T_CSAC 005-2023 城市网络安全能力成熟度模型.docx
《T_CSAC 005-2023 城市网络安全能力成熟度模型.docx》由会员分享,可在线阅读,更多相关《T_CSAC 005-2023 城市网络安全能力成熟度模型.docx(57页珍藏版)》请在咨信网上搜索。
1、ICS 35.240.01CCS L78T/CSAC中 华 人 民 共 和 国团 体 标 准T/CSAC 0052023城市网络安全能力成熟度模型City cybersecurity capability maturity model2023 - 9 - 22 发布2023 - 9 - 22 实施中国网络空间安全协会发 布T/CSAC 0052023目次前言II1 范围12 规范性引用文件13 术语和定义14 城市网络安全能力成熟度模型24.1 成熟度模型架构24.2 能力成熟度等级划分24.3 安全能力域35 城市网络安全核心能力45.1 城市网络资产安全管理45.2 城市网络安全防护65.
2、3 城市数据安全治理95.4 城市网络安全运营135.5 城市网络安全应急处置185.6 网络犯罪防范与打击226 城市网络安全基础能力246.1 安全文化246.2 教育培训286.3 产业发展316.4 研究创新356.5 协同合作387 城市网络安全能力成熟度评价与应用417.1 评价方法417.2 应用方法42参考文献43II前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国网络空间安全协会提出。本文件由中国网络空间安全协会归口。本文件起草单位:北
3、京奇虎科技有限公司、三六零科技集团有限公司、贵州国卫信安科技有限公司、 天津智慧城市数字安全研究院有限公司、大数据协同安全技术国家工程研究中心、大数据安全工程研究中心(贵州)有限公司、苏州市公安局、贵州数安汇大数据产业发展有限公司、杭州安恒信息技术股份有限公司。本文件主要起草人:杜跃进、高昕、张屹、姚一楠、闫斐、张艺文、钱晓斌、张义荣、张建新、唐会芳、廖芳、庄唯、王喆、徐静、袁明坤、吕虓、白松林、唐玮涛、韩涛、田树智、陈敏杰、蒋继建、 陈远凯、彭锦。T/CSAC 0052023城市网络安全能力成熟度模型1 范围本文件给出了城市网络安全能力成熟度模型架构。针对以城市为主体的网络安全风险,提出了为
4、应 对相关风险在城市层面所需构建的网络安全能力,并详细定义了各维度能力域的成熟度等级要求。本文件适用于政府、第三方机构等对城市网络安全能力进行评价,也可以作为政府开展城市网络安 全能力建设的依据。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239-2019网络安全等级保护基本要求GB/T22240-2020信息安全技术 网络安全等级保护定级指南GB/T25069-2022信息安全技术 术语GB/T25070-2019信息安全
5、技术 网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术 网络安全等级保护测评要求GB/T36643-2018信息安全技术 网络安全威胁信息格式规范3 术语和定义GB/T 25069和GB/T 366432018界定的以及下列术语和定义适用于本文件。3.1能力成熟度 capability maturity被评价对象的有条理持续改进能力,以及实现特定过程的可持续性、有效性和可信度的水平。3.2威胁信息 threat information一种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应与预防。 来源:GB/T 366432018,3.33.3安全大数据
6、 security big data收集到的分析前的网络安全相关原始数据,具有体量巨大、来源多样、生成极快、且多变等特征。示例:日志、恶意样本、恶意代码、恶意域名等。3.4网络安全风险 cyber security risk特定威胁利用单个或一组资产脆弱性对网络实施攻击、侵入、干扰、破坏和非法使用以及意外事故,从而破坏网络数据的完整性、保密性、可用性的可能性。3.530基础实践 basic practice实现某一安全目标的城市网络安全建设与提升等相关活动。4 城市网络安全能力成熟度模型4.1 成熟度模型架构城市网络安全能力成熟度模型架构如图1所示。图1 城市网络安全能力成熟度模型架构图城市网
7、络安全能力成熟度模型的架构由以下三个维度组成。a) 安全能力要素建设城市网络安全的能力要素包括机构建设、制度流程、技术工具和人员能力四个方面。城市 应配套建立相应的网络安全机构,通过制订制度流程进行安全管理,同时培养高素质人员和推 进技术产品落地实施,满足相应安全能力域要求。鉴于城市网络安全的复杂性,具体基础实践 往往包括一到多个方面的安全能力要素,所以本文件对各项基础实践的描述将不标识所属安全 能力要素的类型。b) 能力成熟度等级城市网络安全能力成熟度等级由低到高分为五个等级。c) 安全能力域通过对各能力域的评价,可以衡量城市在不同维度网络安全能力的成熟度。这些安全能力域主 要划分为城市网络
8、安全核心能力和城市网络安全基础能力两个方面。其中,城市网络安全核心 能力方面的能力域将帮助城市直接应对网络安全风险,而城市网络安全基础能力方面的能力域 将支撑城市网络安全核心能力方面的能力域持续发展与提升。4.2 能力成熟度等级划分城市网络安全能力成熟度等级定义了一个城市在某一方面的实践程度,体现对应网络安全能力的总 体状态,分为五个等级:初始级、形成级、建立级、优化级、以及适应级,见表1。表1 城市网络安全能力成熟度等级共性特征城市网络安全能力成熟度等级共性特征等级1: 初始城市对网络安全能力的建设没有明确的整体计划与方法指导。 城市可能制定了一些通用/临时的目标。城市可能开展了技术、政策和
9、治理方面的临时性活动来提升网络安全能力。等级2:城市初步确定网络安全能力建设的整体计划与方法指导。 城市制定了一些初步的目标。为取得预期成果,行动计划或活动已经到位,但仍处于落地实施起步阶段。与行动计划或活动紧密相关的各机构和人员已被确定或参与。形成等级3:建立能力建设相关行动计划已经得到了明确定义,并获得相关机构和人员的支持。城市制定了明确的目标,行动方法和活动在城市层面统一执行。等级4:设置定性、定量的衡量指标,执行定期评价机制,确保其优先性、不断优化和可持续性。定期评价网络安全能力建设的效果。识别活动执行中的成功因素、面临的挑战和当前差距。优化等级5:适应网络安全能力建设是动态和自适应的
10、。持续关注环境、威胁形势和城市建设的发展,培养相关决策能力和行动力。成熟度等级定义了一个城市在每一个安全能力域的基础实践状况,体现对应网络安全能力的建设阶 段。城市网络安全能力成熟度评价将根据这些阶段对城市进行基准评价,了解城市当前的网络安全能力 状态。其中,针对每个等级下城市应具备的安全目标要求,提出具体的基础实践。4.3 安全能力域为了全面描述城市网络安全能力,需要对能力域进一步细化,划分为不同的能力子域。而能力子域 是实现同一安全目标的相关城市网络安全基础实践的集合。城市网络安全能力成熟度模型的能力域分为 城市网络安全核心能力和城市网络安全基础能力两个方面,共包含46个能力子域,见图2。
11、图2 城市网络安全能力成熟度模型的能力域和能力子域城市网络安全核心能力包括以下6个安全能力域:a) 城市网络资产安全管理的能力子域包括:测绘与资产管理和供应链安全治理;b) 城市网络安全防护的能力子域包括:网络安全等级保护、关键信息基础设施识别认定、关键信 息基础设施安全保护;c) 城市数据安全治理的能力子域包括:数据分类分级、静态数据安全、数据流通安全、数据应用 安全;d) 城市网络安全运营的能力子域包括:城市网络安全综合研判、威胁信息预警、威胁信息共享、 漏洞披露、安全大数据共享、城市网络安全基础设施建设;e) 城市网络安全应急处置的能力子域包括:应急预案、演习演练、事件监测、事件评估、应
12、急响 应与恢复;f) 网络犯罪防范与打击的能力子域包括:网络犯罪防范和网络犯罪打击。 城市网络安全基础能力包括以下5个安全能力域:a) 安全文化的能力子域包括:网络安全意识和素养、政府网络安全宣传、媒体网络安全宣传、网 络危害行为社会监督、网络安全事件报送;b) 教育培训的能力子域包括:网络安全基础教育、网络安全高等教育、网络安全专业培训、网络 安全职业发展;c) 产业发展的能力子域包括:网络安全产业规划、网络安全产业激励、政府驱动、企业驱动、技 术市场环境、网络安全服务;d) 研究创新的能力子域包括:政府网络安全研发投入、网络安全企业的研发投入、鼓励网络安全 前沿研究与应用、技术创新服务体系
13、、科研成果转化;e) 协同合作的能力子域包括:政企合作机制、社会力量整合、城市间合作、跨城市活动。5 城市网络安全核心能力考察城市维护网络空间安全的核心安全能力,主要涉及城市网络安全防护、城市网络安全应急处置、 城市网络资产安全管理、网络犯罪防范与打击、城市网络安全运营和城市数据安全治理等方面。城市可根据自身特点对各安全能力域和能力子域进行裁剪。5.1 城市网络资产安全管理5.1.1 测绘与资产管理5.1.1.1 能力子域描述当地政府建立网络资产测绘与管理机制,掌握城市网络空间资产清单,确定当地网络安全防护范围。5.1.1.2 等级描述5.1.1.2.1 等级 1:初始该等级的城市网络安全能力
14、描述如下:没有总体性网络资产管理机制,当地企业仅通过经验开展临时性的网络资产探测扫描活动。5.1.1.2.2 等级 2:形成该等级的城市网络安全能力描述如下:当地政府正在建立网络资产管理计划,并启动相关技术能力建设。5.1.1.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 已形成网络资产测绘管理机制。明确了工作角色、职能,及开展网络资产测绘的资源保障等要 求;b) 通过探测、采集、分析和处理,具备发现识别当地网络空间设施、服务、信息系统和关键数据 等资源的能力,并可基于地理信息和逻辑关系进行图形绘制,直观展现当地网络空间资产、属 性、状态和安全态势,可服务于城市网络安全风险识别
15、等工作;c) 构建了网络空间资产清单,并基于 IT 和 OT 资产活动及时更新。5.1.1.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据相关数据,定期评估网络资产测绘效果,形成改进计划,例如提升数据更新速度和准确度, 支持对新设备、新场景的测绘等;b) 定期改进政策、计划和措施、调整人才配置;c) 定期升级相关技术和平台。5.1.1.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 当地网络资产测绘已接入国家整体网络测绘体系,能够实时追踪与城市外部网络的交互态势;b) 当地网络资产测绘已与城市整体网络安全保护工作形成紧密对接,能够及时发现风险,支撑事 件预警,
16、应急响应等工作。5.1.2 供应链安全治理5.1.2.1 能力子域描述当地政府指导与监督当地重要系统或关键信息基础设施的ICT(信息和通信技术)供应链安全治理工作,通过专业工作小组定期检查ICT供应链安全风险管理过程与控制措施情况。5.1.2.2 等级描述5.1.2.2.1 等级 1:初始该等级的城市网络安全能力描述如下:当地政府没有落实ICT供应链安全治理的措施,仅仅开展临时性或个人推动的局部实践。5.1.2.2.2 等级 2:形成该等级的城市网络安全能力描述如下:在重点城市项目中开展了 ICT 供应链安全治理。5.1.2.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 制定了
17、 ICT 供应链安全治理策略,确定了供应链安全管理的总体目标、范围、原则等,包括风险管理策略、供应商选择和管理策略、安全维护策略、以及支持国产密码使用和信创部署等内 容,系统性规范了城市 ICT 供应链安全审查工作;b) 建立了专门负责 ICT 供应链安全治理的部门,配备的相应的审查工具和平台;c) 具备 ICT 供应商选择和管理策略,能根据产品和服务的重要程度对供应商开展安全调查;具备合格 ICT 供应商名录,审核后发布。5.1.2.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 对当地关键 ICT 供应链安全治理情况进行定期的监督检查,对合格供应商名录中的供应商进行重点检查,
18、发现问题后及时更新合格供应商名录;b) 根据国家有关规定,及时审查城市 ICT 供应链安全治理工作,定期更新 ICT 供应链安全治理策略和制度。5.1.2.2.5 等级 5:适应该等级的城市网络安全能力描述如下:形成可全国推广的 ICT 供应链安全治理模式。5.2 城市网络安全防护5.2.1 网络安全等级保护5.2.1.1 能力子域描述当地政府根据国家网络安全等级保护制度相关要求,遵循GB/T 22239要求,组建专家团队,主导定级备案工作,并对当地等保制度落实工作进行监管和整改。5.2.1.2 等级描述5.2.1.2.1 等级 1:初始该等级的城市网络安全能力描述如下:a) 当地政府未意识到
19、等保的重要性,未落实相关要求,仅仅开展临时性或个人推动的局部实践;b) 当地政府未按照国家有关要求开展网络安全监督检查,也未按要求对等保系统运营者和测评机 构进行监督管理,仅仅开展临时性或个人推动的局部实践。5.2.1.2.2 等级 2:形成该等级的城市网络安全能力描述如下:a) 建立了管理、监督、指导等保制度落实的专门机构,明确了职责;b) 在部分管理规定中,明确了城市职责范围内的主体责任,要求责任主体落实网络安全等级保护 制度,并制定相应的管理制度和操作规程;c) 在城市信息化工作重点建设项目中(例如城市数据安全项目、政务信息化项目等),将等保备 案作为项目开展的必要条件,监督当地责任主体
20、对等保管理制度和操作规程的落实情况,并针 对发现的问题提出相应整改要求。5.2.1.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 在建立专门机构的基础上,当地政府和涉及重要信息系统的组织机构等责任主体建立了专门部 门负责等保制度落实工作;b) 建立了城市第三方等保测评队伍,具有一定比例的城市等保测评持证人数;c) 主体机制:建立了当地专门的等保制度落实机制。该机制明确了:1) 城市等保工作的地位和作用;2) 组织体系、职责分工、协同关系;3) 概要的资源分配方式;4) 概要的管理流程和协同流程;5) 概要的奖惩措施。d) 保障机制:建立了体系化的等保工作保障机制。该机制明确了:
21、1) 评估考核机制,制定了当地等保制度落实监督检查办法;2) 财政投入机制;3) 法规保障机制,制定了当地等保落实管理制度,并对当地相关责任主体进行指导;4) 技术标准和规程,形成了当地推荐的等保技术标准落实操作规程;在落实等保要求的基础 上,针对系统建设的等级要求、系统建设的安全防护条件等给出城市层面的统一要求;5) 人才支撑机制,形成了专家的管理和推荐机制;6) 合作交流机制。e) 监督管理机制:建立了体系化的等保工作监督管理机制,每年对等保制度的落实情况和等保测 评机构进行监督检查。该机制明确了:1) 当地政府能够指导职责范围内的各区、县对等保制度落实情况进行检查,并对自查过程进 行监管
22、,并确保过程一致和结果有效;2) 当地等保监督检查的操作规程;3) 执行等保制度落实监督检查的专家团队;4) 在监督检查过程中,遵循GB/T 22239-2019、GB/T 25070-2019、GB/T 28448-2019以及GB/T22240-2020等相关标准。f) 建立了城市等保专家库,形成了当地等保专家推荐名单。5.2.1.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 根据当地实践情况,定期评估涉及重要信息系统的组织机构的绩效,并做出适应性调整;b) 根据当地实践情况,定期检查主体机制的适用性,并做出优化调整;c) 根据当地实践情况,定期检查保障机制的适用性,并做出
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- T_CSAC 005-2023 城市网络安全能力成熟度模型 005 2023 城市 网络安全 能力 成熟度 模型
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。