美国能源部：2021年C2M2网络安全能力成熟度模型第二版中译版（61页）.pdf

1、宇宸的研究室 网络安全能力成熟度模型（第二版）1 网络安全能力成熟度模型（第二版）感谢感谢 该网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力分部门协调委员会(ESCC)和石油和天然气分部门协调委员会(ONG SCC)资助的公共和私营部门组织共同开发。能源部感谢为编制本文件提供必要批评、评估和建议的组织和个人。本出版物的预期范围和用途本出版物的预期范围和用途 本出版物提供的指南旨在仅仅解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理问题。本指南无意取代或纳入组织已经实施或打算实施的其他网络安全相关活动、计划、流程或方法，包括与法律、法规、政策

2、、规划计划或任务和业务需求相关的任何网络安全活动。此外，本指南不属于任何监管框架的一部分，也不计划用于监管。相反，本出版物中的指南旨在补充全面的企业网络安全计划。预期实施本模型以达到满足合规性需求的实体，请注意，合规性需求不会被本模型以任何方式改变。有关法规合规性的任何问题，请咨询您的合规主管部门。简介简介 对各类组织的频繁网络入侵表明，需要改进网络安全。网络威胁持续增长，它们是现代组织面临的最严重的运营风险之一。国家安全和经济活力取决于关键基础设施的稳定运性和组织在面对这种威胁时能够持续运作。网络安全能力成熟度模型可以帮助所有行业、类型和规模的组织评估和改进其网络安全计划，并增强其运营弹性。

3、C2M2 侧重于与信息、信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践实施与管理。该模型可用于：加强组织的网络安全能力 使组织能够有效且标准化地评估和检验网络安全能力 在组织间共享知识、最佳实践和相关参考资料，以提高网络安全能力 使组织能够优先考虑行动和投资，以提高网络安全能力 C2M2 设计适用于一种自评估方法和工具(可根据要求获得)一起使用，以便组织衡量和改宇宸的研究室 网络安全能力成熟度模型（第二版）2 进其网络安全计划。使用该工具可以在一天内完成自评估，该工具也可以适用于更严格的评估工作。此外，C2M2 还可用于指导新的网络安全计划的开发。（在线评估工具：C2M2

4、(doe.gov)）C2M2 提供了描述性的而非说明性的指导。模型内容以较高的抽象级别表示，因此可以由不同类型、结构、规模和行业的组织来解释。一个行业广泛使用该模型可以支持对该行业的网络安全能力进行基准测试。这些特性也使 C2M2 成为实现 NIST 网络安全框架(NIST CSF)的一个易扩展的工具。宇宸的研究室 网络安全能力成熟度模型（第二版）3 1.成熟度模型（Maturity Model）成熟度模型是一组特征、属性、指示器或模式，它们表示特定规程中的能力和进展。模型内容举例说明典型最佳实践，并可能包含规程的标准或其他实践代码。成熟度模型提供了一个基准，组织可以据此评估其当前实践、过程和

5、方法的能力水平，并为改进设定目标和优先级。此外，当一个模型在特定行业中广泛使用，并且评估结果被匿名和共享时，组织可以将其绩效与其他组织进行基准测试。一个行业可以通过检查其成员组织的能力来确定其整体表现如何。1.1 模型结构 该模型由 10 个域组成。每个领域都是网络安全实践的逻辑分组。一个领域内的实践根据支持该领域的目标成就进行分组。在每个目标中，实践按照成熟度指标级别(maturity indicator levels,MILs)排序。C2M2 包括 342 项网络安全实践，这些实践被分为 10 个领域。这些实践代表了组织可以执行的活动，以建立和完善该领域的能力。例如，资产、变更和配置管理域

6、是组织可以执行的一组实践，以建立和完善的资产管理、变更管理和配置管理能力。每个领域中的实践被组合成目标，这些目标代表支持该领域的成就。例如，资产、变更和配置管理领域包含五个目标：1.管理 IT 和 OT 资产清单 2.管理信息资产清单 3.管理资产配置 4.管理资产变更 5.管理活动 一个领域中的每个目标都包含一组实践，这些实践是由 MIL 排序的。宇宸的研究室 网络安全能力成熟度模型（第二版）4 图：图：模型与域模型与域元素元素 对于每个域，模型提供一个目的陈述，这是对域意图的总结，接着是介绍性说明，为域提供上下文并介绍实践。目的陈述和介绍性说明为解释域中的实践提供了上下文联系。10 个域的