CIS2019-等保2.0论坛-超越合规视角的安全治理框架-宇辰.pdfVIP

超越合规视角的安全治理框架 宇宸 1. 网络安全能力模型 2. 从不同维度关注安全 3. 网络安全维度能力建设 网络安全能力模型 网络安全能力模型 全球网络安全能力中心能力成熟度模型（GCSCC CMM ）的 首个版本出版于2014年，2017年更新为最新版本。国家的 网络生态系统被认为由五个维度构成： D1 –网络安全政策和战略 D2 –网络文化与社会 D3 –网络安全教育、培训和技能 D4 –法律和监管框架 Global Cyber Security Capacity Centre D5 –标准、组织和技术 Capacity Maturity Model 网络安全能力模型 兰德公司于2018年8月发布报告 《发展网络安全能力》 （Developing Cybersecurity Capacity ），旨在促进国 家级网络安全能力建设计划以及整体政策和投资战略的制定， 以应对网络领域的挑战。报告中，对国家网络成熟度进行了 详细的审查和评估，并将其结论更好地转化为切实的政策建 议和投资战略，使政策制定更好地增强该国的网络安全能力。 从不同维度关注安全 从不同维度关注安全 D 1 网络安全政策和战略维度 D 2 网络文化与社会维度 D1.1 –国家网络安全战略 D1.5 –网络防御 D2.1 –网络安全心态 D1.2 –安全应急响应 D1.6 –通信冗余 D2.2 –对互联网的信任和信赖 D1.3 –关键基础设施保护 D2.3 –用户对于线上个人信息保护的理解 D1.4 –危机管理 D2.4 –报告机制 D2.5 –媒体和社交媒体 从不同维度关注安全 D 3 网络安全、教育、培训与技能维度 D 4 法律法规框架维度 D3.1 –意识提升 D4.1 –法律框架 D3.2 –网络安全教育框架 D4.2 –刑事司法系统 D3.3 –专业培训框架 D4.3 – 以打击网络犯罪为目的的正式/非正式合作框 架 从不同维度关注安全 D 5 标准、组织和技术维度 D5.1 - 遵守标准 D5.5 - 密码控制 D5.2 - 互联网基础设施的弹性 D5.6 - 网络安全市场 D5.3 - 软件质量 D5.7 –责任性披露 D5.4 - 技术安全控制 网络安全维度能力建设 网络安全维度能力建设 D1.1 –国家网络安全战略 侧重于制定、审查和更新国家网络安全战略的能力，有助于确定 网络安全行动的优先顺序，确定责任，并分配相关资源。 D1.2 –安全应急响应 关注安全应急响应能力，特别是在国家层面上