ICS35.030 CCS L 70 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 电信网和互联网网络安全能力成熟度评价 模型 Maturity assessment model for cybersecurity capability of tele network and Internet 行业标准信息服务平台 (点击此处添加与国际标准一致性程度的标识) (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXxXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4概述... 4.1能力成熟度评价... 4.2能力成熟度评价模型 5能力域, 5 5.1制度管理 5 5.1.1网络安全规划.
5.1.2网络安全管理制度 6 5.2组织和人员管理 5.2.1组织机构及人员岗位 5.2.2人力资源管理 8 5.2.3教育培训及考核 6 5.2.4沟通与合作 5.3资产管理, 5.3.1资产清单管理 10 5.3.2资产日常管理和维护 11 5.3.3资产变更管理 12 5.4风险管理 13 5.4.1风险控制 13 5.4.2风险识别和防范 13 5.5供应链安全管理, .14 5.5.1供应链安全风险管理 14 5.5.2采购情况管理 14 5.6系统和通信防护 15 5.6.1身份管理 15 5.6.2访问控制 16 5.6.3系统和边界防护 17 5.7运行维护 18 5.7.1安全运维 .18 5.7.2状态监控 81 5.7.3日志及审计 19 5.7.4备份和恢复 .20 5.8检测评估 20 5.9安全态势分析 21 5.9.1漏洞管理 21 5.9.2威胁信息管理 22
YD/T XXXXX-XXXX 5.9.3态势感知 23 5.10网络安全事件管理 24 5.10.1事件响应和处置 5.10.2应急演练 参考文献 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限 公司、华为技术有限公司、中电科网络空间安全研究院有限公司、上海观安信息技术股份有限公司、北 京长亭未来科技有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、北京 神州绿盟科技有限公司、北京经纬信安科技有限公司、哈尔滨工业大学(威海)、长扬科技(北京)股 份有限公司、OPPO广东移动通信有限公司、中电信数智科技有限公司、江苏易安联网络技术有限公司、 中孚信息股份有限公司、中移(杭州)信息技术有限公司、中兴通讯股份有限公司、北京奇虎科技有限 公司.
本文件主要起草人孟楠、赵泰、蒋敏慧、张思齐、赵夷、董驿、董航、孙念、李海明、邱勤、王 娜、蒋武、王西子、谢江、吴绍柳、张静、梁伟、欧阳周婷、于磊、王佰玲、汪义舟、李根、徐赵虎、 于振伟、张振山、程晋雪、周继华、姚一楠.
行业标准信息服务平台
YD/TXXXXX-XXXX 电信网和互联网网络安全能力成熟度评价模型 1范围 本文件规定了电信网和互联网网络安全能力成熟度模型的构成、等级划分标准、关键能力域和成熟 度要求.
本文件适用于指导电信网和互联网网络运营者和第三方安全评价机构开展电信网和互联网网络安 全能力评价活动,也适用于运营者开展网络安全能力建设及电信管理机构实施监督管理.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T5271.8-2001信息技术词汇第8部分:安全 3术语和定义 GB/T5271.8-2001界定的以及下列术语和定义适用于本文件.
3. 1 能力成熟度模型capabilitymaturitymodel 评价各项实践、过程和方法当前能力水平,并提出改进目标及优先级的一种指标体系.
4概述 4.1能力成熟度评价 电信网和互联网网络安全能力成熟度评价的评价对象为电信网和互联网网络运营者(如基础电信企 业集团二级部门、省公司,行业关键信息基础设施运营者、大型互联网企业等),通过对运营者建设、 运维电信网和互联网网络安全关键能力进行量化分析,科学评价运营者网络安全防护各项实践、过程和 方法当前的能力水平,提出改进目标、优先级及相关举持.
4.2能力成熟度评价模型 网络安全能力成熟度评价模型包括能力成熟度等级、网络安全关键能力域、网络安全管理生命周期 3个维度,如图1所示.
