企业网络安全成熟度评价规范（征求意见稿）

3T/GZHLW001—2024企业网络安全成熟度评价规范本文件给出了企业网络安全成熟度评价指标体系构建与实施原则、评价组织、评价指标、评价方法、等级划分及评价程序等内容。本文件适用于企业网络安全成熟度评价和诊断，以及企业网络安全的顶层设计和策略制定，也可以用于行业或区域的网络安全成熟度评价和网络安全战略制定。2规范性引用文件本文件没有规范性引用文件。3术语和定义本文件没有需要界定的术语和定义。4评价指标体系构建与实施原则4.1评价指标体系构建原则4.1.1科学性评价指标体系的构建及评价指标设计具有充分科学依据，反映企业网络安全发展的基本规律与特4.1.2导向性评价指标能够体现网络安全发展方向，引导企业的网络安全创新。4.1.3系统性评价指标体系能全面准确地反映企业各要素、各环节和整体的网络安全成熟度水平。4.1.4可采集性评价指标具有广泛的适用数据来源，数据便于采集。4.1.5可衡量性评价指标明确每个指标的含义、衡量方式与适用范围，使其易于考核。4.1.6迭代性评价指标体系随着社会技术进步和网络安全发展而迭代并不断完善，能够反映出全球网络安全技术发展和商业生态变化趋势，以及我国全社会网络安全改革与创新的动态。4.2评价指标体系实施原则4.2.1全生命周期原则评价指标体系可应用于企业发展过程的各阶段、各要素和各环节的网络安全成熟度评价。4.2.2按需选用原则在评价具体实施时，评价指标权重可根据企业所处行业及其网络安全建设的具体情况按需设置。5评价组织4T/GZHLW001—20245.1机构要求——具有独立的法人资质；——遵守企业网络安全成熟度评价规则；——参与企业网络安全成熟度评价的人员数量不少于3人；——不应擅自公开评价对象的评价信息(法律政策要求公开的信息除外)。5.2人员要求从事评价的人员应符合下列要求：——熟悉有关法律法规和政策；——熟悉企业网络安全工作，或经过培训熟练掌相关业务知识；——具有维护等级评价工作公开性、公平性、有效性、可信度的职业道德与操守。6评价指标6.1企业网络安全成熟度评价指标及权重企业网络安全成熟度评价，分为战略与组织、技术与服务、运行与管理、合规与安全4个一级指标和20个二级指标，可在二级指标中设置权重见附录A。6.2企业网络安全成熟度评价内容企业网络安全成熟度评价指标说明及详细评价内容见附录B。7评价方法7.1设置指标权重在评价具体实施前,根据企业所处行业及其网络安全建设的具体情况，在附录A设置评价指标权重。7.2采集评价信息企业网络安全成熟度评价，采用工具平台和现场评价结合的方式，应通过采集与网络安全相关的职能、活动和过程有关的信息确认各项指标满足情况。a)采集的证据应予以记录，采集方式可包括访谈、观察、现场巡视、文件与记录评审、信息系统演示、数据采集等；b)应对照企业网络安全成熟度定义，将采集的证据与其满足程度进行对比形成评估发现。具体的评估发现应包括具有证据支持的符合事项和良好实践、改进方向以及弱项等。7.3进行指标打分根据采集到的信息，对附录B中的二级指标，按照评价内容的满足程度，逐一打分，打分方式见附录C。7.4计算成熟度得分a)得到所有附录B中的二级指标得分结果后，将得分结果与权重值乘积结果加法累计；b)得到累计结果后，即是企业网络安全成熟度得分。8评价结果根据企业网络安全成熟度得分，确定成熟度等级。评价结果分为五个等级，从高到低依次为AAAAA、AAAA、AAA、AA、A。企业网络安全成熟度等级及分值应符合附录D的规定。9结果公示5T/GZHLW001—2024评价机构应对等级评价情况进行分析汇总，将评价结果及具体评价信息反馈给企业，并向社会公示评价结果。对评价结果有异议的，应在公示期内以书面形式向评价机构反映。以单位名义反映的，应加盖单位公章，以个人而名义反映的，应署真实姓名、工作单位、通讯地址及联系方式，以便于核实了解有关情况。6T/GZHLW001—2024企业网络安全成熟度评价指标及权重表7T/GZHLW001—2024企业网络安全成熟度评价指标及评价内容表战略与组织应明确一名分管领导负责本单位网络安全工作（分管领导应为本单位正职或副应设置负责安全审计工作的专岗，有正式发文记录，并确保这些应按要求设置安全管理员等安全工作的关键岗位，具备相应的任职能力架构覆盖了资产、网络、数据、应用等，并周期安全资源（产品、服务）应足够支撑年度网络安全工作安全资源的调度流程应顺畅，应在发生安全技术与服务全机房应避免安置于建筑的地下室或顶层，在地下室或顶层应做好防在其可信验证被破坏时自动告警，并将验证结果形成审计记录传送应用系统与其他系统进行数据交换过程中，应配置必应具备独立的安全测试环境，对测试数据进行脱敏处理，应具备聚合身份、终端、网络、内容、行为等方面的数据，进行应对数据采集、传输、存储、处理、运维、交换、销毁环节进行数应根据业务连续性要求制定数据备份计划，据资产进行扫描的情况，及发现识别个人信息、8T/GZHLW001—2024部署的SSL/IPSecVPN，应采用符合国密的安全产品，能够保证应针对工业控制架构进行合理规划和设计，制定有效措施确保IT网络与应具备工控网络安全监测能力，对接入网络、设备、系统、应具备面向工控系统合作伙伴/机构、第三方设备厂商、工控软件开发商及上下游软件、硬件供应确保虚拟机迁移过程中重要数据的完整性，并在监测到完整性受到破坏时采取必要的恢复措与合规性，确保云服务商在处理客户系统和数据应具备移动办公终端安全管理软件，具备防病毒运行与管理），应具备快速分析安全威胁、处置安全事件、主面向可预定义、可重复执行的分析和处置工作，应具备自动化编具备非技术手段或无法整改的漏洞、缺陷等9T/GZHLW001—2024应具备重大或紧急安全事件、应急响应预案和应定期进行安全演练，形成过程记录，汇总应能够将统一汇总、处理过的威胁情报数据下发至不合规与安全每年应定期开展网络安全意识培训教育，网络安全岗位相关工作人员应具备相应的资格认证证施每年应定期开展保密意识培训教育，应制定相应T/GZHLW001—2024评价指标满足情况评分表0T/GZHLW001—2024（规范性）评分等级表企业从生态视角实施网络安全战略，紧跟领先企业或进入行业先进行列，网络安全技术不断升级，应用云计算、大数据、人工智能等新技术及产业互联网平台，实现企业内部、企业与生态系统内其他主体之间数据的全面集成，通过对生态系统内大量数据的即时共享与分析，为系统内各主体业企业已经制定和初步落实了网络安全战略，网络安全素养较高，网络安全技术应用于企业各层面，具有较为完善的网络安全基础设施，已在较多领域应用云计算、大数据、人工智能等新技术，并初步建立或融入产业互联网平台，实现核心业务数据的有效衔接，能够对采集的大量数据进行分析企业管理层开始重视网络安全或进行初步规划，培养企业范围内的网络安全素养和创造力，有一定的信息化基础，局部应用新一代信息技术，能够企业以传统方式经营运作，对网络安全具有初步认识，但没有网络安全规划，信息化基础较弱，作业过程基本依靠手工操作，对过程数据的管理水T/GZHLW001—2024参考文献[1]王核成,王思惟,刘人怀.企业网络安全成熟度模型研究[J].管理评论,2021,33(1):39-48.[2]GB/T22239-2019.信息安全技术网络安全等级保护基本要求[S].[3]GB/T37988-2019.信息安全技术数据安全能力成熟度模型[S].[4]GB/T22239-2019.信息安全技术网络等级保护基本要求[S].[5]GB∕T37980-2019.信息安全技术工业控制系统安全检查指南[6]GB_T39786-2021信息安全技术信息系统密码应用基