如何利用量化指标评价网络安全建设成熟度(二):评价过程与方法
在上一篇《如何利用量化指标评价网络安全建设成熟度(一)》中阐述了网络安全成熟度模型与特征,本篇介绍如何围绕着网络安全成熟度模型,建立评价方法与评价指标。
01.
网络安全成熟度评价过程
网络安全成熟度评价过程分为三个步骤,即:单一指标评价、现状与期望评价、安全差距评分,具体步骤可参见下图:
由上图可以得知,网络安全成熟度评价指标分为安全运营能力、安全控制水平两部分,每一部分细化为五个领域,并且对应到成熟度的五个级别,形成详细的指标矩阵。
根据现状对每一指标进行已经实现、期望实现、暂无需求评估,对每一领域的所有指标评估结果与指标权重进行评分,得出该领域当前所处成熟度级别及期望实现的成熟度级别。
综合每个领域的安全成熟度评分及指标权重,得出安全运营能力、安全控制水平两部分的总体得分。综合安全运营能力、安全控制水平两部分得分及权重,可以评价整体网络安全成熟度阶段。
02.
安全控制指标设置及评分权重
从成熟度阶段来看,每个成熟度阶段均有12个指标,但不同阶段的指标总分权重不同。不同阶段的指标权重不一样,按安全成熟度级别评分权重成“枣核”形状,初级防护与进攻型防护每个指标5分,基础防范每个指标10分,体系化控制与主动性防御每个指标15分。
从安全控制领域来看,每个领域的成熟度分数均有120分,但不同领域的指标数量不同。物理安全与网络安全各有15个指标,终端安全、系统安全与数据安全各有10个指标。
03.
安全运营指标设置及评分权重
安全运营能力评价包括资产管理、风险识别、日常运行、应急响应、合规审计五个领域,每个领域包含若干指标分别对应不同的安全成熟度级别。评价指标具体参加下图:
从成熟度阶段来看,低级别成熟度阶段由于缺乏安全运营的基础,安全运营指标设置的比较少,初级防护未设置安全运营指标,基础防范只有6个评价指标,每个指标5分。体系化控制、主动安全防御、进攻性防御各有13个指标,每个指标10分。
从安全运营领域来看,风险识别与日常运营评价指标最多,均为12个指标;安全合规审计评价指标9个,资产管理与应急响应评价指标最少,各有指标6个。
04.
安全成熟度指标计算与成熟度判定
安全控制水平评价指标60个,总分共计600分;安全运营能力指标45个,总分共计400分。两部分指标及分数综合相加,网络安全成熟度指标共有105个,总分共计1000分。按照不同的得分,安全成熟度级别判定标准如下:
05.
某机构网络安全成熟度评价示例
安全控制现状与期望评分