组织网络安全能力成熟度模型的研究与构建

内容目录：

1　相关研究

2　网络安全能力成熟度模型的构建

2.1　模型架构

2.2　安全能力要素

2.3　安全能力建设过程

2.4　安全能力成熟度等级

3　网络安全能力成熟度模型的使用

3.1　使用步骤

3.2　使用场景

4　应用实践

5　结　语

近年来，随着社会各领域数字化发展加快，新技术、新业态、新模式不断涌现，驱动生产、生活及治理方式发生变革，加速了网络安全风险向各行业领域延伸，网络安全的环境和形势产生深刻变化，叠加新一轮科技产业革命的影响，网络安全问题层出不穷，网络攻击方式演进升级，网络安全工作将面临严峻的问题和挑战。一方面，针对能源、交通、电信等关键行业的网络攻击事件频发，对社会平稳运行和民众生产生活产生深远影响。另一方面，针对新技术、新场景的网络威胁日益增多，网络攻防对抗愈加激烈，网络攻击目标愈加精准，瞄准“高价值”目标实施攻击。同时，国内外也纷纷通过出台政策、法律法规，以及配套的标准规范，强化网络安全监管，不断升级网络安全问责与处罚力度，促使网络安全进入强监管时代。

在当前网络安全愈加复杂、严峻的形势下，部分党政机关、大型企事业单位等组织不约而同地将网络安全保障体系建设的重点转向网络安全能力体系的构建，通过对组织的核心业务、通信基础设施、数据资产等安全保护对象的全生存周期的网络安全活动、实践、过程等的真实网络安全能力进行评估，识别和发现差距，进而有的放矢地强化问题整改，补齐防护短板，筑牢“大安全”屏障，更好地应对数字化转型时代面临的网络安全挑战，护航高质量发展行稳致远。

目前，国外已有部分网络安全能力的成熟度评估模型，国内也已经有数据安全、工业控制系统安全等细分领域的安全能力成熟度评估模型。本文引入能力成熟度模型的思想和方法，旨在借鉴当前已有的相关安全能力成熟度模型的研究成果，结合业界多年来积累探索的实践经验，围绕组织存在的一些典型、共性的难点、痛点和诉求以及适应新技术新应用的发展需要等，研究构建了一套适用于组织的可落地的通用网络安全能力成熟度模型，能够客观量化、科学评价组织真实的网络安全能力，用以指导组织识别差距、方案规划和改进提升，也可作为组织开展网络安全能力建设的依据。

国内外在各相关学科和领域相继推出了许多能力成熟度模型。在国外，美国国防部在1984 年委托美国卡耐基梅隆大学的软件工程研究所开发了能力成熟度模型（Capability Maturity Model，CMM），对 CMM 进行了持续改进，并于 2000 年公布了能力成熟度模型集成（Capability Maturity Model Integration，CMMI）。随着 CMMI在软件界应用的不断推广，我国在各行业领域也提出了相应的类 CMM 模型标准，主要包括：GB/T 36073—2018《数据管理能力成熟度评估模型》、GB/T 39116—2020《智能制造能力成熟度模型》、GB/T 39117—2020《智能制造能力成熟度评估方法》、GB/T 20261—2020《信息安全技术系统安全工程 能力成熟度模型》、GB/T 42129—2022《数据管理能力成熟度评估方法》等。

在网络安全领域，国内外也参考 CMM 模型形成了相关研究成果。例如，美国国防部于 2021 年 发 布 的 网 络 安 全 成 熟 度 模 型 认 证（Cybersecurity Maturity Model Certification，CMMC）2.0；美国能源部于 2022 年发布的网络安 全 能 力 成 熟 度 模 型（Cybersecurity Capability Maturity Model，C2M2）；我 国 国 家 标 准 化 管理委员会先后于 2019 年、2022 年分别发布的GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》和 GB/T 41400—2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》等。此外，我国信息安全标准化技术委员会当前也正在组织推进《信息安全技术 关键信息基础设施安全防护能力评价方法》国家标准的研制工作。中国信息通信研究院牵头的行业标准《电信网和互联网网络安全能力成熟度评估模型》《电信网和互联网网络安全能力成熟度评估方法》也正在制定中。另外，我国机械工业出版社 2021 年出版发行了《网络安全能力成熟度模型：原理与实践》，绿盟科技、360 数字安全集团等网络安全厂商结合业内实践情况，也相继提出了自己的网络安全能力成熟度模型。相关研究成果的简要情况如表 1 所示（不包含前文提到正在制定的 3 个标准）。

表 1　网络安全领域的 CMM 模型相关研究成果简要情况

续表

综上调查与研究，本文提出了组织网络安全能力成熟度模型。参考网络安全领域的 CMM模型，围绕安全保护对象的全生存周期，从组织建设、制度流程、技术工具、人员能力 4 个能力维度，提出阶梯式的进化框架，采用 1 ～ 5 级的成熟度等级评定方式给出组织的网络安全能力成熟度水平，对组织动态变化中的网络安全实践、活动、过程等进行能力量化分析、科学评价，对整体安全能力进行有效性验证。

2.1　模型架构

组织网络安全能力成熟度模型架构由安全能力要素、安全能力建设过程、安全能力成熟度等级 3 个维度构成，如图 1 所示。

图 1　组织网络安全能力成熟度模型架构

（1）安全能力要素。安全能力要素明确了组织在开展网络安全工作时应具备的能力，包括组织建设、制度流程、技术工具和人员能力。

（2）安全能力建设过程。安全能力建设过程基于组织的安全保护对象的全生存周期，明确各阶段的网络安全过程域及其基本实践。

（3）安全能力成熟度等级。安全能力成熟度等级采用阶梯式进化框架，共分为五级，分别是：1 级（无控制级）、2 级（计划跟踪级）、3 级（ 体 系 构 建 级）、4 级（ 量 化 控 制 级）、5 级（持续优化级）。

2.2　安全能力要素

本文参考行业实践，结合我国已经发布的数据安全、工业控制系统安全领域的能力成熟度模型标准，围绕组织建设、制度流程、技术工具、人员能力 4 个安全能力要素维度，对组织的各网络安全过程应具备的安全能力进行量化，评估每项安全过程的实现能力。安全能力要素是科学评价组织网络安全能力的主要要素指标。

（1）组织建设：网络安全管理机构的设立、职责分配和沟通协作。

组织建设主要从网络安全管理机构的组织架构对组织的安全保护对象的适用性，网络安全工作职责的明确性，以及网络安全管理机构运作、沟通协调、参与信息化决策的有效性等方面进行等级区分、判定和评估。

（2）制度流程：组织网络安全方面的方针、策略、制度及其流程落地建设。

制度流程主要围绕安全保护对象全生存周期重要活动、事项等的关键控制节点授权审批流程的明确性，相关方针、策略、制度等的制定、发布、修订、废弃的规范性，以及落地建设、实施的一致性和有效性等方面进行等级区分、判定和评估。

（3）技术工具：通过技术手段或产品、工具等固化网络安全要求或自动化实现网络安全工作。

技术工具主要基于网络安全技术在安全保护对象全生存周期的应用情况，对网络安全工作的支撑或自动化支持情况，对制度流程固化执行实现情况，以及对网络安全风险应对能力等方面进行等级区分、判定和评估。

（4）人员能力：网络安全从业人员的安全意识及相关专业能力。

人员能力主要围绕网络安全从业人员所具备的安全意识、专业素养以及对关键岗位员工网络安全能力的培养，所具备的网络安全专业技能满足情况以及对组织相关业务的理解程度等方面进行等级区分、判定和评估。

2.3　安全能力建设过程

安全能力建设过程维度，参考 GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》的设计理念，围绕组织的安全保护对象的全生存周期各阶段的网络安全活动，提出相应的过程域及其配套的基本实践，以指导组织的网络安全能力建设或提升。

2.3.1　安全保护对象

网络安全保护对象指网络安全保护工作直接作用的对象，主要包括信息系统、通信网络基础设施和数据资源等 。

2.3.2　安全保护对象全生存周期

安全保护对象全生存周期由安全规划设计、安全开发建设与实施、安全运营、安全保护对象终止 4 个阶段组成，如图 2 所示。

图 2　安全保护对象全生存周期

安全保护对象全生存周期的说明如下：

（1）安全规划设计：组织提出网络安全规划并开展体系化设计的阶段。

（2）安全开发建设与实施：网络安全规划设计落地实施的阶段。

（3）安全运营：开展常态化网络安全运营活动，保证组织业务持续、稳定运行的阶段。

（4）安全保护对象终止：安全保护对象转移、终止或废弃并妥适处理相应信息、设备或存储介质的阶段。

并非所有的安全保护对象都会经历全生存周期的每个阶段。特定的安全保护对象所经历的生存周期由组织实际的业务所决定，可为完整的 4 个阶段或其中的几个阶段。

2.3.3　网络安全过程域体系

本文中，基本实践（Base Practice，BP）是指实现某一安全目标的网络安全相关活动。过程域（Process Area，PA）是指实现同一安全目标的相关网络安全基本实践的集合。一个过程域中包含一个或多个基本实践。

在设计本模型的 PA 和 BP 时，根据我国现行的网络安全相关政策、法律法规及配套的标准规范等提出网络安全规划、设计、建设、运营等阶段的相关保护要求，同时借鉴国内外有益的、成功的通用实践经验，结合党政机关、大型企事业单位等组织的一些共性难点、痛点和诉求，并考虑新技术新应用的发展趋势，从需要落实开展的网络安全工作这一角度出发，围绕组织的安全保护对象的全生存周期，经综合整理、提取、合并、转化、归纳，本文提出的网络安全能力成熟度模型一共形成了 54 个 PA和 1 466 个 BP。限于篇幅，本文仅列出安全保护对象全生存周期 4 个阶段的部分核心过程域，并未深入探讨基本实践细节。网络安全能力成熟度模型部分核心过程域如表 2 所示。

表 2　网络安全能力成熟度模型部分核心过程域

2.4　安全能力成熟度等级

2.4.1　安全能力成熟度等级的划分

组织网络安全成熟度模型的成熟度等级采用阶梯式进化框架，共有 5 个成熟度等级，整体呈现从萌芽到成熟、从不完善到逐步优化的递进式发展历程，组织网络安全能力成熟度等级如图 3 所示。

图 3　组织网络安全能力成熟度等级

组织的每一个网络安全能力成熟度等级的等级描述、特征说明如表 3 所示。

表 3　网络安全能力成熟度等级描述和特征说明

2.4.2　能力成熟度等级与过程域、基本实践、安全能力要素的关系

组织网络安全能力成熟度等级与过程域、基本实践、安全能力要素的关系如图 4 所示。

图 4　能力成熟度等级与过程域、基本实践、安全能力要素的关系

能力成熟度等级与过程域、基本实践、安全能力要素的关系说明如下：

（1）将每个过程域的能力成熟度等级划分为 5 级，针对每个等级下组织应具备的安全能力要求，从 4 个安全能力要素（组织建设、制度流程、技术工具及人员能力）提出具体的基本实践。

（2）并非每个安全过程域的能力成熟度等级都包含完整的 4 个安全能力要素。图中实线椭圆环表示过程域要满足成熟度第 3 级的要求，应包含全部 4 个安全能力要素，虚线椭圆环表示过程域的其他成熟度等级要求，可不包含完整的 4 个安全能力要素。

（3）图中上括号表示对于每个过程域，高等级的安全能力要求应包括所有低等级的安全能力要求，即对于每个过程域的每个级别，需要同时满足本级别和所有低于该级别的基本实践的要求，才能达到本级别的能力水平。例如，针对某一具体过程域，如果 5 级的安全能力要求中未涉及某一关键能力的内容，则默认应达到在 4 级的安全能力要求中的该关键能力的内容；如果 4 级的安全能力要求中依旧未涉及该关键能力，则默认应达到在 3 级的安全能力要求中该关键能力的内容，以此类推。

3.1　使用步骤

由于各组织在规模、业务类型、行业属性等方面有所不同，组织在使用网络安全能力成熟度模型时也体现出一定的差异性。通常来说，网络安全能力成熟度模型的使用步骤如图 5 所示。

图 5　网络安全能力成熟度模型的使用步骤

网络安全能力成熟度模型的使用步骤说明如下：

（1）选择适当的成熟度等级。使用本模型时，组织应首先根据自身业务的实际情况，结合网络安全能力成熟度等级描述、特征说明等，选择适当的网络安全能力的目标成熟度等级。3 级是判定组织网络安全能力成熟度的“分水岭”，组织具备了 3 级的网络安全能力，意味着组织能够针对网络安全的各方面风险进行有效的控制。

（2）选取适用的安全过程域。在确定目标能力成熟度等级后，组织根据安全保护对象全生存周期所覆盖的业务场景，以及相关政策、法律法规及配套的标准规范所要求开展的网络安全活动，选取适用于组织的网络安全过程域。

（3）进行安全能力成熟度评估。在选取适用的网络安全过程域后，组织制定安全能力成熟度评估工作方案，组建工作团队，对标本模型相应的安全过程域进行安全能力成熟度评估。

（4）识别与目标等级的差距。组织在完成安全能力成熟度评估后，识别网络安全现状与目标等级之间的差距，并整理记录形成记录表单。

（5）制订改进提升计划。组织在识别与目标等级的差距后，根据业务实际情况，以不影响“业务持续、稳定运行”为原则，制订网络安全能力改进提升计划，按照优先级逐步补齐安全短板。

组织可根据自身网络安全工作实际需要，定期查核、明确自身的目标成熟度等级，然后开始实施新一轮目标达成的工作，逐步提升组织的网络安全保障能力。

3.2　使用场景

从实践来看，当前网络安全能力成熟度模型的使用场景主要有 3 个，分别是对组织的网络安全能力进行量化评估、作为组织网络安全能力建设的依据以及协助组织建立自身网络安全能力评价体系。

（1）对组织的网络安全能力进行量化评估。网络安全能力成熟度模型可用于对组织整体或者其核心业务的网络安全保障能力进行量化分析，科学评价组织当前开展的各项网络安全实践、过程、活动等的能力水平，并提出改进目标、优先级及优化措施等，指导组织识别网络安全差距和短板，针对性改善网络安全现状。

（2）作为组织网络安全能力建设的依据。网络安全能力成熟度模型可作为组织网络安全能力建设的依据，在深入了解组织当前网络安全现状的基础上，基于对组织真实网络安全能力的客观量化和科学评价，制定针对性的网络安全整体保障解决方案或网络安全能力建设指引。

（3）协助组织建立适用于自身的网络安全能力评价体系。网络安全能力成熟度模型可结合组织自身业务实际，转化成为适用于组织自身的网络安全能力评价体系，并将其纳入组织网络安全的顶层设计文件，作为网络安全规划的一部分，用于评价组织的网络安全能力水平。

作为本模型的提出者，中国电子科技网络信息安全有限公司（以下简称“中国网安公司”）目前已经在北京、深圳、四川等地的相关组织落地应用实践。以本模型为基础，围绕核心业务开展网络安全能力成熟度评估，建立网络安全能力基线，量化分析、科学评价其真实的网络安全能力，提出改进建议和优化整改措施，协助企业有的放矢地强化问题整改，补齐安全短板，强化网络安全保障。另外，中国网安公司也协助一些合作伙伴完善其网络安全的顶层设计，将本模型转化为企业自身的网络安全能力评价体系，并以此为抓手，促进企业长远的、持续的网络安全能力建设和发展。

本文借鉴 CMM 模型，结合我国的相关网络安全政策、法律法规及配套的标准规范以及相关新技术新应用的发展情况，研究构建了通用的组织网络安全能力成熟度模型，为组织提供了一套客观量化分析、科学评价其自身的网络安全能力指引，并在部分企业得到了应用实践，帮助其发现一些不为人注意的问题，具有一定的适用性。同时，本模型的提出对于促进和推动我国网络安全能力成熟度模型的研究具有一定的参考意义。

另外，由于我国网络安全的监管要求在不断加强，新技术新应用也在不断发展，内外部形势不断变化以及各组织的业务属性特征也存在一定差异，因此组织网络安全能力成熟度模型仍存在一些不适用于组织的某些业务场景或安全活动以及未能完全匹配或覆盖的情形。未来将根据阶段性的应用实践情况不断总结完善和改进优化本模型，更好地服务于组织的网络安全能力成熟度评估和指导组织网络安全能力建设。