网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力分部门协调委员会(ESCC)和石油和天然气分部门协调委员会(ONG SCC)资助的公共和私营部门组织共同开发。
本模型提供的指南旨在仅解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理问题。本指南无意取代或纳入组织已经实施或打算实施的其他网络安全相关活动、计划、流程或方法,包括与法律、法规、政策、规划计划或任务和业务需求相关的任何网络安全活动。此外,本指南不属于任何监管框架的一部分,也不计划用于监管。相反,本出版物中的指南旨在补充全面的企业网络安全计划。预期实施本模型以达到满足合规性需求的实体,请注意,合规性需求不会被本模型以任何方式改变。有关法规合规性的任何问题,请咨询您的合规主管部门。
模型结构
模型由10个域组成。每个领域都是网络安全实践的逻辑分组。一个领域内的实践根据支持该领域的目标成就进行分组。在每个目标中,实践按照成熟度指标级别(maturity indicator levels,MILs)排序。
C2M2包括342项网络安全实践,这些实践被分为10个领域。这些实践代表了组织可以执行的活动,以建立和完善该领域的能力。例如,资产、变更和配置管理域是组织可以执行的一组实践,以建立和完善的资产管理、变更管理和配置管理能力。
资产、变更和配置管理(Asset)
管理组织的IT和OT资产,包括软硬件以及与关键基础设施和组织目标的风险相应的信息资产。
威胁和漏洞管理(Threat)
建立和维护计划、程序和技术,以检测、识别、分析、管理和响应网络安全威胁及漏洞,并与组织的基础设施(如关键、IT和运营)和组织目标的风险相适应。
风险管理(Risk)
建立、操作和维护企业网络风险管理计划,以识别、分析和应对组织所面临的网络风险,包括其业务部门、子公司、相关的互连基础设施和利益相关者。
身份访问管理(Access)
为可能被授权逻辑或物理访问组织资产的实体创建和管理身份。控制对组织资产的访问,与关键基础设施和企业目标一致,管理资产访问风险。
态势感知(Situation)
建立并维护各类活动和技术,以收集、分析、预警、报告以及利用运营、安全和威胁信息,包括来自其他域模型的状态和汇总信息,构建组织运营状态和网络安全状态的态势感知。
事件响应与持续运营(Response)
建立并维护计划、流程和技术,以检测、分析、缓解、响应和从网络安全事件中恢复,与关键基础设施和企业目标一致,在网络安全事件发生时保证连续性。
第三方风险管理(Third-Parties)
建立并维护控制,以管理来自供应商和其他第三方的网络风险,与关键基础设施和企业目标一致。
员工管理(Workforce)
建立并维护计划、流程、技术和控制,以创造网络安全文化,并确保人员的稳定性和工作能力,与关键基础设施和企业目标一致。
网络安全架构(Architecture)
建立并维护组织网络安全架构的结构和行为,包括控制、流程、技术和其他元素,与关键基础设施和企业目标一致。
网络安全计划(Program)
建立并维护企业网络安全计划,该计划为组织的网络安全活动提供治理、战略规划和支持,使网络安全目标与关键基础设施和企业目标一致。
成熟度指标级别
模型定义了四个成熟度指标级别(maturity indicator level, MIL),从MIL0到MIL3,独立应用于模型中的各个领域。MIL定义了成熟度的双重进程:方法演进和管理演进。对于理解和应用模型,以下MIL的四个方面非常重要。
- 成熟度指示级别独立应用于每个域。因此,使用该模型的组织可能在不同的领域以不同的MIL评级运行。例如,一个组织可能在一个域中运行MIL1,在另一个域中运行MIL2。
- MIL在每个域内是累积的。要在给定域内获得MIL,组织必须执行该级别及其以下级别的所有实践。例如,组织必须在MIL1和MIL2中执行所有领域实践,才能在领域中实现MIL2。类似地,组织必须执行MIL1、MIL2和MIL3中的所有实践以实现MIL3。
- 为每个域建立目标MIL是利用该模型指导网络安全方案改进的有效策略。在确定目标MIL之前,组织应熟悉模型中的实践。然后,可以将差距分析活动和改进工作集中在实现目标级别上。
- 实践效果和MIL成就需要与业务目标和组织网络安全战略计划相一致。努力在所有领域实现最高级别MIL可能不是最佳选择。公司应评估实现特定MIL的成本和潜在收益。该模型的设计使所有公司,不论规模,都应该能够跨全领域实现MIL1。
出版物目录如下:
官方地址:https://www.energy.gov/ceser/cybersecurity-capability-maturity-model-c2m2
中文翻译版链接:https://pan.baidu.com/s/1xN1_8IQyY5BTpdmYP0B6eA 提取码: 2ut7
本文来自宇宸的研究室,版权归作者所有。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/18654.html
