的万里长城。
-- 全国人大信息中心? 吕植老师
在数字时代,网络安全涉及方方面面,需要从战略和全局的视角来全面考虑和保障信息安全。编制组非常用心,从法律法规、国家行业标准及各业务的最佳实践入手,全面梳理网络安全从合规、管理、技术、运营和实践各方面,让从业人员有一个全局、直观、方便的了解国家、行业的政策和最佳实践,对自身应该如何实施网络安全具有非常的指导意义。
-- 国家信息中心? 邵国安老师
《基于行业最佳实践的安全保护框架》可以网安产业、行业用户和安全从业者提供一个共性安全保护框架模型,主要用于如下几个方面:
一、为颁布新安全政策、标准体系与现有安全合规基础体系的融合衔接提供支撑;
二、为在新形势下具备全局安全视野、识别关键要素、突破共性问题提供路径;
三、为在新时代满足安全监管要求,逐步实现安全管理、安全技术和安全运营多体系融合,实现看管监控、平战结合一体化提供方法。
-- 国务院法制办公室? 孔祥清老师
在数字化转型的时代背景下,"安全保护框架"给出了建立融合管理、技术、运营为一体的安全体系,值得各行各业仔细研读,对照监管要求和实战需要,补齐发展中的安全短板,走上智能化协同保护之路。
-- 教育部? 任昌山老师
"安全保护框架"层次分明、结构清晰、考虑全面、管理与技术并重,是对国家整体网络安全工作的一次系统性解构,希望可以继续优化完善,为国家级企事业单位安全工作开展、安全产业发展均提供有力指引。
-- 生态环境部? 秦宇老师
安全保护框架从全局的视角综合考虑了安全保护工作的各个方面,构建数据资产化安全治理及资产安全运营是做好强化安全保护的重点和关键点,数据价值从数据资源到数据资产到数据资本三个不同的发展阶段,对应着不同的数据安全保护程度及保护能力,需要通过证据链的形式确认是否是合法权益方、交易方、授权方,方可进行电子化、流程化的访问控制、产权转移、数据流通等具体活动。
-- 海关总署? 刘涤西老师
数字时代保护框架基于行业最佳实践,顶层设计逻辑性强,架构层次关系清晰,符合税务行业安全体系建设需求,有较强的指导作用。
-- 国家税务总局湖北省税务局? 秦宏老师
护航数字安全不遗余力,助力数字经济行稳致远。希望数字安全大会的顺利召开,能够为企业筑牢数字安全的"铜墙铁壁",为数字经济的安全稳定发展贡献绵薄之力。
期待"第二届数字安全大会"的到来,7月23日北京见。
当然,错过本次启动会直播的小伙伴可以关注CIO时代公众号【CIO时代网】查看回放。