欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

国家网络安全能力成熟度模型(一)

来源:本站整理 作者:佚名 时间:2019-05-14 TAG: 我要投稿

这是作为课题研究的一个学术报告,发现有很多地方可以拿来借鉴和学习,从比较高的角度去看待网络安全,并且给出了一定的实践指南。由于能力和时间有限,只翻译了第一个维度,也是最重要的一部分。拿来和各位分享一下,希望能用得到,建议大型甲方和合规研究类的人员参考,不适合中小企业落地。
文章的序言以及1.1、1.2、1.3章节之前由学术Plus翻译过,我这里只是稍作修改,必须要说明一下。1.4-1.6部分由本人独立翻译完成。
本文主要介绍GCSCC CMM模型的理论体系以及报告中的实践指南,重点放在第一维度–国家网络安全政策和战略。

正文
本文主要介绍GCSCC CMM模型的理论体系以及报告中的实践指南,重点放在第一维度–国家网络安全政策和战略。
由于格式问题,FB的编辑较难操作,后续正文将以图片形式展现,如果有需要的可以后续提供PDF文档。
研究背景与报告概况
最近几十年,信息通信技术(ICT)的作用和地位愈发重要。从经济角度来看,互联网和信息通信技术对经济的促进已得到广泛认可。然而,这些技术同时也使得网络空间的非法活动激增。由此,兰德公司于2018年8月发布报告《发展网络安全能力》(Developing Cybersecurity Capacity),旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定,以应对网络领域的挑战。报告中,对国家网络成熟度进行了详细的审查和评估,并将其结论更好地转化为切实的政策建议和投资战略,使政策制定更好地增强该国的网络安全能力。
国家网络安全能力成熟度模型(CMM)由牛津大学(University of Oxford)的全球网络空间安全能力中心(GCSCC)创建,并由英国外交部(UK FCO)的网络安全能力建设计划进行资助。由于美洲国家组织(OAS)、世界银行(WB)、国际电信联盟(ITU)和英联邦电信联盟(CTO)等国际组织在许多国家和地区都部署了这一工具,因此在实践者中备受关注。
全球网络空间安全能力中心能力成熟度模型(GCSCCCMM)的首个版本出版于2014年,2017年更新为最新版本。根据全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)所述,一个国家的网络生态系统被认为由五个维度构成:
D1 – 网络安全政策和战略
D2 – 网络文化与社会
D3 – 网络安全教育、培训和技能
D4 – 法律和监管框架
D5 – 标准、组织和技术
全球网络空间安全能力中心能力成熟度模型( GCSCC CMM )的每一个维度、因素和方面都进一步沿着成熟度的 5 个阶段进行构建。它们被用来帮助各国确定自己目前的能力水平。全球网络空间安全能力中心能力成熟度模型( GCSCC CMM ) 的成熟度级别,从低到高,列示如下:启动级;形成级;确立级;战略级;以及动态级。图 I.1 提供了全球网络空间安全能力中心能力成熟度模型( GCSCC CMM )结构的可视化概述。

资料来源:兰德欧洲公司基于全球网络空间安全能力中心(GCSCC)的详细阐述(2017)Dimension维度;Factor因素;Aspect方面;Start-up启动级; Formative形成级; Established确立级; Strategic战略级;Dynamic动态级;Cyber security capacity building网络安全能力建设。
全球多个国家都在使用全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)来支持国家网络安全能力的专家评估。该模型也成功描绘出国家网络生态系统中利害攸关的问题,并为未来的发展和投资提供建议。然而,设计该工具并不是为了让政策制定者和实施者使用该工具作为参考指南,而是为了在对国家网络安全能力进行评估后,将建议付诸实施。
模型的五大维度及其内在因素
第 1 维 —— 网络安全政策和战略
全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)的维度着眼于国家制定、实施和审查国家级网络安全战略的能力,以及支持该战略的关键战略、理论学说和操作文件和活动。这一维度包括以下六大因素:
D1.1 – 国家网络安全战略
这一因素侧重于国家制定、审查和更新国家网络安全战略的能力,有助于确定网络安全行动的优先次序,确定责任,并分配相关资源。
D1.2– 安全应急响应
这一因素关注的是安全应急响应能力,特别是在国家层面上应对网络安全事件的能力。
D1.3 – 关键基础设施保护
这一因素强调保护那些对维持包括健康、安全、安全保障、经济和社会福利在内的重要的社会职能必不可少的资产和系统的能力。
D1.4 – 危机管理
这一因素着重强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。
D1.5 – 网络防御
这一因素侧重于国家设计和实施网络防御战略的能力,同时保持对政府、国际商业团体和社会开放网络空间的好处和灵活性。
D1.6 – 通信冗余
这一因素关注的是各国政府识别、详细规划和利用国家利益攸关方之间的数字冗余和冗余通信的能力。
维度 2—— 网络文化与社会
模型考察了网络安全的宽阔的文化与社会维度,及其在提高网络空间安全性与恢复力方面所发挥的作用。个体、公众、民间和社会层次的参与者之间所存在的国家网络安全文化是以对有助于网络生态系统的成熟度和恢复力的价值观、态度和实践的共同的理解与接受为条件的。本维度包括5个因素:
D2.1 – 网络安全心态
这个因素集中于国家网络安全参与者的价值观、态度和实践,包括存在于网络生态系统中的政府、私营部门、个人用户及其他参与者。
D2.2 – 对互联网的信任和信赖
这个因素聚焦于普通民众以安全的和私密的方式使用因特网时所具有的信任和信赖,包括使用政府的电子服务平台和电子商务平台。
D2.3 – 用户对于线上个人信息保护的理解
这个因素聚焦于普通民众以及公共部门和私营部门中的用户和参与者是否能够意识到和理解线上个人信息保护的重要性和意义。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载