电信网和互联网网络安全能力成熟度评价模型.pdfVIP

电信网和互联网网络安全能力成熟度评价模型 1 范围 本文件规定了电信网和互联网网络安全能力成熟度模型的构成、等级划分标准、关键能力域和成熟 度要求。 本文件适用于指导电信网和互联网网络运营者和第三方安全评价机构开展电信网和互联网网络安 全能力评价活动，也适用于运营者开展网络安全能力建设及电信管理机构实施监督管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 5271.8-2001 信息技术 词汇 第8部分:安全 3 术语和定义 GB/T 5271.8-2001界定的以及下列术语和定义适用于本文件。 能力成熟度模型 capability maturity model 评价各项实践、过程和方法当前能力水平，并提出改进目标及优先级的一种指标体系。 4 概述 能力成熟度评价 电信网和互联网网络安全能力成熟度评价的评价对象为电信网和互联网网络运营者 （如基础电信 企业集团二级部门、省公司，行业关键信息基础设施运营者、大型互联网企业等），通过对运营者建设、 运维电信网和互联网网络安全关键能力进行量化分析，科学评价运营者网络安全防护各项实践、过程和 方法当前的能力水平，提出改进目标、优先级及相关举措。 能力成熟度评价模型 网络安全能力成熟度评价模型包括能力成熟度等级、网络安全关键能力域、网络安全管理生命周期 3个维度，如图1所示。 4 图1 网络安全能力成熟度评价模型 能力成熟度评价将覆盖网络安全管理全生命周期，贯穿识别、防护、监测、处置各阶段，形成闭环。 电信网和互联网网络安全能力成熟度评价要素包括10个网络安全关键能力域，其中制度管理、组织 和人员管理、资产管理、风险管理、供应链管理等属于识别过程域，系统和通信防护、运行维护、检测 评估安全防护类过程域，态势感知、网络安全事件管理等属于监测、处置类过程域。通过量化评价能力 域及具体的评价指标，开展网络安全能力成熟度评价。 电信网和互联网网络安全能力成熟度等级即电信网和互联网安全防护能力的不同发展阶段，能力 成熟度等级分为五级，自低向高依次为初始级、控制级、规范级、优化级、卓越级，每个成熟度级别为 运营者网络安全防护能力所达到的水平，如表1所示。 表1 能力成熟度等级特征描述 成熟度等级 等级特征 关键词描述 具有成熟完善的网络安全管理体系与相应实践能力，实现数字 化、智能化，并在此基础上持续跟踪业界新型技术架构发展演进 五级：卓越级 智能、深度、创新引领 情况、主动探索实践，实现网络安全能力持续提升，引领带动行 业网络安全能力发展趋势。 具有应对较大网络安全威胁，处理相对复杂网络安全事件的能 四级：优化级 力，引入自动化机制，持续优化调整网络安全工作体系和文档规 积极、定期、持续更新 程，并能够根据实际情况动态灵活调整。 具有应对一般和部分较大网络安全威胁的能力，已形成体系化、 三级：规范级 充分、体系化、制度化 规范化的文档规程作为工作指导，定期主动开展安全检查。 具有应对一般安全威胁，处理一般性网络安全相关管理任务的能 二级：控制级 主动、部分、文档化 力，初步建立部分文档化规程体系作为