一文带你看明白网络安全能力成熟度模型 C2M2

经过多年网络管理工作，一直缺乏网络安全的整体视角，网络安全的全貌到底是什么，一直挺迷惑的。目前网络安全的分类和厂家非常多，而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象，只看到网络安全的一个点，而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2)，有种相见恨晚的感觉。它是一套自成体系的模型，内容比较全面，更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全，并加强其运营弹性。

C2M2 包括领域、目标、实践和 MIL（成熟度指标级别）。以下各节将讨论每个组件。

域：域是网络安全的一类主题。该模型有10个域，每个域都包含一组网络安全实践。每组实践都表示组织可以执行的活动，提出了以域为基本单位模型建立产业集群的成熟度预测模型。

实践：实践是 C2M2 最基本的组成部分。每个实践都是一个简短的声明，描述了组织可能执行的网络安全活动。这些活动的目的是实现和维持与关键基础设施和组织目标的风险相符合的适当网络安全水平。每个域种的实践都是按照成熟度等级进行排序和组织的。

以下的四个方面非常重要：

成熟度级别独立于每个域。因此，使用该模型的组织可能在不同的领域用不同的级别评级运行。

MIL在每个域内是累积的。要在实施指定的级别，组织必须执行该级别及其以下级别的所有实践。

为每个域建立目标级别是利用该模型指导网络安全方案改进的有效策略。

实践效果和级别目标需要与业务目标和组织网络安全战略计划相一致。所有公司都应该在全领域实现一级别。在这个阶段，企业需要考虑的主要问题是如何确保网络安全的可持续性。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!