企业网络安全合规框架体系

云安全联盟大中华区发布报告《企业网络安全合规框架体系》（以下简称报告），该报告对典型业务场景给出了参考实例，供广大甲方单位、集成商、咨询机构参考。
近些年，随着国内网络安全领域相关法律、法规、政策文件、标准规范的发布和完善，我国目前已经建立了比较完善的网络安全法律法规政策体系。

企业在越发复杂的业务场景下，其安全需求的驱动力主要来自三个方面：

1、合规驱动：逐渐完善的网络安全监管体系，给企业开展网络安全合规建设提出了更高的要求。

2、事件驱动：各种0Day事件、开源框架漏洞事件、供应链安全事件，以及层出不穷的勒索病毒、挖矿病毒，为企业的供应链安全提出了更加严峻的挑战。

3、风险驱动：APT攻击、商业黑客、运维人员误操作、内部人员恶意操作等事件，为企业的网络安全带来了极大威胁。

面对此种情况，很多企业感觉开展网络安全建设千头万绪，无从下手，因此需要有一个通用的、普适性的企业网络安全合规框架体系，为企业开展网络安全建设提供参考依据，并且要结合业界目前已经广泛使用的技术，如云计算、云原生、零信任、SASE等，并结合数据安全保护、个人信息保护、安全运营等场景化的需求，CSA GCR组织相关领域专家，编写了《企业网络安全合规框架体系》，为企业网络安全合规体系建设提供参考。

该企业网络安全合规框架体系为“1+2+SEC+N+1”架构。即：1个云安全底座+2个中台（网络安全能力中台+数据安全中台）+SEC（安全即服务）+N个业务场景+1个安全运营中心。

1个云安全底座

负责保障企业内部私有云、混合云安全，考虑到很多企业内部还存在传统网络，如IDC等场景，因此也需要按照等级保护2.0“一个中心，三重防护”的原则进行防护。

2个中台

包含网络安全能力中台和数据安全中台，网络安全能力中台内置六大能力：安全合规能力、资产管理能力、身份认证&授权能力、靶场仿真能力、攻防实战能力、大数据安全分析能力，为云上租户的业务系统、用户提供安全赋能，保障云上租户的业务安全。数据安全中台包括数据安全管理、数据安全技术、数据安全运营、个人信息保护的能力，为云上租户的数据安全提供赋能，保障数据全生命周期安全。

SEC

安全即服务（Security-as-a-Service），为云上租户提供安全托管MSS、MDR、SASE、风险监测、威胁狩猎、重保服务等安全服务。

N个场景

面向智慧金融、智慧政务、工业互联网等场景，提供场景化的安全保障。

1个安全运营中心

按照PPTD框架，即：People专业运营团队、Process安全处置流程、Technology大数据安全分析、Data安全大数据四个方面，建立安全运营体系。

整个框架体系遵循“三化六防”原则。

《企业网络安全合规框架体系》为企业开展网络安全建设提供了一种参考思路，也希望业界同仁提出修改建议，大家一起不断完善此框架。