历时半年多,利用业余时间,一点点啃完了整份报告的正文部分。关于后边引用的资料和附件部分没有翻译,意义不是很大。本研究报告推荐阅读人群:CEO、CIO、CISO、合规安全研究员。
总的来说,这份研究报告对于国家和大型集团企业网络安全顶层设计很有帮助,而且引用了很多实践和可阅读的参考文献,就是很接地气儿,接近于可落地的边缘。在这里感谢一下期间帮忙翻译一些长难句的萝莉妹子,专8不是盖的。另外,感谢一下 FreeBuf 的支持,帮忙设计版式。
关于这个模型,之前在 FreeBuf 已经连载过半年了,更新了前三个维度的内容,在 CIS 2019 上也做了一次分享。期间一直有人会私下问我一些相关的问题,所以感觉还是有人在关注的。
最近几十年,信息通信技术(ICT)的作用和地位愈发重要。从经济角度来看,互联网和信息通信技术对经济的促进已得到广泛认可。然而,这些技术同时也使得网络空间的非法活动激增。由此,兰德公司于2018年8月发布报告《发展网络安全能力》(Developing Cybersecurity Capacity),旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定,以应对网络领域的挑战。报告中,对国家网络成熟度进行了详细的审查和评估,并将其结论更好地转化为切实的政策建议和投资战略,使政策制定更好地增强该国的网络安全能力。
国家网络安全能力成熟度模型(CMM)由牛津大学(University of Oxford)的全球网络空间安全能力中心(GCSCC)创建,并由英国外交部(UK FCO)的网络安全能力建设计划进行资助。由于美洲国家组织(OAS)、世界银行(WB)、国际电信联盟(ITU)和英联邦电信联盟(CTO)等国际组织在许多国家和地区都部署了这一工具,因此在实践者中备受关注。
全球网络空间安全能力中心能力成熟度模型(GCSCCCMM)的首个版本出版于2014年,2017年更新为最新版本。根据全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)所述,一个国家的网络生态系统被认为由五个维度构成:
D1 – 网络安全政策和战略
D2 – 网络文化与社会
D3 – 网络安全教育、培训和技能
D4 – 法律和监管框架
D5 – 标准、组织和技术
全球网络空间安全能力中心能力成熟度模型( GCSCC CMM )的每一个维度、因素和方面都进一步沿着成熟度的 5 个阶段进行构建。它们被用来帮助各国确定自己目前的能力水平。全球网络空间安全能力中心能力成熟度模型( GCSCC CMM ) 的成熟度级别,从低到高,列示如下:启动级;形成级;确立级;战略级;以及动态级。图 I.1 提供了全球网络空间安全能力中心能力成熟度模型( GCSCC CMM )结构的可视化概述。
资料来源:兰德欧洲公司基于全球网络空间安全能力中心(GCSCC)的详细阐述(2017)Dimension维度;Factor因素;Aspect方面;Start-up启动级; Formative形成级; Established确立级; Strategic战略级;Dynamic动态级;Cyber security capacity building网络安全能力建设。
全球多个国家都在使用全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)来支持国家网络安全能力的专家评估。该模型也成功描绘出国家网络生态系统中利害攸关的问题,并为未来的发展和投资提供建议。然而,设计该工具并不是为了让政策制定者和实施者使用该工具作为参考指南,而是为了在对国家网络安全能力进行评估后,将建议付诸实施。
这里不过多介绍,各位可下载后自行阅读,下面将整个模型的结构图展示一下。还是那句话,大家觉得有用可自取。
点击查看大图
*最后,希望大家能够尊重他人劳动成果,转载、下载或引用请注明出处,另外由于版权归属兰德,目前官方没有回复我有关版权问题的邮件,因此,严禁用于任何商业用途,若被官方通知需要下线,会即刻撤回。