网络安全能力成熟度模型详解

最新推荐文章于 2025-05-13 09:46:33 发布
原创 最新推荐文章于 2025-05-13 09:46:33 发布 · 1.2k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #大数据 #安全

网络安全能力成熟度模型(C2M2)旨在帮助企业评估和改进网络安全,强化运营弹性。模型由10个域组成,涵盖资产、风险管理等领域,设有四个成熟度指标级别。资产包括IT、OT和信息资产,C2M2提供了一套全面的网络安全活动实践,以实现与业务目标和风险相匹配的安全水平。

一、概述

经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。

二、模型介绍

网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力部门协调委员会(ESCC)和石油和天然气部门协调委员会(ONG SCC)资助共同开发出版发行。它解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理问题。可以作为全面的企业网络安全建设的参考和补充。

C2M2 包括领域、目标、实践和 MIL(成熟度指标级别)。以下各节将讨论每个组件。

:域是网络安全的一类主题。该模型有10个域,每个域都包含一组网络安全实践。每组实践都表示组织可以执行的活动,以域为单位建立成熟度模型。

目标:每个域内的实践被组织设定成目标,这些目标代表了可以通过在该领域实施实践来实现的网络安全成果。例如,风险管理领域包括五个目标:

  • 建立和维护网络风险管理战略和计划

  • 识别网络风险

  • 分析网络风险

  • 应对网络风险

  • 经营活动

实践:实践是 C2M2 最基本的组成部分。每个实践都是一个简短的声明,描述了组织可能执行的网络安全活动。这些活动的目的是实现和维持与关键基础设施和组织目标的风险相符合的适当网络安全水平。每个域中的实践都按照成熟度等级进行排序和组织的。

最低0.47元/天 解锁文章
Python_P叔
关注
GJB5000B详解:军用软件能力成熟度模型
qq_41854911的博客
09-26 3951
军用软件能力成熟度模型》简称GJB5000B,是我国国防领域用于衡量和提升军用软件开发能力的标准。该标准的制定目的是为了提高军用软件的开发质量、降低风险,并规范软件工程的流程。作为一项重要的国防标准,GJB5000B不仅仅是对软件开发过程的要求,同时也是军用信息化体系建设的基础,它帮助各级军工单位提升软件开发的成熟度,并通过明确的标准和流程提升项目管理和开发效率。
阿里巴巴数据安全专家:3个维度4个层级解读《网安法》|干货
ITValue的专栏
10-26 4710
关注ITValue,查看企业级市场最新鲜、最具价值的报道! 2017年6月1日,《网络安全法》正式开始实施。作为我国第一部全面规范网络空间安全管理问题的基础性法律,网安法不仅对网络行为明确了规范和法律责任,同时还对于如何建设网络安全提供了指引。尽管安全法的各种规范和要求,其实已经长期存在于各行业的行业标准和主管部门对社会网络行为的指引中,但对于企业安全部门甚至CIO来
网络安全能力成熟度模型介绍
热门推荐
ducc20180301的博客
06-26 1万+
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
网络安全能力成熟度模型C2M2 V2.0(中译版).pdf
02-21
网络安全能力成熟度模型
4.1、网络安全模型
山兔的博客
03-21 1184
网络安全体系是网络安全保证系统的最高层概念抽象,是一个体系,体系一般是一个概念,一个抽象,我们搞过计算机的,都知道有osi的体系架构,还有TCP/IP体系架构或者体系模型,它都是比较抽象的概念,整个网络安全体系包含法律法规,政策文件,安全策略,组织管理,技术措施,标准规范、安全建设与运营,人员队伍、教育培训,产业生态、安全投入等等多个方面,整个体系包含是很广的。
电力系统网络空间安全能力成熟度模型
weixin_33735077的博客
07-26 263
在今年5月底,美国能源部发布了由卡梅主笔的电力系统网络空间安全能力成熟度模型V1.0,作为保障重要/关键基础实施的网络空间安全计划的一部分。 这算是第一个有关CyberSecurity的CMM。该模型将cybersecurity的能力从0到3划分了四级,分别是MIL0:不完备级;MIL1:初始级;MIL2:改进级;MIL3:可管理级。 模型将cybersecurity的成熟度能力评价分解为10...
10-网络安全框架及模型-数据安全能力成熟度模型(DSMM)
道爷我悟了,哈哈哈哈哈哈
12-22 5440
数据安全能力成熟度模型(DSMM)诞生的背景是随着信息技术的快速发展,组织机构的数据量呈指数级增长,数据安全问题日益突出。为了保障数据安全,我国制定了数据安全法,并推出了相应的国家标准。在国家标准中,DSMM是一个重要的数据安全标准,旨在评估和提升组织机构的数据安全能力。因此,DSMM模型应运而生,为组织提供了一种系统的方法来评估其数据安全能力和实践。
《医院网络安全运营能力成熟度评估指南》(试行版)研究解读
AllenLV的博客
05-13 2137
随着信息化融入医院各领域全过程,信息系统成为医院管理与服务运行的必要支撑,同时面临外部攻击、内部漏洞及自然灾害等网络安全风险。2022年,卫生健康行业主管部门印发《医疗卫生机构网络安全管理办法》,提出构建“管理、技术、运营”三位一体的安全防护体系。各级医院启动安全防护体系建设,但因管理水平、人员能力和资金投入的差距,缺乏客观评价依据。
DCMM数据管理能力成熟度模型解读-2022.pdf
最新发布
05-30
DCMM数据管理能力成熟度模型是当今数据治理领域中的一项重要标准,它为企业提供了一种评估和提升自身数据管理能力的框架。DCMM的产生背景与中国数据管理领域的发展历程密切相关。从2003年至2010年前后,在银行与通信...
SaaS架构设计详解:成熟度模型与关键技术
首先,文档介绍了SaaS成熟度模型,这是一种评估SaaS应用能力的方法,将其分为四个级别。从Level1的设备托管到Level4的完全可配置、高性能和可伸缩性,每个级别都代表了功能的逐步增强。Level1侧重基础功能,而Level4...
信息安全能力成熟度模型_IS_CMM_的建构
04-20
信息安全能力成熟度模型
网络安全能力成熟度评估模型.zip
04-01
网络安全能力成熟度评估模型充分借鉴了国内外安全标准及规范,经过多个单项目金额200万以上的安全战略规划咨询项目检验,具备严密逻辑性及高可落地性,适用于跨国上市公司及500强企业:该模型具有: 五个级别:非正式执行、计划跟踪、充分定义、量化可控制、持续优化; 五大安全能力层面:安全治理能力、安全管理能力、安全技术能力、安全运营能力、安全验证能力; 每个控制点从组织人员、制度流程、技术工具等维度进行成熟度评价。 该模型是落实企业安全建设能力成熟度差距评估,构建企业安全顶层规划,规划安全建设执行步骤不可缺少的必要环节工具。
各国网络安全能力成熟度模型 (CMM) 修订版-研究论文
06-10
全球网络安全能力中心(Capacity Centre)的目标是通过更全面和细致地了解网络安全能力格局,提高英国和国际网络安全能力建设的规模和有效性。 我们的目标是确保能力中心收集和产生的知识和研究能够以系统和实质性的方式帮助各国提高其网络安全能力。 通过帮助了解国家网络安全能力,能力中心希望帮助促进创新网络空间,以支持所有人的福祉、人权和繁荣。 为实现这一目标,能力中心于 2014 年开发了其原型国家网络安全能力成熟度模型,并于 2015 年在 11 次国家网络安全能力审查以及拉丁美洲和加勒比地区(由美洲国家组织与美洲开发银行合作)。 审查是与多个国际组织和主要部委一起进行的,并召集了社会各界的利益相关者,以全面了解国家网络安全能力的成熟度。 在审查期间,能力中心能够衡量模型的内容是否与网络安全能力格局一致,并通过吸取的经验教训确定增强模型的整体内容、结构和部署的方法。 因此,能力中心开发了该模型的修订版,称为国家网络安全能力成熟度模型 (CMM),基于通过该模型部署获得的经验教训。 能力中心根据经验教训向来自不同学科的网络安全专家小组提出了一系列修改建议。 这些专家磋商会确认了几项提议的修正,并提出了额外的意见供在 CMM 的修订中考虑。 一旦修改后的内容由领导各自网络安全能力维度发展的资深学者策划,CMM 的修订版就产生了。 CMM 修订版中所做的大部分更改都是结构性的,而不是实质性的。 某些因素和方面进行了组合或重新配置,以提高模型整体的清晰度和精度,同时确保内容的连续性。 例如,在维度 3 中,一些评论参与者对因素之间的差异表示混淆,导致对该维度进行了重新配置,以便更清楚地传达每个因素的意图。 为确保更准确地反映网络安全能力维度的本质,还对某些维度进行了增补等修改。 特别是在维度 5 中,增加了几个新的因素,使维度的重点转向技术标准、控制和产品,而不是现有的模糊范围。 最后,根据各个国家审查的反馈直接结果,添加了一些因素,例如在维度 2 中添加了关于媒体作用的因素,在维度 4 中添加了关于国际合作的因素。 CMM 不是静态练习。 随着能力中心继续在世界范围内部署该模型(到 2020 年,它已在 80 多个国家/地区部署),将吸取新的经验教训,可用于进一步增强 CMM。 我们的目标是确保 CMM 仍然适用于所有国家环境,并反映网络安全能力成熟度的全球状态。
美能源部网络安全成熟度模型C2M2 Version 2.1 June 2022
11-29
对各类组织的频繁网络入侵表明,需要改进网络安全。网络威胁持续增长,它们是现代组织面临的最严重的运营风险之一。国家安全和经济活力取决于关键基础设施的稳定运性和组织在面对这种威胁时能够持续运作。网络安全能力成熟度模型可以帮助所有行业、类型和规模的组织评估和改进其网络安全计划,并增强其运营弹性。 C2M2 侧重于与信息、信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践实施与管理。该模型可用于: 加强组织的网络安全能力 使组织能够有效且标准化地评估和检验网络安全能力 在组织间共享知识、最佳实践和相关参考资料,以提高网络安全能力使组织能够优先考虑行动和投资,以提高网络安全能力 C2M2 设计适用于一种自评估方法和工具(可根据要求获得)一起使用,以便组织衡量和改进其网络安全计划。使用该工具可以在一天内完成自评估,该工具也可以适用于更严格的评估工作。此外,C2M2 还可用于指导新的网络安全计划的开发。(在线评估工具: C2M2(doe.gov))C2M2 提供了描述性的而非说明性的指导。模型内容以较高的抽象级别表示,因此可以由不同类型、结构、规模和行业的组织来解释。一个行业广泛使
一文带你看懂网络安全能力成熟度模型(C2M2)
dzqxwzoe的博客
09-09 609
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
11-网络安全框架及模型-软件安全能力成熟度模型(SSCMM)
道爷我悟了,哈哈哈哈哈哈
12-22 2162
SSCMM模型是软件安全能力成熟度模型,它描述了一个组织中为确保优质安全工程而必须具备的安全工程过程的基本特性。该模型没有规定具体的过程或顺序,而是汇集了在行业中普遍遵循的实践。SSCMM模型诞生于一个对软件安全性和质量越来越重视的时代。在软件工程领域,保证软件产品的安全性和质量已经成为一项至关重要的任务。因此,许多组织和研究机构都在努力研究和开发新的方法和技术,以帮助开发人员更好地管理和提高软件的安全性和质量。SSCMM模型的出现,是为了提供一个框架和指导,帮助组织评估和提高软件安全能力。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值