企业合规管控企业合规管控_派拉软件

企业合规管控

政策法规

√ 2021年8月20日，人大常务委员会通过了《个人信息保护法》，11月1日正式实施。对个人信息的收集、存储、使用、加工、传输、提供、公开、删除作出了相应的规定与要求。
√ 2021年6月10日，人大常务委员会通过了《数据安全法》，9月1日正式实施。对数据的收集、存储、使用、加工、传输、提供、公开等数据处理以及数据安全、运维都作了相应的规定与要求。
√ 2019年5月13日，国家标准化管理委员会发布了新修订的2.0版《网络安全等级保护基本要求》，12月1日正式实施。
√ 等保2.0注重全方位主动防御、动态防御、整体防控和精准防护，除了基本要求外，还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。
√ 等保2.0中身份治理关联功能与提升点(24项)：

序号	类别	控制点	基于身份安全提升	安全提升点
1	网络安全	网络架构	√	统一访问入口与端口安全
2		通信传输	√	SSL/TSL网络准入
3		可信验证	√	身份鉴别与身份强认证
4		边界防护	√	内部身份治理与外部身份治理
5		访问控制	√	安全认证与统一访问
6		入侵防范	√	身份鉴别
7		恶意代码和垃圾邮件防范
8		安全审计	√	身份与行为审计
9		系统管理
10		安全管理	√	身份安全管理
11		集中管控	√	账号与认证集中管控
12	主机安全	身份鉴别	√	身份开通与鉴权
13		访问控制	√	安全认证与统一访问
14		安全审计	√	身份与行为审计
15		入侵防范	√	身份鉴别
16		恶意代码防范
17		可信验证	√	身份鉴别与身份强认证
18		数据完整性
19	应用安全	数据保密性	√	身份权限集中管控
20		数据备份恢复
21		剩余信息保护
22		个人信息保护	√	身份信息加密与使用控制
23		身份鉴别	√	身份开通与鉴权
24		访问控制	√	安全认证与统一访问
25		安全审计	√	身份与行为审计
26	系统运维管理	环境管理	√	特权账号管理
27		设备管理	√	服务器维护认证与权限管理
28		网络和系统安全管理	√	身份堡垒与认证
29		漏洞和风险管理
30		恶意代码防范管理
31		配置管理
32		密码管理	√	集中安全认证与密码加密
33		外包运维管理	√	外部人员身份管理

方案架构

为满足政策法规与管控，企业需要构建一套基于身份安全、数据安全、网络安全为底座的零信任架构体系

应用场景

No.1

安全审计

1. 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
3. 应对防止未经授权的中断。审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；
4. 应对审计进程进行保护
No.2

数据保密性

1. 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；
No.3

数据完整性

1. 应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；
No.4

个人信息保护

1. 应仅采集和保存业务必需的用户个人信息；
2. 应禁止未授权访问和非法使用用户个人信息。

业务价值

信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

可信

即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。

可控

即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。

可管

即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。