《电信网和互联网网络安全能力成熟度评价方法》.docxVIP

ICS

ICS

35.030

CCS

L70

中 华 人 民 共 和 国 通 信 行 业 标 准

XXXXXXX—XXXX

电信网和互联网网络安全能力成熟度评价

方法

Maturityassessmentmethodforcybersecuritycapabilityoftelecomnetworkandinternet

(点击此处添加与国际标准一致性程度的标识)

（报批稿）

XXXX-XX-XX发布 XXXX-XX-XX实施

中华人民共和国工业和信息化部 发布

XX

XXXXXXX—XXXX

目 次

前 言1

1范围1

2规范性引用文件1

3术语和定义1

4概述1

基本原则1

4.1.1分级递进原则1

4.1.2全面参与原则1

4.1.3经济性原则1

基本流程1

相关角色2

成熟度等级3

5评价准备4

受理评价申请4

组建评价团队4

评价前预调研4

确定评价范围4

确定评价等级4

6评价计划4

评价方案编制5

能力域及权重确定5

作业指导书开发5

7评价实施5

评价启动会5

现场评价与结果记录6

7.2.1访谈6

7.2.2核查6

7.2.3测试7

结果确认与资料归还7

8评价分析7

评分方法7

计算方法7

等级判定8

9评价报告9

沟通评价结果9

改进提升建议9

形成评价报告9

组织评审会9

I

I

II

附录A（资料性）能力域及权重（示例）10附录B（资料性）能力成熟度总体得分与等级判定（示例）11附录C（资料性）评价报告（示例）12参考文献13

PAGE

PAGE1

电信网和互联网网络安全能力成熟度评价方法

1 范围

本文件规定了电信网和互联网网络安全能力成熟度的评价流程、评价方法和成熟度等级判定方法。本文件适用于指导电信网和互联网网络运营者和第三方安全评价机构开展电信网和互联网网络安

全能力成熟度评价活动。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

YD/TXXXXX电信网和互联网网络安全能力成熟度评价模型

3 术语和定义

GB/T5271.8-2001、YD/TXXXXX界定的术语和定义适用于本文件。

4 概述

基本原则

4.1.1 分级递进原则

电信网和互联网网络安全能力成熟度评价应按照YD/TXXXXX中定义的5个成熟度等级，实施分等级、累计递进的网络安全能力成熟度评价。

4.1.2 全面参与原则

电信网和互联网网络安全能力成熟度评价应由各利益相关者全面参与，包括受评价方负责资源分配和风险管理的高层管理者、负责各能力域相关资源运作的负责人、协调人以及相关的安全管理人员、实施人员和各类支撑人员等。

4.1.3 经济性原则

测评结果可复用原则，电信网和互联网网络安全能力成熟度评价可采信符合性评测的结果，涉及企业层面的测评项，如已针对其他网络类型开展过成熟度评价，部分测评项结果可复用。

基本流程

电信网和互联网网络安全能力成熟度评价流程包括评价准备、评价计划、评价实施、评价分析、评价报告五个环节，基本评价流程如图1所示。

评价准备 评价计划 评价实施 评价分析 评价报告

受理评价申请组建评价团队评价前预调研

确定评价范围确定评价等级

评价方案编制

能力域及权

重确定

作业指导书开发

评价启动会

现场评价与结果记录

结果确认与资料归还

评分方法

计算方法

等级判定

沟通评价结果改进提升建议形成评价报告组织评审会

图1 电信网和互联网网络安全能力成熟度评价流程

相关角色

为确保网络安全能力成熟度评价工作的顺利有效进行，应采用合理的管理机制，其中主要相关角色和职责应与表1、表2相符合。

表1 评价方主要角色与职责说明

评价方

主要人员角色

工作职责

组长

作为网络安全能力成熟度评价实施方的管理者、责任人，具体工作职责包括：

a)根据受评价方所提交申请材料，组建评价团队；

b)根据受评价方所提交申请材料，与受评价方共