如何利用量化指标评价网络安全建设成熟度(二):评价过程与方法

在上一篇《如何利用量化指标评价网络安全建设成熟度(一)》中阐述了网络安全成熟度模型与特征,本篇介绍如何围绕着网络安全成熟度模型,建立评价方法与评价指标。

01.

网络安全成熟度评价过程

网络安全成熟度评价过程分为三个步骤,即:单一指标评价、现状与期望评价、安全差距评分,具体步骤可参见下图:

由上图可以得知,网络安全成熟度评价指标分为安全运营能力、安全控制水平两部分,每一部分细化为五个领域,并且对应到成熟度的五个级别,形成详细的指标矩阵。

根据现状对每一指标进行已经实现、期望实现、暂无需求评估,对每一领域的所有指标评估结果与指标权重进行评分,得出该领域当前所处成熟度级别及期望实现的成熟度级别。

综合每个领域的安全成熟度评分及指标权重,得出安全运营能力、安全控制水平两部分的总体得分。综合安全运营能力、安全控制水平两部分得分及权重,可以评价整体网络安全成熟度阶段。

02.

安全控制指标设置及评分权重

安全控制水平评价包括物理安全、终端安全、网络安全、系统安全、数据安全五个领域,每个领域包含若干指标分别对应不同的安全成熟度级别。评价指标具体参加下图:
安全控制水平评价共计60个指标,总分共计600分。指标数量及权重如下图所示:

从成熟度阶段来看,每个成熟度阶段均有12个指标,但不同阶段的指标总分权重不同。不同阶段的指标权重不一样,按安全成熟度级别评分权重成“枣核”形状,初级防护与进攻型防护每个指标5分,基础防范每个指标10分,体系化控制与主动性防御每个指标15分。

从安全控制领域来看,每个领域的成熟度分数均有120分,但不同领域的指标数量不同。物理安全与网络安全各有15个指标,终端安全、系统安全与数据安全各有10个指标。

03.

安全运营指标设置及评分权重

安全运营能力评价包括资产管理、风险识别、日常运行、应急响应、合规审计五个领域,每个领域包含若干指标分别对应不同的安全成熟度级别。评价指标具体参加下图:

安全运营能力评价共计45个指标,总分共计400分。指标数量及权重如下图所示:

从成熟度阶段来看,低级别成熟度阶段由于缺乏安全运营的基础,安全运营指标设置的比较少,初级防护未设置安全运营指标,基础防范只有6个评价指标,每个指标5分。体系化控制、主动安全防御、进攻性防御各有13个指标,每个指标10分。

从安全运营领域来看,风险识别与日常运营评价指标最多,均为12个指标;安全合规审计评价指标9个,资产管理与应急响应评价指标最少,各有指标6个。

04.

安全成熟度指标计算与成熟度判定

安全控制水平评价指标60个,总分共计600分;安全运营能力指标45个,总分共计400分。两部分指标及分数综合相加,网络安全成熟度指标共有105个,总分共计1000分。按照不同的得分,安全成熟度级别判定标准如下:

05.

某机构网络安全成熟度评价示例

安全控制现状与期望评分

安全运营现状与期望评分
安全成熟度评价指标得分
安全现状与期望差距分析
于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域,兼顾于一切文、史、哲、杂的东拉西扯,同时也会记录一些个人的读书笔记与成长经历。
(0)

相关推荐