T_CATIS 028-2024 零信任能力成熟度模型.docxVIP

ICS35.080CCSL77

团体标准

T/CATIS028—2024

零信任能力成熟度模型

Zerotrustcapabilitymaturitymodel

2024-12-24发布2025-01-01实施

中国服务贸易协会发布

I

T/CATIS028—2024

目次

前言 III

1范围 1

2规范性引用文件 1

3术语、定义和缩略语 1

4概述 2

5零信任身份要求 3

5.1一级能力要求 3

5.2二级能力要求 3

5.3三级能力要求 4

6零信任设备要求 5

6.1一级能力要求 5

6.2二级能力要求 6

6.3三级能力要求 6

7零信任网络要求 7

7.1一级能力要求 7

7.2二级能力要求 8

7.3三级能力要求 8

8零信任应用和工作负载要求 9

8.1一级能力要求 9

8.2二级能力要求 10

8.3三级能力要求 10

9零信任数据要求 11

9.1一级能力要求 11

9.2二级能力要求 12

9.3三级能力要求 13

10零信任可视化和分析要求 14

10.1一级能力要求 14

10.2二级能力要求 14

10.3三级能力要求 15

11零信任自动化编排和安全运营要求 16

11.1一级能力要求 16

11.2二级能力要求 17

11.3三级能力要求 17

T/CATIS028—2024

II

附录A（资料性）零信任能力成熟度评估流程和模型使用方法 18

附录B（资料性）一级零信任能力评估方法 20

附录C（资料性）二级零信任能力评估方法 25

附录D（资料性）三级零信任能力评估方法 32

T/CATIS028—2024

III

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国服务贸易协会信息技术服务委员会提出。

本文件由中国服务贸易协会归口。

本文件起草单位：深圳竹云科技股份有限公司、中国服务贸易协会信息技术服务委员会、国家计算机网络应急技术处理协调中心、中国石油化工集团有限公司、中国海洋石油集团有限公司、中国有色矿业集团有限公司、石化盈科信息技术有限责任公司、华为技术有限公司、中国电信集团有限公司、中国软件评测中心、广州市信息安全测评中心、中国石化集团共享服务有限公司、北京华科软科技有限公司、国新数据有限责任公司、中电云计算技术有限公司、广州越秀集团股份有限公司、中能建数字科技集团有限公司、广州蓬勃教育科技有限公司、国家体育总局体育彩票管理中心。

本文件主要起草人：谢坚、陈世俊、黄超、赵洪岩、王同良、刘阳、王庆、黄喆磊、杨宇帆、敖玉泠、景志尧、李想、杨少兵、张婷婷、陈昱翰、周润松、徐超、向辉、韩世聪、陈源、李云志、万民、刘延鹏、麻恒瑞、史鉴、廖均龙、张宁、曾志刚。

T/CATIS028—2024

1

零信任能力成熟度模型

1范围

本文件确立了组织机构零信任能力的成熟度模型架构，规定了各级别的能力要求，提供了各级别的能力评估流程和方法。

本文件适用于对组织机构零信任能力进行评估，以及作为组织机构开展零信任能力建设时的依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T43696—2024信息安全技术零信任参考体系架构

3术语、定义和缩略语

3.1术语和定义

GB/T43696—2024界定的以及下列术语和定义适用于本文件。

3.1.1

零信任zerotrust；ZT

一种以资源保护为核心的网络安全理念。认为对资源的访问，无论主体和资源是否可信，主体和资源之间的信任关系都需要从零开始，通过持续环境感知与动态信任评估进行构建，从而实施访问控制。

3.1.2

零信任能力zerotrustcapab