C2M2 V2.0网络安全能力成熟度模型（第二版）（中译版）

1网络安全能力成熟度模型（第二版）本出版物的预期范围和用途本出版物提供的指南旨在仅仅解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关C2M2侧重于与信息、信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实在组织间共享知识、最佳实践和相关参考资料C2M2设计适用于一种自评估方法和工具(可根据要求获得)一起使用，以便组织衡量和改2C2M2提供了描述性的而非说明性的指导。模;持该领域的目标成就进行分组。在每个目标中，实践按照成熟度指标级别(matr4供上下文并介绍实践。目的陈述和介绍性说明为解释域中的实践建立和维护计划、程序和技术，以检测、识别、分析、管理和响应网络安全威胁及漏洞，建立、操作和维护企业网络风险管理计划，以识别、分析和应对组织所面临的网络风险，为可能被授权逻辑或物理访问组织资产的实体创建和管理身份。控制对组织资产的访问，5事件响应与持续运营（Response）成熟度指示级别独立应用于每个域。因此，使用该模型的组织可能在不同的领域以不6MIL之前，组织应熟悉模型中的实践。然后，MIL特点汇总要实现MIL1，这些初始活动可以以一种特别的方式执行，但是必须执行。模型的关联中,临时性(即没有形成或用于特殊目的政策或计划)是指执行实践的方式,在很大程度上取决于个人或团队的行动和经验,没有太多有组织性的指导,如规划的计划、政策或培75.优先级标准应包括对可能存在某种潜在威胁的毁管理演进描述了实践或活动在组织运营中深化(或制度化)的程度。活动越深入，组织越有8ASSET域的管理活动示例2.提供充足的资源(人员、资金和工具)来支持ASSET域中活动3.最新策略或其他有组织的定义了ASSET4.在ASSET域中执行活动的人员具备相应职责所需的技能和5.在ASSET域中，将活动相关义务、C2M2用于组织持续评估其网络安全能力，弥补差距。随着计划的实现，业务目标的变化图：使用模型的建议方法9可以根据自评研讨会的结果检查目标概要文件，以确定对组2.3优先级排序与计划2.4执行计划并定期评估1.与合适的参与者一起就4.为行动指定计划2.阶段性或重大变更时重新3.1资产、变更和配置管理(Asseb)IT和OT资产清单包括存在某种潜在威胁的资产d)根据定义的标准(包括对功能交e)优先级标准应包括对可能存在某种潜在f)IT和OT资产清单完整(清单包括用于功毁2.信息资产管理a)有一份对功能交付很关键的信息资产清单；清单管理b)信息资产清单包括存在某种你潜在威胁的信息资产d)信息资产已基于定义的方案进行分类，该方案包括功能交付的重要性e)分类标准包括对可能存在某种潜f)信息资产清单完整(清单包括用于功能交付的所有资产)g)信息资产清单适用当前环境，即，它是根据定义指标(如系统变更)定期更新的i)信息资产在生命周期结束时，使用适合其网络安全需求的技术进行删除或销毁3.资产配置管理e)对资产全生命周期进行监控，以确4.资产变更管理d)变更管理实践落实到资产全生命周期（如采购、部署、维护、下线）f)变更管理日志包括影响资产网络安全需求的修正信息a)对ASSET域中活动的建立、遵b)有足够的资源(人员、资金和工具)支持ASSET域中的活动c)最新政策或其他组织文件定义了d)在ASSET域中执行活动的人员具有相应职责所需的技能和知识e)在ASSET域中，为活f)评估并跟踪ASSET域中活动的有效性支持网络安全活动的属性信息。包括资产优先级、硬件和软件版本、物性、完整性和可用性的业务需求)、基于资产敏感度的类别、资产所有者和应用配置基线版为了保持变更的可追溯性和一致性，企业的变更管理活动确保资产数据库在配置变更时保持当前状态。所有关于资产的重要决策都要传达给利益相关者，包括资产所有者，以便有效地管理对功能的潜在建立和维护计划、程序和技术，以检测、识别、分析、管理和响应网络安全威胁及漏洞，f)定期或根据特定条件（系统变更/外部事件）进行安全漏洞评估g)对识别的安全漏洞进行分析和优先级划分，相应进行处理i)与组织利益相关者共享发现的一切安全漏洞信息j)由独立功能运营的多方进行安全漏k)对功能产生持续风险的漏洞将会根据风险管理程序予以响应l)漏洞监控活动包括适当时对漏洞采取的行动进行审查和确认2.威胁响应与威胁信息共享d)为功能建立威胁文档(例如，描述潜在威胁活动者、动机、意图、能力和目标)e)对威胁文档中所有组件的威胁信息源优先f)对识别的威胁进行分析和优先级排序，相应进行处理织、监管机构、信息共享和分析中心[ISACs]、内部实体)h)该功能的威胁文档会根据特定条件(如系统变更/外部事件)定期更新i)对功能产生持续风险的威胁会根据风险管理计划采取行动j)威胁监视和响应活动通过预定义的运行状态进行触发k)采用安全、近实时的方法接收和共享威胁信息，以实现快速分析和行动b)有足够的资源(人员、资金和工具)支持THREAT域中的活动d)在THREAT域中执行活动的人员具有相应职责所需的技能和知识某企业研究了其通常应对的威胁类型，包括恶意软件、拒绝服务攻击和激进的网络攻击团体。该信分析来自网络安全和基础设施安全中心(CISA)、信息共享和分析中心(ISACs)和行业协会等来源发知软件漏洞的潜在影响。这允许企业根据漏洞的重要性来划分优先3.3风险管理(RISK)建立、操作和维护企业网络风险管理计划，以识别、分析和应对组织所面临的网络风险，移)和监控风险。执行这些活动的关键是对网络风险管理策略的一般理解。网络风险管理策略1.建立和维持网络风险管理战略和计划e)建立并维护网络风险管理战略，以实施和执行与组织使命及目标一致的风险领域f)网络风险战略和项目活动与组织的整体风险管理战略及项目相一致2.识别网络风险c)网络风险识别利用多种风险d)来自运营和业务领域合适的利益相关者参与网络风险识别e)在风险登记表或其他记录中f)风险类别和风险分配到风险责任人h)利用ASSET域的资产清单和优先级信息进行网络风险识别活动i)利用THREAT域活动的漏洞管理信息来更新网络风险并识别新的风险j)利用THREAT域活动的威胁管理信息来更新网络风险并识别新的风险k)利用THIRD-PARTIES域活动的信息来更新网络风险并识别新的风险l)利用构建的系统及网络与网络安全架构的一致性差距来更新网络风险并识别新的m)网络风险识别会考虑可能产生或影3.分析网络风险e)来自运营和业务职能合适的利益相关者支持对更高优先级的风险类别和风险进行g)定期或根据特定条件（变更/外部事件）进行网络风险分析4.响应网络风险a)已实施用于处理风险类别和风险的响应行动(如减轻、b)已制定用来选择和实施基于分c)对网络安全控制进行评估，以确定设计是否适用，以及操作是否旨在减轻已识别d)由企业高层审查风险影响分析和网络安全控制评估的结果，以确定网络风险是否e)主管定期审查风险响应(如减轻、接受、避免或转移)活动，a)对RISK域中活动的建立、b)有足够的资源(人员、资金和工具)支持RISK域中的活动d)在RISK域中执行活动的人员具有相应职责所需的技能和知识f)评估并跟踪RISK域中活动的有效性某企业设计了一种企业风险管理策略，确定其风险容忍和评估、应对和监控网络风险的策略。董事在风险登记表中，以确保及时监控和应对，同时确认态企业利用来自当前网络安全架构的信息，分析关键资产如何关联，以及哪些资产暴露在互联网上。像接受来自互联网请求的Web服务器被认资产在提供基础服务方面的重要性和其基于网络及安全架构的暴露程度，这两者组成了每项资产的为可能被授权逻辑或物理访问组织资产的实体创建和管理身份。控制对组织资产的访问，进行更多审查。只有在考虑功能的风险后，才授权逻辑和物理访问，并定期a)为人员和其他实体（如需要访问资产的服务和设备2.逻辑访问控制c)明确逻辑访问需求（例如，允许哪些类型的实体访问资产的规则、允许访问的限f)逻辑访问请求由资产所有者审核及批准3.物理访问控制f)物理访问请求由资产所有者审核及批准a)为Access域中活动的建立、遵b)提供充足的资源（人员、资金和工具）来支持Access域中的活动c)最新策略或其他组织文件定义了Ad)在Access域中执行活动的人员具有相应职责所需的技能和知识f)评估并跟踪Access域中活动的有效性b)对用于功能交付且可能存在被利用威胁的资产记录日志c)对功能交付的关键资产以及用于功能交付且可能存在被利用威胁的资产，建立并b)监控IT/OT环境中可能引发网络安全事件的异常活动c)建立和维护功能监控与分析需求，d)基于系统日志、数据流、网络基线、网络安全事件和体系结构来建立和维护异常i)风险分析信息作为异常活动识别的指标之一j)根据特定条件定期评估和更新异常活动指标3.建立并维护态势感知a)建立并维护用于反映某项功能当前c)提供来自全公司的相关信息用d)定义了态势感知需求且及时向组织利益相关者传递网络安全信息e)整合监控数据并分析以提供近实f)收集外部组织和全公司的相关信息来增强态势感知能力g)有对接收的网络安全信息进行分析的流程，以支持态势感知h)基于网络安全状态或其他域的特定活动发生时，记录预定义运行状态并执行b)提供充足的资源（人员、资金和工具）来支持Situation域中的活动d)在Situation域中执行活动的人员具有相应职责所需的技能和知识3.6事件响应与持续运营（Respond)通过识别模式、趋势和其他通用特征支持事件的分析，且事件信息能够与其关联e)基于已识别的风险和组织威胁库来调整网络f)对某功能态势感知进行监控，用于发现网络安全事件2.网络安全事件分析与事件公布c)基于对功能的潜在影响正式建立网g)根据态势感知报告的需求，确定网络安全利益相关者，并将事件予以通知3.网络安全事件响应f)根据特定条件或定期演练网络安全事件响应计划j)网络安全事件响应人员会同其他组织共同参与安4.解决持续运营中的网络安全a)网络安全事件发生时，执行连续性计划用以保d)潜在安全事件影响分析能够为连续性计划开发提供信息e)已明确且在连续性计划中记录保证功能最小程度运行所f)连续性计划可以解决IT/OTg)连续性计划经过验证评估，且定期或根据特定条件进行演练p)对连续性计划中网络安全事件的内容定期审查和更新a)为Response域中活动的建立、b)提供充足的资源（人员、资金和工具）来支持Response域中的活动c)最新策略或其他组织文件定义了Red)在Response域中执行活动的人员具有相应职责所需的技能和知识e)在Response域中为f)评估并跟踪Response域中活动的有效性3.7第三方风险管理（Third-Par持对关键关系的全面理解以及管理相关网络风险对于安d)对可能产生严重影响的供应商和第三方提高优先级e)根据定义的条件或定期更新供应商2.第三方风险管理c)已制定确定网络安全需求的方法，并实施相关控制，以防止由供应商和第三方产e)对更高优先级的供应商和第三方实施更为f)通过与供应商和第三方的协议来正式确定网络安全需求g)供应商和第三方定期证明其满足网络安全要求的能力h)对供应商和第三方网络安全要求包括适当的软件安全和产品开发安全j)选择标准包括对防止仿冒或损害软硬件及服务保障的考虑a)为Third-Parties域中活动b)提供充足的资源（人员、资金和工具）来支持Third-Parties域中的活动c)最新策略或其他组织文件定义了Thirdd)在Third-Parties域中执行活动的人员具有相应职责所需的技能和知识e)在Third-Partiesf)评估并跟踪Third-Parties域中活动的有效性胁通常来自在公司的IT/OT系统中获得的突破点，例如，通过获取c)针对特定角色划分网络安全责任f)实施网络安全职责管理，以确保覆盖范围的充分和适当，包括接续计划2.培养网络安全人才a)至少为负有网络安全责任的相关人b)根据当前和未来的运营需求确定网络安全知识、技能和能力的要求和差距分析c)培训、招聘和留用工作协调一致，以解决已确f)培训项目包括对负责网络安全的员工的继续教育和职业发展机会3.实施人员控制c)定期对因工作可以访问某些e)让用户意识到自己在IT/OT和信息4.提高网络安全意识c)网络安全意识教育目标与已定义的威胁概况（Threatd)网络安全意识教育活动与预定义b)提供充足的资源（人员、资金和工具）来支持Workforce域的活动d)在Workforce域执行活动的人员具有相应职责所需的技能和知识网络安全体系结构帮助组织规划如何以超越身份管理或访问控制等单点资产的局部解决1.建立和维护网络安全架构战略和计划c)建立并维护网络安全架构战略e)网络安全架构建立并维护了组织f)根据网络安全的要求选择和实施网络安全控制i)网络安全架构以组织的风险分析信息(RISj)网络安全架构适用于预定义的运行状态(Situation-3h)2.将网络保护作为网络安全架构的一个要素来实施b)培根据资产网络安全需求，对功能交付具有重要意义的资产在逻辑上或物理上划程访问和外部所有的设备)，对选定的资产类型进行定义并实施网络g)根据网络安全需求，将所有资产进行安全域划分h)在必要的位置实施网络隔离，在逻辑或物理上将资产划分成需要独立身份验证的j)网络连接保护与组织风险水平相当（例如远程管理的安全连接）b)对优先级更高的资产实施更严格的网络安全控制（Asset-1d）c)实施最小权限原则（例如限制用户和服务帐e)若可能，将安全配置作为资产部署f)若可能，将应用安全作为设备配置的要素之一(例如端EDR、基于主机的防火墙)h)针对功能交付（Asset-1f）的所有资产，无论在资产情况下作为补偿控制，实施网络安全控制，包括物理访i)在整个资产生命周期中，对固件配置和变更实施控制j)为防止未授权代码的执行实施控制4.将软件安全作为网络安全架构的一个要素实施b)用于部署在更高优先级资产(ASSET-1d)上的采购软件，采购时应考虑供应商的安e)对所有采购的软件，采购时考虑供f)架构审查过程中，会在新的或更新的应用部署前进行安全评估5.将数据安全作为网络安全架构的一个要素实施b)针对选定的数据类别（ASSET-2d）的所有数据实施静态保护d)针对选定的数据类别（ASSET-2d）的静止数据和传输数据实施密码控制f)实施防止数据泄露的控制（如DLP工具）h)网络安全架构包护软件、固件a)为Architecture域中活动的建立、遵b)提供充足的资源（人员、资金和工具）来支持Architecture域的活动c)最新策略或其他组织文件定义了Architecd)在Architecture域执行活动的人员具有相应职责所需的技能和知识e)在Architecture域为活f)评估并跟踪Architecture域活动的有效性c)网络安全计划战略和优先事项文档化，并与组织战略目标和关键基础设施风险保d)网络安全计划战略定义了该组织为e)网络安全计划战略定义了网络安f)网络安全计划战略定义了网络安全计划拟遵循的标准和指导方针g)网络安全计划战略定义了网络安全计划必须满足的合规要求（h)更新网络安全计划战略，以反映业务变化、运营环2.保障网络安全计划d)提供足够的资源（人员、资金和工具）来运营与战略相一致的网络安全计划f)高管支持网络安全策略的发展、维护和执行g)为一位具有足够权力的角色分配了网络安全计划的职责h)与网络安全计划管理活动相关的利益相关者已确定且进行了参与i)定期审查网络安全计划活动，以确保适用于网络安全计划战略j)定期或根据特定条件对网络安全计划活动进行独立审查，以确保符合网络安全战a)为Program域中活动的建立、b)提供充足的资源（人员、资金和工具）来支持Program域的活动c)最新策略或其他组织文件定义了Pd)在Program域执行活动的人员具有相应职责所需的技能和知识f)评估并跟踪Program域活动的有效性客户服务主管和财务副总裁将根据新计划来解决潜在事件和随后的公关问题造成的即卡内基梅隆大学和软件工程学院的这份材料基于CybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCESTheC2M2wasderivedfromtheES-C2M2.TheDOEacknowledgestheelectricitysubsectorstandards,guidelines,whitepapers,andframeworksthatinformedthedevelopmentofthefirstiterationofthemodel.ThegeneralreferencesbelowwereeitherusedinthedevelopmentofthisdocumentormayserveasasourceforfurtherinformationregardingthepracticesidentifiedwithinHandbookforComputerSecurityIncidentResponseTeams(CSIRTs)(CMUwebsite:/library/aTheSGMMTeam.2011,Universitywebsite:/li/library/asset-CybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCESCommitteeonNationalSec/files/NCSC/do4009_National_Information_AssuranceIndustrialControlSystemsJointWorkingGrouDepartmentofHomelandSecurity.2019.CyRetrievedMay30,2019,fromPartneringforCriticalInfrastructureSecurityandResilience./publication/nipp-2013-partnering-critical-infrastructDepartmentofHomelanSecurityDivision.2009.U.S.LanguageforControlSystems./sites/prod/files/2015/01/f19/Energy%20SectorFramework%20Implementation%20Guidan/ceser/downloads/cybersecurity-risk-manachieve-energy-delivery-systems-cyber/resources/guides/csirt_caseInfrastructureIden/homeland-security-presidBusinessRiskManagementMaturityMoInternationalSocietyofAutomation(ISASecurity:EstablishinganIndustrialAutomationandControlSystemsSecurityProgram(ANSI/ISA-99.02.01-2009).InternationalOrganizationforStandardization.2004.StandardizationandRelatInternationalOrganizationforStandardization.2011.InInternationalOrganizationforStandardization.2008.SystemsSecuMaturityModel(SSE-CCybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCESInternationalOrganizationforStandardization.2008.InforSystems(ISO/IECCD27001:2005).InternationalOrganizationforStandardization.2008.CodeofPracticeforInformationSecurityManagement(ISO/IEC27002:2005).InternationalOrganizationforStandardization.n.d.SecurityManagementSupplyChain–BestPracticesforImplementingSupplyChainSecurity,AssessmentsandPlans–from/scresponse/repository/rice_tenney_SCS_NationalDefenseIndustrialAssociation,SystemAssuranceNationalInstituteofStandardsandTechnology.20/cybeNationalInstituteofStandardsandTechnology.2012.NISTFra/nistpubs/SpecialPublications/NIth,P.,&Klein,P.2014.ARole-Basedy/publications/detail/sp/800-16/rev-1/archiveCybersecurityCapabilityMaturityModel,Version2.0APPENDIXA:REFERENCES2018.RiskManagementFrameworkforInformationSystemsandOrganizations:ASystemLifeCycleApproachforSecurityandPrivacy(NISTSpecJune19,2020,from/Wilson,M.,&Hash,J.2009.SecurityandPrivacyControlsforFederalInformationSystemsandhttps:///publications/detail/spRoss,R.,McEvilley,M.,MultidisciplinaryApproachintheEngineeringofTrustworthy19,2010fromhttps://csr/nistpubs/SpecialPublications/NINationalInstituteofStandardsandTechnolo2019,from/pInformationSecurityContinuousMonitoring(ISCM)forFederalInformationSystemsand/publications/detSystems:ASystemsSecurityEngineeri/publications/detManagementPracticesforFederalInformation/publications/detTheSmartGridInteroperabilityPanelSmartGridCybersecurity,Volume1:SmartGridCyberSecurityMay30,2019,from/puTheSmartGridInteroperabilityPanelSmartGridCybersecurity,Volume3:Supportive/publications/detail/nistGarfinkel,S.L.2015./nistpubs/ir/201/governanc/library/asset-vITSecurityExpertAdvisoryGroup.2012.GenericSCADARis.au/Documents/SCADA-Generic-Risk-ManagemManagementAwareness.ArmedForce/committees/cyber/documentCybersecurityCapabilityMaturityModel,Version2.0APPENDIXB:GLOSSARYsystemcomponentsandinfrastructureandorganizatpolicy,ortraining.Thstructureandbehavioroftheorganizatincludingcontrols,processes,tcommensuratewiththerisktocritSeecybersecurityarchSomethingofvaluetothecommensuratewiththerisktocrassetthatisconsidered“threatactorsandtheorganization’sassets.These.public-facing.individualsystemsthatwouldallowlateral.systemswithadministrativerightsthatwouldenableprivilege.informationsuchaspersonallyidentAcontinuousprocessofcAcollectionofactivitiintegrityofassetschanging,andmonitoringtheconficonfidentiality,integrity,aninfrastructureandorganizatacomputingenvironment/infrastructure,ortoensuretheirconfidentialitimplementedtomaintatheorganization’sassetsandTheadministrative,managedtomeetcyberenterprisecybersecuritypplanning,andsponsorshiamannerthatalignscybersecurstrategicobjectivesaninstructions,regulationsObligationsforensuringtheorganizationAstrategythatencompassesavoiprovision.Thepracticeswithin“ManageAssetConfiguration”fortheASSETdomainand“IncreaseCybersecurityAwareness”fortheWenterpriseandorganization.contributetotheenterprisecybersecurityarchiAnorganizationalprocessoGovernancealsotypicallyincludthemanagerialtone),comwithstrategicobjectives).organization’sassets.Controlaccecommensuratewiththerisktocritpotentialtosignificantlyaffect)Thestagesofanincidetriaging,declaring,tracking,documenting,hanindications,vulnerabilities,andprottobetterunderstandcross-Asecuritycontrolorganizationalmissionsandbuaccomplishrequiredorganizactivitythatisessedetectionofcybersecurityphysicalcontrol.“internalcontrols”TherequirementsestablishedtodSeedomainobjectivesandorganizationalobjectivoperationalresiliencefocuseoperationalrisk,whereasentSeepredefinedstatesofoperation.managementsystems,fthatencompassesthefunctionselecorganizationareofteninterchangeable.Seealsoftheorganization-definedfreorganizationalobjectivesandforthefunction,commensuratetoadeclaredcyberseAseriesofdiscreteacTheperiodoftimewiassessment,executionandveri