经纬信安与中国信通院联合起草通信行业标准已实施
电信网和互联网网络安全能力成熟度评价模型
中华人民共和国通信行业标准
引言
随着电信网和互联网的快速发展,网络安全威胁不断增加,行业内对科学、统一的网络安全能力评价标准需求迫切,以便网络运营者提升安全水平,监管机构实施有效管理。
因此工业和信息化部等相关部门将其列入行业标准立项计划,组织科研机构、行业专家、企业代表等成立标准起草工作组。工作组成员收集国内外相关标准、法规、实践等资料,调研行业网络安全现状、问题及挑战。
经纬信安因其在主动防御领域的技术创新尤为突出,特别是在主动防御体系方面取得了显著成果,并成功融合了先进框架以提升防御能力;同时,公司积累了丰富的项目实施和攻防演练经验,服务于多领域并在重大活动中表现出色,能为标准的制定提供丰富的实际案例;加之其专业团队技术功底深厚、行业经验丰富,取得了多项研究成果,为标准制定提供专业的实践和坚实的理论支持;此外,经纬信安还具备良好的企业资质认证和众多行业荣誉,充分展现了其在技术研发、产品质量和企业影响力方面的实力。因此,经纬信安成为该标准的起草单位之一。
《电信网和互联网网络安全能力成熟度评价模型》的标准内容可分以下几点进行描述:
适用范围与目的
该评价模型主要针对电信网和互联网网络运营者,如基础电信企业集团二级部门、省公司,行业关键信息基础设施运营者、大型互联网企业等。
目的是通过对运营者建设、运维电信网和互联网网络安全关键能力进行量化分析,科学评价运营者网络安全防护各项实践、过程和方法当前的能力水平,并提出改进目标、优先级及相关举措。
能力成熟度评价要素
包括多个维度的网络安全能力,电信网和互联网网络安全能力成熟度评价要素包括10个网络安全关键能力域,其中制度管理、组织和人员管理、资产管理、风险管理、供应链管理等属于识别过程域,系统和通信防护、运行维护、检测评估安全防护类过程域,态势感知、网络安全事件管理等属于监测、处置类过程域。通过量化评价能力域及具体的评价指标,开展网络安全能力成熟度评价。
成熟度等级定义
网络安全能力成熟度等级分为五级,自低向高依次为初始级、控制级、规范级、优化级、卓越级。
每个成熟度级别代表运营者网络安全防护能力所达到的水平,例如,卓越级具备成熟完善的网络安全管理体系与相应实践能力,实现数字化、智能化,并在此基础上持续跟踪业界新型技术架构发展演进。
评价模型构成
网络安全能力成熟度评价模型包括能力成熟度等级、网络安全关键能力域、网络安全管理生命周期三个维度。
能力成熟度评价将覆盖网络安全管理全生命周期,贯穿识别、防护、监测、处置各阶段,形成闭环。
关键能力域
模型中定义了多个关键能力域,如制度管理,包括网络安全规划和网络安全管理制度等。
每个能力域都有具体的成熟度要求,运营者必须满足该级别及其前面级别的所有要求才能获得该能力域的判定。
评价流程与方法
评价流程包括评价准备、评价计划、评价实施、评价分析、评价报告五个环节。
评价方法包括访谈、核查、测试等,通过量化评价能力域及具体的评价指标,开展网络安全能力成熟度评价。
LalonSec
微信号|jingweixinan
扫码关注 了解更多