PowerPoint 演示文稿 - PDF 免费下载

金融行业网络安全法合规就绪江玮普华永道管理咨询 ( 上海 ) 有限公司信息安全咨询主管高级经理

议题网络安全法网络安全等级保护.0 个人信息和重要数据保护认证的网络设备和服务

网络安全法

迅速着陆的长途旅行 10 年前工业和信息化部专用网络规则制定工作启动第一稿颁布信息安全条例 013 014 二月 015 六月 016 七月 016 十一月 017 六月国家互联网办公室第二稿生效国际工商业界的关注全国人民代表大会高票通过

监管机构中央政府中共中央网络安全和信息化领导小组办公室工信部公安部北京大学国家发展研究院中国国家保密局国家密码管理局行业监管跨部门跨中央及地方政府共同治理模式

网络安全法重点及关键信息基础设施网络运营者关键基础设施跨境数据流等级保护公共通讯信息服务能源网络实名要求网络安全国家安全审查交通水利金融认证的服务和设备合作与监管公共服务电子政务个人数据保护信息基础设施在损害功能丧失或者数据泄露的情况下, 可能危及国家安全民生和公共利益

网络安全法对金融机构的关键要求网络安全等级保护.0 个人信息和重要数据保护认证的网络设备和服务

网络安全等级保护.0

安全保护等级受侵害的客体公民法人和其他组织的合法权益一般损害对客体的侵害程度严重损害特别严重损害第一级第二级第三级社会秩序公共利益第二级第三级第四级国家安全第三级第四级第五级

不同等级的安全保护能力等级第一级第二级第三级第四级第五级安全保护能力应能够防护免受来自个人的拥有很少资源的威胁源发起的恶意攻击一般的自然灾难以及其他相当危害程度的威胁所造成的关键资源损害, 在自身遭到损害后, 能够恢复部分功能应能够防护免受来自外部小型组织的拥有少量资源的威胁源发起的恶意攻击一般的自然灾难以及其他相当危害程度的威胁所造成的重要资源损害, 能够发现重要的安全漏洞和安全事件, 在自身遭到损害后, 能够在一段时间内恢复部分功能应能够在统一安全策略下防护免受来自外部有组织的团体拥有较为丰富资源的威胁源发起的恶意攻击较为严重的自然灾难以及其他相当危害程度的威胁所造成的主要资源损害, 能够发现安全漏洞和安全事件, 在自身遭到损害后, 能够较快恢复绝大部分功能应能够在统一安全策略下防护免受来自国家级别的敌对组织的拥有丰富资源的威胁源发起的恶意攻击严重的自然灾难以及其他相当危害程度的威胁所造成的资源损害, 能够发现安全漏洞和安全事件, 在自身遭到损害后, 能够迅速恢复所有功能略

技术要求与管理要求根据实现方式的不同, 安全要求分为技术要求和管理要求两大类技术类安全要求与提供的技术安全机制有关, 主要通过部署软硬件并正确的配置其安全功能来实现 ; 管理类安全要求与各种角色参与的活动有关, 主要通过控制各种角色的活动, 从政策制度规范流程以及记录等方面做出规定来实现

等保.0 的变化技术要求物理安全网络安全主机安全应用安全数据安全及备份恢复等保 1.0 基本要求管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理技术要求物理及环境安全网络及通信安全设备及计算安全应用及数据安全等保.0 通用要求管理要求安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理等保.0 扩展要求云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制安全扩展要求大数据安全扩展要求

等保.0 技术要求 A S 物理与环境安全网络与通信安全设备与计算安全应用与数据安全物理位置选择 1 网络架构 1 S 身份鉴别 1 身份鉴别物理访问控制防盗窃和防破坏防雷击防火防水和防潮通讯传输边界防护访问控制入侵防范恶意代码防范 1 1 S A 访问控制安全审计入侵防范恶意代码防范资源控制 1 1 1 1 访问控制安全审计软件容错资源控制数据完整性防静电温湿度控制电力供应电磁防护安全审计集中管控远程访问网络设备防护镜像和快照保护移动终端管控应用管控 S S A A S S A S S 数据保密性数据备份恢复剩余信息保护个人信息保护接口安全软件审核与检测 1 1 1 1 与 1.0 要求基本相同 1.0 其他组别中要求本组别要求有新增内容 1.0 其他组别要求有新增内容.0 新增内容云计算安全扩展要求移动互联安全扩展要求 1 云计算安全扩展要求移动互联安全扩展要求 S 信息安全类要求 A 服务保证类要求其他通用安全保护类要求

等保.0 管理要求安全策略和管理制度安全策略管理制度制定和发布评审和修订与 1.0 要求基本相同 1.0 其他组别中要求本组别要求有新增内容 1.0 其他组别要求有新增内容.0 新增内容云计算安全扩展要求 1 云计算安全扩展要求移动互联安全扩展要求安全管理机构和人员安全建设管理安全运维管理岗位设置 1 定级和备案环境管理人员配备授权和审批沟通和合作审核和检查人员录用人员离岗安全意识教育和培训外部人员访问管理网络设备防护安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级评测服务供应商选择供应链管理移动应用软件开发移动互联安全扩展要求 1 1 1 资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理外包运维管理监控和审计管理 S 信息安全类要求 A 服务保证类要求其他通用安全保护类要求

从体系, 架构, 场景, 威胁, 控制到解决方案基于 ISO7001 打造安全管理体系, 参考 CSA 进行架构设计, 利用 OSA 场景分析方法及 ISF IRAM 工具对各安全场景进行威胁分析并对应到结合 NIST SP800-53, 网安法, 等级保护以及其他金融法律法规的安全控制目标库, 以形成可切实落地并有效考核 (NIST SP800-55) 的解决方案网安法 / 等级保护其他行业法律法规体系架构场景威胁 / 漏洞控制方案安全体系安全职责安全流程管理文档数据安全架构应用安全架构技术安全架构移动安全架构云安全架构物联网安全架构大数据安全架构运营安全架构应用安全场景数据安全场景技术安全场景移动安全场景云安全场景物联网安全场景大数据安全场景运营安全场景故意威胁过失威胁物理环境威胁技术漏洞运营漏洞控制目标控制措施控制级别绩效指标实施路径平台选择绩效考评维护更新

个人信息和重要数据保护

定义个人信息的定义 : 个人信息, 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息的各种信息, 包括但不限于自然人的姓名出生日期身份证号码通信通讯联系方式个人生物识别信息住址账号密码财产状况位置和行为信息等网络安全法 76 条第 5 款 ; 个人信息和重要数据出境安全评估办法 17 条 ; 数据出境安全评估指南 3.3 个人敏感信息的定义 : 一旦泄露非法提供或滥用可能危害人身和财产安全损害个人名誉和身心健康导致歧视性待遇等的个人信息. 数据出境安全评估指南 3.4 重要数据的定义 : 指与国家安全经济发展, 以及社会公共利益密切相关的数据 ( 数据出境安全评估指南中列出 7 个个行业领域的重要数据范围 ) 个人信息和重要数据出境安全评估办法 17 条 ; 数据出境安全评估指南 3.5

金融行业重要数据范围金融机构安全信息 a) 新产品研发方案以及研发过程中产生的相关记录和数据 ; b) 技术方案电路设计计算机软件源代码和目标码数据库研究开发记录技术报告检测报告实验数据实验结果图纸等技术文档 ; c) 产品销售信息市场调研信息市场营销计划财务资料业务分析研究成果等经营资料 ; d) 客户名单客户身份资料客户交易记录等客户资料 ; e) 内部安全保卫制度操作细节银行业务使用的密押编制方案及专用暗记代号指令密码 ; f) 其他一经泄露会对各金融机构安全和利益造成损害的信息中央银行金融监管部门外汇管理部门工作中产生的不涉及国家秘密的工作秘密

金融行业重要数据范围 ( 续 ) 自然人法人和其他组织金融信息息 a) 个人财产信息包括个人收入状况拥有的不动产状况拥有的车辆状况纳税额公积金缴存金额等 ; b) 账户信息包括银行结算账户和支付账户的信息主要要素为 : 账号名称账号账户类型账户开立时间开户机构绑定账户信息账户验证信息 ( 含客户身份外部渠道验证信息 ) 账户映射的敏感介质信息 ( 如银行卡有效期验证码磁道信息等 ) 账户余额账户交易情况等 ; c) 个人信用信息包括信用卡还款情况贷款偿还情况以及个人在经济活动中形成的, 能够反映其信用状况的其他信息 ; d) 自然人法人和其他组织金融交易信息包括银行业金融机构证券业金融机构保险业金融机构交易及结算类金融机构非银行支付机构等各类金融机构办理业务时获取的自然人法人和其他组织交易信息 ; e) 身份信息包括个人身份信息和单位身份信息其中个人身份信息包括个人姓名性别国籍民族身份证种类号码及有效期限职业联系方式婚姻状况家庭状况住所或工作单位地址及照片等单位身份信息包括单位名称统一社会信用代码类型法定代表人 ( 负责人 ) 姓名及身份证件号码经营场所联系方式等 ; f) 衍生信息包括个人消费习惯投资意愿等对原始信息进行处理分析所形成的反映特定个人某些情况的信息 ; g) 在与自然人法人和其他组织建立业务关系过程中获取保存的其他自然人法人和组织信息

网络安全法中针对个人信息保护的条款与国际隐私框架的对比 APP APEC NIST 中国网络安全法 1 管理 Management 责任原则 Accountability 责任, 审计和风险管理 Accountability, Audit & Risk Management ( 第四十条 ) 网络运营者对其搜集的用户信息严格保密, 建立健全用户信息保护制度 ; 告知 Notice 告知 Notice 透明度 Transparency ( 第四十一条 ) 网络运营者收集使用个人信息, 应公开搜集使用规则, 明示搜集使用信息目的方式和范围并经被搜集者同意 ; 3 选择和同意 Choice and Consent 4 采集 Collection 5 使用保留和处置 Use, Retention & Disposal 选择 Choice 搜集限制原则 Collection Limitations 个人信息使用 Use of Personal Information 6 访问 Access 访问和更改 Access and Correction 7 向第三方披露 Disclosure to Third Parties 8 隐私安全 Security for Privacy 责任原则 Accountability 安全管理原则 Security Safeguards 9 质量 Quality 完整性原则 Integrity of Personal Information 10 监控执法 Monitoring & Enforcement 预防损害 Preventing Harm 授权与目的 Authority & Purpose 数据最少化和保留 Data Minimization & Retention 使用限制 Use Limitation 个人参与和补偿 Individual Participation & Redress 使用限制 Use Limitation 安全 Security 数据质量与完整性 Data Quality & Integrity 责任, 审计和风险管理 Accountability, Audit & Risk Management ( 第四十一条 ) 不得违反法律行政法规的规范和双方约定收集使用个人信息, 并按法律行政法规规定和用户约定, 处理其保存的个人信息 ; 网络运营者收集使用个人信息, 应经被搜集者同意 ; ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, ( 第四十一条 ) 网络运营者收集使用个人信息, 应遵循合法正当必要原则 ; 不得搜集与其服务提供无关的个人信息 ; ( 第四十一条 ) 不得违反法律行政法规的规范和双方约定收集使用个人信息, 应当依照法律行政法规的规定和与用户的约定, 处理其保存的个人信息 ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, 但是经过处理无法识别特定个人且不能复原的除外 ; ( 第四十四条 ) 不得非法出售或非法向他人提供个人信息 ; 第四十三条 ) 个人发现网络运营者违法法律行政法规的规定或双方约定收集使用个人信息的, 有权要求删除其个人信息, 发现有错误的有权要求网络运营者更正网络运营者应采取措施删除或更正 ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, 但是经过处理无法识别特定个人且不能复原的除外 ; ( 第四十四条 ) 不得非法出售或非法向他人提供个人信息 ; ( 第四十二条 ) 应当采取技术措施和其他必要措施, 确保信息安全防止在业务活动中收集的公民个人电子信息泄露毁损丢失在发生或者可能发生信息泄露毁损丢失的情况时, 应当立即采取补救措施 ; ( 第四十二条 ) 网络运营者不得泄露篡改毁损其搜集的个人信息 ; ( 第四十九条 ) 网络运营者应当建立网络信息安全投诉举报制度, 公布投诉举报方式等信息, 及时受理并处理有关网络信息安全的投诉与举报 ;

敏感数据发现 1 st nd 3 rd 自上而下访谈专题讨论文档审查自上而下的方法聚焦于评估已知环境通过定制化的访谈和一系列专题讨论并对相关文档的审查来更好地理解已知环境并收集数据生命周期活动的信息和所支持的控制 nd 结构化数据非结构化数据数据验证内容分析 nd 1 st 字段名扫描文件元数据扫描 1 st 自下而上针对结构化和非结构化数据自下而上的方法通过部署各种自动化工具和扫描程序来识别以前未知的风险区域, 扫描类型可包括正则表达式, 关键字匹配和精确数据匹配等, 存储或传输中的数据都可被扫描以便进行内容感知检测

皇冠明珠数据保护数据生命周期 A 定义关键信息资产使用评估 B 主要敌对威胁创建传输存储销毁 C 确定需要的保护途径网络攻击链执行侦测获取访问维持控制损害信息利用信息抵御主要敌对威胁 D E 保护信息生命周期

自适应安全架构下的防信息泄漏预测 (Predict) 用户员工监控, 身份访问管理, 入侵指标分析等信息敏感数据发现, 数据地图, 皇冠明珠保护等防止 (Prevent) UEBA ( 机器学习能力 - 画像 / 异常 ) DLP ( 机器学习能力 - 内容感知 ) 数据关联 ( 结构化数据, 非结构化数据, 网络数据, 终端数据, 应用安全数据等 ) 响应 (Respond) 发现 (Detect)

认证的网络设备和服务

网络产品和服务安全审查办法设备产品重点审查内容 : 认证 CII 是义务责任否销售提供否国家安全是审查 CII 保护工作部门确定 1) 产品和服务被非法控制干扰和中断运行的风险 ; ) 产品及关键部件研发交付技术支持过程中的风险 ; 网络安全审查办公室组织第三方机构专家对网络产品和服务进行网络安全审查金融电信能源等重点行业主管部门组织开展本行业本领域网络产品和服务安全审查工作 3) 产品和服务提供者利用提供产品和服务的便利条件非法收集存储处理利用用户相关信息的风险 ; 4) 产品和服务提供者利用用户对产品和服务的依赖, 实施不正当竞争或损害用户利益的风险 ; 5) 其他可能危害国家安全和公共利益的风险

Thank You