ICS35.030 CCS L 70 YD 中华人民共和国通信行业标准 XXXX-XXXXX1/0人 电信网和互联网网络安全能力成熟度评价 方法 Maturity assessment method for cybersecurity capability of tele network and internet 行业标准信息服务平台 (点击此处添加与国际标准一致性程度的标识) (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4概述.... 4.1基本原则. 4.1.1分级递进原则 4.1.2全面参与原则 4.1.3经济性原则, 4.2基本流程 4.3相关角色 4.4成熟度等级 5评价准备 5.1受理评价申请 5.2组建评价团队 5.3评价前预调研 5.4确定评价范围 5.5确定评价等级 6评价计划 6.1评价方案编制 5 6.2能力域及权重确定 6.3作业指导书开发. 5 5 7.1评价启动会 7.2现场评价与结果记录 6 7.2.1访谈 7.2.2核查 6 7.2.3测试 7.3结果确认与资料归还 8评价分析 8.1评分方法 8.2计算方法 8.3等级判定 9评价报告 9.1沟通评价结果 9.2改进提升建议 9.3形成评价报告 9.4组织评审会
YD/TXXXXXXXXX 附录A(资料性)能力域及权重(示例).
附录B(资料性)能力成熟度总体得分与等级判定(示例) 附录C(资料性)评价报告(示例) 参考文献: 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限 公司、中电信数智科技有限公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、上 海观安信息技术股份有限公司、长扬科技(北京)股份有限公司、北京长亭未来科技有限公司、华为技 术有限公司.
本文件主要起草人:孟楠、赵泰、张思齐、蒋敏慧、赵爽、孙念、邱勤、李海明、王娜、徐赵虎、 张静、欧阳周婷、谢江、张亚京、全政、邵萌.
行业标准信息服务平台
YD/T xXXXX-XXXX 电信网和互联网网络安全能力成熟度评价方法 1范围 本文件规定了电信网和互联网网络安全能力成熟度的评价流程、评价方法和成熟度等级判定方法.
本文件适用于指导电信网和互联网网络运营者和第三方安全评价机构开展电信网和互联网网络安 全能力成熟度评价活动.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
YD/TXXXXX电信网和互联网网络安全能力成熟度评价模型 3术语和定义 YD/TXXXXX界定的术语和定义适用于本文件.
4概述 4.1基本原则 4.1.1分级递进原则 电信网和互联网网络安全能力成熟度评价应按照YD/TXXXXX中定义的5个成熟度等级,实施分等级、 累计递进的网络安全能力成熟度评价.
4.1.2全面参与原则 电信网和互联网网络安全能力成熟度评价应由各利益相关者全面参与,包括受评价方负责资源分配 和风险管理的高层管理者、负责各能力域相关资源运作的负责人、协调人以及相关的安全管理人员、实 施人员和各类支撑人员等.
4.1.3经济性原则 测评结果可复用原则,电信网和互联网网络安全能力成熟度评价可采信符合性评测的结果,涉及企 业层面的测评项,如已针对其他网络类型开展过成熟度评价,部分测评项结果可复用.
4.2基本流程 电信网和互联网网络安全能力成熟度评价流程包括评价准备、评价计划、评价实施、评价分析、评 价报告五个环节,基本评价流程如图1所示.
