安全运营中心能力成熟度模型专题【二】——安全运营TSKSPVE体系

本文共 2400 字，预计阅读需要 8 分钟，转载请注明出处。原创不易，请尊重。

前言：依旧特别感谢360政企安全集团：战略创新研究院、本脑团队、安服团队为CMM-SOC模型的完善提供的支持。

两个月前的今天，我们通过公众号发布了安全运营中心能力成熟度模型（CMM-SOC），并首次在模型中提出了安全运营TSKSPVE体系，旨在为安全运营中心的建设、网络安全能力成熟度模型（CMM-S）的落地提出一些体系化且工程化建设思路和方法。为了演示TSKSPVE体系的可执行性，我们展示了2个TSKSPVE体系的构建示例，如下图所示：

图1 TSKSPVE体系示例

一、TSKSPVE体系的组成

TSKSPVE体系由七个业务指标组成。T、S、K、S、P、V、E是七个业务指标的英文首字母：任务【T-Task】、重要性【S-Significance】、知识【K-Knowledge】、技能【S-Skill】、过程【P-Process】、验证【V-Verification】、效率【E- Efficiency】。

二、TSKSPVE体系的实现

TSKSPVE体系涉及到安全运营元素：资源、技术、管理及执行效率。这里有一个简单的计算公式：安全运营效果=（资源+技术+管理）×执行效率。

图2 TSKSPVE体系中的安全运营元素

TSKSPVE体系的“run”起来的三个业务组件：《安全运营中心TSKSPVE-任务清单》、《安全运营TSKSPVE体系-配置指标》、《安全运营TSKSPVE体系-执行图谱》。

图3 TSKSPVE体系运转流程示意图

（一）安全运营中心TSKSPVE任务清单

《安全运营中心TSKSPVE任务清单》是安全运营中心工作职责的具象化。现阶段，我们将安全运营中心的工作划分为三个大类、十五个子类，共计任务132项。安全运营中心可根据业务职能增加或删除部分任务，如下图所示：

图4 《安全运营中心TSKSPVE-任务清单》

（二）安全运营TSKSPVE体系-配置指标

为了工程化落地任务清单里的任务，我们编制了《安全运营TSKSPVE体系-配置指标》，配置指标通过合理的组合，应用于《安全运营TSKSPVE体系-执行图谱》。现阶段，知识指标32项，技能指标111项，流程（过程）指标150项，验证指标26项。安全运营中心可根据任务清单的内容对配置指标进行增加或删除。如下图所示：

图5 《安全运营TSKSPVE体系-配置指标》

（三）安全运营TSKSPVE体系-执行图谱

《安全运营TSKSPVE体系-执行图谱》既是安全运营工作执行指南，也是安全运营中心的“运营工作图谱”，其中对工作的重要性、人员操作技战术、执行过程、执行效率和效果等内容进行了定义。一方面可以让工作人员按照“规则”有效执行工作，另一方面还能对工作人员的能力需求进行精准提升。效率（E）的指标由运营规模及实际处置需求确定。如下图所示：

图6 《安全运营TSKSPVE体系-执行图谱》

*我从执行图谱中随机隐藏了一些任务，然后截图进行对外展示。

三、TSKSPVE体系的使用

我们基于多年的网络安全规划、产品和服务经验，提出并形成了相对比较完善的安全运营TSKSPVE体系文件。使用者可基于业务特点，按需对文件内容进行剪裁+扩容使用。TSKSPVE体系需在安全运营工作过程中不断优化的、完善，体系的进化遵从PDCA循环。不同的业务场景，应有不同的TSKSPVE体系。现阶段的TSKSPVE体系，可满足关键信息基础设施单位日常及特殊时期网络安全运营工作开展需求。

四、TSKSPVE体系是网络安全工作重要的组成部分

（一）信息安全和网络安全

信息安全（Information Security）正式体系化的进入公众的视野，应该来自于2007年的公通字[2007]43号文，这份文件的全称是：关于印发《信息安全等级保护管理办法》的通知。发布机关包括公安部、国家保密局、国家密码管理局和国务院信息化工作办公室。其目的是“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。随着信息化、智慧化的普及，网络安全的重要性极速提升，现在，我们很少再去使用“信息安全”这一词汇，取而代之的是网络安全（Cybersecurity），江湖上流传的原因是Cyber指的是网络空间，范围很大，而信息安全指的是“传统的安全”，范围较小，属于网络安全的子集。《牛津高阶英汉双解词典》（第9版）对cyber-的定义是：计算机的，电脑的，网络的（尤指互联网）,(in nouns and adjectives 构成名词和形容词)。cyber-其实是一个词根，通过和组合，形成了cybersecurity词语。Eg：《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)（等保1.0系列）、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019代替GB/T 22239-2008）（等保2.0系列）。

（二）网络安全的工作的常见落地方式

新建的信息系统，网络安全和信息化，同步规划、同步建设。占比较高的老旧信息系统，均为信息化先行（建系统、建网络），其次是合规安全防护建设，现在是PDCA式的安全产品、服务升级换代，这是一个极其常态化流程，有条件的单位还加入了三年/五年网络安全规划等工作。

（三）传统的叠加+迭代式可进一步优化

传统的网络安全工程主要以“合规建设”为驱动力，大量传统的网络安全工程实施完成后，其威胁和攻击的抵御对抗能力真实处于“已知的未知状态”，很难适应和应对多变的网络安全风险。规划XX管理的目的是为了给下一步工作提供指南和方法，这也是我们编制网络安全能力成熟度模型的初衷之一。安全运营工作是“盘”网络安全工程交付物，以保障整个信息系统安全、稳定、高效恢复的工作的过程。可以说，网络安全工程建设是安全运营工作的基础。

（四）下一步网络安全工作的执行线路

首先，结合业务发展战略，进行网络安全顶层设计（总体、方向性）；其次，基于顶层设计的内容，形成定制化的网络安全能力成熟度指标（细化、落地）；再次，应用指标核查现状，寻找不满足的地方（安全运营工作）；最后，朝着既定目标进优化和完善（安全运营工作）。整个过程本就是一个PDCA的循环。

（五）核心要点：指标怎么来？

1、合规先行，国内网络安全法律法规的整合与总结。

2、国外信息化及网络安全相关知识的积累。

3、真实项目操作实践积累。（非嘴炮和翻译型选手）

4、团队的力量。

5、指标可实现，且螺旋闭环。

后记：我曾做过XX行业XX业务（核心业务）的网络安全专项规划工作（业务安全规划）；我也曾独立实施过XX省XX局全省、XX关基企业的网络安全风险评估工作；更是做过产品的实施、集成的交付、项目管理等工作；当然，没事也和大家聊聊天，打打嘴炮。

-KKutstar.Wu

2021.09.23

交流微信号：kkutstar