《城市网络安全能力成熟度模型（征求意见稿）》编制说明.pdf

一、目的意义

从世界范围看，网络安全威胁和风险日益突出，并日益

向政治、经济、文化、社会、生态、国防等领域传导渗透。

特别是国家关键信息基础设施面临较大风险隐患，城市整体

网络安全防控能力薄弱，难以有效应对国家级、有组织的高

强度网络攻击。

2020年由国家发改委发布的《关于加快构建全国一体化

大数据中心协同创新体系的指导意见》中指出要加快城市大

数据创新应用，同时加快构建贯穿基础网络、数据中心、云

平台、数据、应用等一体协同安全保障体系，提高城市大数

据安全可靠水平。2021年国务院发布的《“十四五规划和

2035年远景目标纲要》中提出分级分类推进新型智慧城市建

设，同时加强网络安全保护建立健全关键信息基础设施保护

体系，提升安全防护能力。加强网络安全风险评估和审查。

因此，开展城市网络安全能力成熟度评价是确保城市网

络安全的基础和前提，通过城市网络安全能力成熟度评价将

有助于全面了解和掌握城市网络安全的状况和存在的问题，

进而有针对性的补齐短板，推动城市建设与网络安全能力

建设协同发展。尤其在我国全面探索新型智慧城市的建设过

程中，这项工作是非常重要和必不可少的。其中，城市网络

安全能力成熟度模型的关键作用在于：

1、各国都亟需可以衡量城市在网络安全方面的能力成

熟度水平的工具和方法。

2、各国缺乏针对城市的可扩展的网络安全能力图谱，

导致无法整体性了解城市网络安全能力建设状况和方向。

3、各国缺乏一套务实可行的实践行动，来帮助城市缩

小当前网络安全能力状况和预期网络安全能力目标之间的

成熟度差距。

4、城市主管部门在了解城市整体网络安全能力态势和

基本实践方面的抓手不够成熟，无法支撑相关决策的制定。

5、各国尚未形成成熟的城市网络空间安全防护工作模

式，无法形成评价-分析-治理-评价的业务闭环，限制了城

市网络空间防护的能力和水平。

二、任务来源

国际上，网络安全标准化工作兴起于20世纪70年代中

期，20世纪80年代有较快的发展，20世纪90年代后开始

引起世界各国的普遍关注与重视。目前很多国家和组织都已

有自己的标准。这些标准对信息、网络安全管理讨论的重点

各有不同，应用的领域也有差异。

进行城市网络安全能力评价既是对现有城市网络安全

状况的一种反映，也是对之前所采取的城市网络安全防护措

施是否有效的验证。由此，可以明确问题所在，有助于进一

步采取有针对性的措施，持续改进和提高城市网络安全防护

的能力和水平。城市网络安全能力评价需贯穿于城市网络空

间安全生命周期的规划、设计、建设、运营和管理等各个阶

段。

目前，国内外还未对城市网络安全能力成熟度模型进行

标准化，各种城市网络安全能力评价的实践中积累了丰富的

经验，但存在维度考虑不足，体系化程度不足等问题，亟需

制定相关标准，能体系化、全面地对实践进行指导，提升城

市网络安全水平。制定城市网络安全能力成熟度模型标准

将有助于解决这一难题，推动城市安全建设、评估的系统化

和全面性，避免烟囱式产品堆叠；同时，标准也有助于进行

城市网络安全能力实践，从而进一步建设和提升城市网络安

全能力。

三、编制过程

1)2022年4月5日，规范研制正式启动会。标准牵

头单位对前期的研究工作进行了汇报。确定了标准的研究思

路和分工。

2)2022年4月15日，提交项目立项申请书。

3)2022年4月16日至2022年6月24日，期间进行

了多次标准工作组内部讨论，并针对标准大体框架与内容方

向进行了修改与调整，形成第一版标准草案。

4)2022年7月1日，召开立项评审会，邀请专家对

草案给出建议。

5)2022年7月4日至2022年11月4日，期间进行

了多次标准工作组内部讨论，针对标准内容进行了细节的修

改与调整。

6)2022年11月6日，形成第二版标准草案，并召集

了标准草案的内部闭门研讨会。

7）2023年1月30日，形成征求意见稿。

四、主要内容技术指标确立

本标准规范了城市网络安全能力的要素、能力域和能力

子域，以及各成熟度等级的基本实践。详情如下：

1、能力要素：评价城市网络安全能力的关键组成结构，

主要包括核心安全保障和通用安全基础两个方面。其中，每

个方面都由一系列能力域构成，这些能力域反映了实现这些

方面所需的关键能力。