PCSA●數(shù)世咨詢●數(shù)說安全●CIO時(shí)代/安全學(xué)院中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)聚合中國關(guān)鍵安全能力，賦能數(shù)字智能時(shí) 研究背景：安全從合規(guī)走向?qū)崙?zhàn)&協(xié)智能化、智慧化信息化體系化第一階段：合規(guī)基礎(chǔ)驅(qū)動(dòng)2004-2016數(shù)據(jù)化數(shù)字化第二階段：實(shí)戰(zhàn)強(qiáng)化驅(qū)動(dòng)2016年-十四五n運(yùn)營單位需要滿足監(jiān)管新要求，實(shí)現(xiàn)看管監(jiān)控一體化，面對(duì)實(shí)戰(zhàn)化，實(shí)現(xiàn)平戰(zhàn)結(jié)合一體化，安全走向場(chǎng)景業(yè)務(wù)化、平臺(tái)化、運(yùn)營化，亟待解決多年共性問題頑疾，實(shí)第三階段：協(xié)同保護(hù)驅(qū)全安全政策：密集出臺(tái)運(yùn)營單位應(yīng)接不國際安全形勢(shì)日趨嚴(yán)峻，監(jiān)管日趨嚴(yán)格，安全法律法規(guī)密集出臺(tái)，各行業(yè)開展十四五安全規(guī)劃，如何進(jìn)行多體系融合，國際安全形勢(shì)日趨嚴(yán)峻，監(jiān)管日趨嚴(yán)格，安全法律法規(guī)密集出臺(tái)，各行業(yè)開展十四五安全規(guī)劃，如何進(jìn)行多體系融合，需要一個(gè)能夠參考的安全保護(hù)框架，將安全戰(zhàn)略與業(yè)務(wù)發(fā)展融合，原體系與新要求融合，安全管理、技術(shù)與運(yùn)營融合一體化，監(jiān)管視角看管監(jiān)控融合一體化，實(shí)戰(zhàn)場(chǎng)景下的平戰(zhàn)融合一體化。……安全工作：從困惑到清困惑及問題困惑及問題持續(xù)研究持續(xù)研究新時(shí)代新時(shí)代安全保護(hù)框架積木式積淀積木式積淀感謝感謝：數(shù)十個(gè)產(chǎn)業(yè)、行業(yè)安全專家共同研討，凝聚智慧結(jié)晶，形成較為清晰、可落地實(shí)踐的安全保護(hù)框架！安全保護(hù)框架的定安全運(yùn)營單位適度全局適度全局行業(yè)共性答疑解惑行業(yè)共性答疑解惑不同角色不同視角不同困惑共性問題共性頑疾共性經(jīng)驗(yàn)宏觀全局中觀架構(gòu)微觀要素演示者-----------------------------------------------------------------------總體國家安全觀：國家網(wǎng)絡(luò)空間安全戰(zhàn)略+（網(wǎng)絡(luò)安全法律法規(guī)標(biāo)準(zhǔn)規(guī)范及監(jiān)管要求、組織戰(zhàn)略） 二、“3”個(gè)安全體系：融合一體化安全管理體系、安全技術(shù)體系、安全運(yùn)營體系 三、“3”個(gè)保護(hù)層次：模塊合規(guī)基礎(chǔ)保護(hù)層、實(shí)戰(zhàn)強(qiáng)化保護(hù)層、指揮協(xié)同保護(hù)層四、“4”四、“4”個(gè)重要支柱：有效落資源保障、能力提升安全常態(tài)化背景、安全業(yè)務(wù)化趨勢(shì)法律法規(guī)標(biāo)準(zhǔn)規(guī)范：覆蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全、密碼安全、個(gè)人信息保護(hù)、供應(yīng)鏈安全、關(guān)鍵信息基礎(chǔ)設(shè)監(jiān)管部門及行業(yè)主管部門要求：網(wǎng)信辦、公安部、密碼管理局、工信部、國資委、人民銀行、能源局等監(jiān)9完善安全管理體系、安全技術(shù)體系，構(gòu)建安全運(yùn)營體系，實(shí)現(xiàn)安全管理、安全運(yùn)營、安全技術(shù)的常態(tài)安全技術(shù)體系：梳理保護(hù)措施、整合防護(hù)手段、構(gòu)建安全管理體系：落實(shí)管理制度、優(yōu)化管理組織、強(qiáng)化安全運(yùn)營體系：組建運(yùn)營團(tuán)隊(duì)、制定運(yùn)營流程、搭建演示演示者兩個(gè)三兩個(gè)三對(duì)調(diào)融合：將安全管理體系、安全技術(shù)體系融入到安全將安全管理體系中建立的各類制度標(biāo)準(zhǔn)、組建的團(tuán)隊(duì)融合：將安全管理體系、安全技術(shù)體系融入到安全將安全管理體系中建立的各類制度標(biāo)準(zhǔn)、組建的團(tuán)隊(duì)人才融入安全運(yùn)營體系，實(shí)現(xiàn)安全管理指標(biāo)化、管理將安全技術(shù)體系中建立的各類安全能力探針融入到安強(qiáng)化：面向體系化對(duì)抗，強(qiáng)化安全管理和安全技術(shù)延伸：面向系統(tǒng)性風(fēng)險(xiǎn)，聚焦供應(yīng)鏈安全，延伸安指揮協(xié)同保護(hù)層：聚焦多場(chǎng)景、多角色、多視角合規(guī)基礎(chǔ)保護(hù)層：主要完成IT基礎(chǔ)環(huán)境中供應(yīng)鏈安全（“清潔的空氣、干凈的水、安全的食物”）合規(guī)基礎(chǔ)保護(hù)層：供應(yīng)鏈安供應(yīng)鏈安全：加強(qiáng)ICT供應(yīng)鏈管理，落實(shí)網(wǎng)絡(luò)安全在安全管理層面，不斷健全制度、完善機(jī)制、構(gòu)建組織、梳理底賬；在安全技術(shù)層面，通過準(zhǔn)入驗(yàn)證、安面對(duì)供應(yīng)商、第三方人員、信息服務(wù)、軟件開發(fā)、系統(tǒng)硬件及系統(tǒng)軟件等不同對(duì)象，有針對(duì)性地落實(shí)網(wǎng)絡(luò)合規(guī)基礎(chǔ)保護(hù)層：合規(guī)安合規(guī)安全：通過等級(jí)保護(hù)、F級(jí)保護(hù)、數(shù)據(jù)安全、密碼保護(hù)、商業(yè)秘密保護(hù)、個(gè)人信息保護(hù)等合規(guī)工作的開展，逐步積淀出安全管理體系、安全技術(shù)體系安全管理體系：聚焦管理制度、管理組織、人員管理、安全技術(shù)體系：聚焦物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、實(shí)戰(zhàn)強(qiáng)化保護(hù)層：重點(diǎn)關(guān)鍵點(diǎn)-資產(chǎn)安全運(yùn)保護(hù)對(duì)象由信息系統(tǒng)、云計(jì)算、工業(yè)控制系統(tǒng)、物聯(lián)構(gòu)建資產(chǎn)與業(yè)務(wù)、服務(wù)、端口、權(quán)責(zé)等細(xì)粒度的關(guān)聯(lián)實(shí)現(xiàn)輕量與全量、歷史與實(shí)時(shí)、動(dòng)態(tài)與靜態(tài)的資產(chǎn)安實(shí)戰(zhàn)強(qiáng)化保護(hù)層：重點(diǎn)關(guān)鍵點(diǎn)-數(shù)據(jù)安全運(yùn)數(shù)據(jù)安全運(yùn)營：建立以數(shù)據(jù)權(quán)益保護(hù)為核心的數(shù)據(jù)在數(shù)據(jù)全生命周期保護(hù)的基礎(chǔ)上，聚焦數(shù)據(jù)價(jià)值釋放緊抓數(shù)據(jù)分類分級(jí)分層保護(hù)、數(shù)據(jù)確權(quán)、主責(zé)數(shù)據(jù)控制與保護(hù)、流動(dòng)安全監(jiān)管、數(shù)據(jù)流動(dòng)審計(jì)追溯等關(guān)鍵打造數(shù)據(jù)安全運(yùn)營中心，深度融合數(shù)據(jù)安全技術(shù)、管理、運(yùn)營、監(jiān)管，實(shí)現(xiàn)安全監(jiān)管一體系、數(shù)據(jù)態(tài)勢(shì)一實(shí)戰(zhàn)強(qiáng)化保護(hù)層：重點(diǎn)關(guān)鍵點(diǎn)-智能化安全運(yùn)智能安全中樞：聚合可信任、可訓(xùn)練、可持續(xù)的數(shù)據(jù)，利用智能分析與算法對(duì)抗主引擎，構(gòu)建由“認(rèn)知域、神全維全域監(jiān)測(cè)：建立橫向到邊、縱向到底全方位監(jiān)測(cè)能力，實(shí)現(xiàn)能力生態(tài)化支撐下的多維度安全狀態(tài)與風(fēng)險(xiǎn)的快速持續(xù)響應(yīng)：建立平戰(zhàn)結(jié)合、多角色聯(lián)動(dòng)的快速持續(xù)精準(zhǔn)研判預(yù)測(cè)：基于可信數(shù)據(jù)源，利用多類規(guī)則算法進(jìn)動(dòng)態(tài)縱深防御：根據(jù)研判預(yù)測(cè)結(jié)果，基于劇本自動(dòng)化編指揮協(xié)同保護(hù)層業(yè)主管部門、與行業(yè)單位之間的協(xié)同機(jī)制，實(shí)現(xiàn)安組織內(nèi)部協(xié)同：明確組織內(nèi)部安全相關(guān)人員的責(zé)權(quán)利邊監(jiān)管部門、行業(yè)主管部門協(xié)同：從安全監(jiān)管視角，協(xié)同行業(yè)單位協(xié)同：基于各行業(yè)特性，建立行業(yè)運(yùn)營單位看信息共享：建立信息共享機(jī)制，實(shí)現(xiàn)安全事件、漏洞信息、情報(bào)信息、最佳實(shí)踐等在組織內(nèi)部、行業(yè)、監(jiān)管部指揮協(xié)同：建立協(xié)同指揮機(jī)制，聚焦資源協(xié)同、能力協(xié)同、應(yīng)急協(xié)同、生態(tài)協(xié)同等，實(shí)現(xiàn)組織內(nèi)外部統(tǒng)一指揮安全保護(hù)框架：“4”個(gè)重要支柱—背景與趨安全保護(hù)框架：“4”個(gè)重要支柱—保障與提戰(zhàn)略層：全組織、全流程宣貫組織層：決策-管理-執(zhí)行-運(yùn)營組織架構(gòu)資金層：統(tǒng)一規(guī)劃、分階段持續(xù)投入業(yè)務(wù)洞悉能力：洞悉并匹配業(yè)務(wù)愿景、數(shù)字化規(guī)劃、行業(yè)特點(diǎn)、發(fā)展步調(diào)四同步能力：同步規(guī)劃、同步標(biāo)準(zhǔn)、同步建設(shè)、同步使用軟硬實(shí)力：提升安全意識(shí)、人才技能，打造平臺(tái)工具，具備安全威懾能力再次感謝各位專家的真知灼見！！！研究團(tuán)隊(duì)將持續(xù)研究落地行業(yè)歡迎聯(lián)系研究組推演過程以安全場(chǎng)景化、安全模塊化、安全業(yè)務(wù)化為積淀，結(jié)合多年安全實(shí)戰(zhàn)經(jīng)驗(yàn)，參考并借鑒國際安全保護(hù)框架優(yōu)秀思路，經(jīng)歷持續(xù)、大量的研討、評(píng)判、推翻、重來、修訂的推演打磨，形成了《數(shù)字時(shí)代—基于行業(yè)最佳實(shí)踐的安全保護(hù)框架》。……研究團(tuán)隊(duì)簡介中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)PCSA安全能力者聯(lián)盟/安全研究院數(shù)世咨詢數(shù)說安全CIO時(shí)代/安全學(xué)院協(xié)會(huì)指導(dǎo)下籌建并由民政部批準(zhǔn)成立，領(lǐng)導(dǎo)機(jī)構(gòu)為主任委員會(huì)，聘請(qǐng)何德全、沈昌祥、方濱興院士為顧蓋了信息安全的各個(gè)領(lǐng)域，包括信息安全主管部門、國家重要基礎(chǔ)設(shè)施單位、信息安全保障機(jī)構(gòu)、軍方能安全等領(lǐng)域，解決行業(yè)長期共性頑疾與共性痛點(diǎn)，持續(xù)為用戶打造安全中樞；【定位】數(shù)字安數(shù)字安全業(yè)務(wù)平臺(tái)化、數(shù)字安全業(yè)務(wù)運(yùn)營化；【致力于】研究問