2.2　模型框架

本书介绍的网络安全能力成熟度模型基于我们在网络安全方面等级保护的多年实践，并参考了美国电力行业安全能力成熟度模型。该网络安全能力成熟度模型如图2-3所示。

图2-3　网络安全能力成熟度模型

从图2-3中可以看出，本书介绍的模型在美国电力行业安全能力成熟度模型的基础上，增加了目录层级，这是考虑到对众多安全域，依据等级保护和NIST 800的纵深防御体系进行划分，例如把安全能力成熟度模型的域依据类型分成安全管理、安全技术和安全运营等几个目录。这样划分有两个好处：一是与国内的网络安全从业者实践相吻合，便于国内网络安全从业者理解；二是方便各组织依据不同的目录维度来评估组织在管理、技术、运营等方面的网络安全能力成熟度状态。

第一层：目录

结合等级保护、IATF等内容，模型第一层分为5个方面，分别是网络安全战略、网络安全管理、网络安全团队、网络安全技术和网络安全运营，通过这5个方面覆盖网络安全涉及的战略、制度、人员、技术和运营等内容。

第二层：域

在每个目录下，划分多个关键过程域。网络安全能力成熟度模型包括20个关键过程域，如图2-4所示。

图2-4　网络安全能力成熟度整体结构

第三层：特定目标

在每个关键过程域下，划分了多个特定目标，组织在实践过程中可以以特定目标具体实践作参考。在模型中，特定目标是向上覆盖的，也就是说，低等级能力的特定目标同样适用于高等级能力的组织，但是高等级能力组织实践的特定目标并不一定适用于低等级能力组织。图2-4列出了56个特定目标项作为网络安全能力成熟度的参考值。

第四层：实践活动

不同层级的组织在特定目标中的实践是不一样的，主要用来衡量组织是否满足某个等级的重要指标。