城市网络安全能力成熟度模型.pdf

城市网络安全能力成熟度模型 1 范围 本文件给出了城市网络安全能力成熟度模型架构。针对以城市为主体的网络安全风险，提出了为应 对相关风险在城市层面所需构建的网络安全能力，并详细定义了各维度能力域的成熟度等级要求。 本文件适用于政府、第三方机构等对城市网络安全能力进行评价，也可以作为政府开展城市网络安 全能力建设的依据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本 文件。 GB/T 22239-2019 网络安全等级保护基本要求 GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南 GB/T 25069 信息安全技术 术语 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求 GB/T 36643-2018 信息安全技术 网络安全威胁信息格式规范 3 术语和定义 GB/T 25069和GB/T 36643—2018界定的以及下列术语和定义适用于本文件。 3.1 能力成熟度 capability maturity 被评价对象的有条理持续改进能力，以及实现特定过程的可持续性、有效性和可信度的水平。 3.2 威胁信息 threat information 一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应与预防。 [来源：GB/T 36643—2018，3.3] 3.3 安全大数据 security big data 收集到的分析前的网络安全相关原始数据，具有体量巨大、来源多样、生成极快、且多变等特征。 示例：日志、恶意样本、恶意代码、恶意域名等。 3.4 网络安全风险 cyber security risk 特定威胁利用单个或一组资产脆弱性对网络实施攻击、侵入、干扰、破坏和非法使用以及意外事故， 从而破坏网络数据的完整性、保密性、可用性的可能性。 3.5 1 基础实践 basic practice 实现某一安全目标的城市网络安全建设与提升等相关活动。 4 城市网络安全能力成熟度模型 4.1 成熟度模型架构 城市网络安全能力成熟度模型架构如图1所示。 图1 城市网络安全能力成熟度模型架构图 城市网络安全能力成熟度模型的架构由以下三个维度组成。 a) 安全能力要素 建设城市网络安全的能力要素包括机构建设、制度流程、技术工具和人员能力四个方面。城市 应配套建立相应的网络安全机构，通过制订制度流程进行安全管理，同时培养高素质人员和推 进技术产品落地实施，满足相应安全能力域要求。鉴于城市网络安全的复杂性，具体基础实践 往往包括一到多个方面的安全能力要素，所以本文件对各项基础实践的描述将不标识所属安全 能力要素的类型。 b) 能力成熟度等级 城市网络安全能力成熟度等级由低到高分为五个等级。 c) 安全能力域 通过对各能力域的评价，可以衡量城市在不同维度网络安全能力的成熟度。这些安全能力域主 要划分为城市网络安全核心能力和城市网络安全基础能力两个方面。其中，城市网络安全核心 能力方面的能力域将帮助城市直接应对网络安全风险，而城市网络安全基础能力方面的能力域 将支撑城市网络安全核心能力方面的能力域持续发展与提升。 4.2 能力成熟度等级划分 2 城市网络安全能力成熟度等级定义了一个城市在某一方面的实践程度，体现对应网络安全能力的总 体状态，分为五个等级：初始级、形成级、建立级、优化级、以及适应级，见表1。 表1 城市网络安全能力成熟度等级共性特征 城市网络安全能力