前言(CMM的发展演变)2020年伊始爆发的新冠病毒肺炎疫情,为世界带来“百年未有”之大变局,国际力量对比深刻调整,国际环境日趋复杂,经济全球化遭遇逆流,网络空间加速变革,为全球网络空间安全带来新的威胁和挑战。在日趋激烈的网络空间安全博弈中,如何全方位筑牢网络要筑牢网络安全防线,有效提高网络安全保障水平,是全球各国网络安全发展关注的重点。
“昔之善战者,先为不可胜,以待敌之可胜。”想要立于不败之地的基础是必须拥有强大的实力,实力的强弱与否是明确战略部署的前提。那么如何实现国家级的网络安全能力成熟度的自我评估,并将评估结果转化为切实的政策建议、投资战略以及能力发展优先次序,为决策者发展本国的更加先进、更加成熟的网络安全能力建设提供参考建议。
当前,针对国家级别的网络安全能力成熟度除了包括美国国防部的CMMC模型外,还包括由英国牛津大学全球网络安全能力中心(GCSCC)创建的国家网络安全能力成熟度模型(Cybersecurity Capacity Maturity Model for Nations,CMM)。全球网络安全能力中心由英国外交事务部UK FCO的网络安全能力建设计划(Cyber Security Capacity Building Programme 2018 to 2021)资助建设。
在2014年,GCSCC与来自学术界、国际和地区组织以及私营部门的200多名专家开展了全球合作,发布了第一代国家网络安全能力成熟度模型CMM。确定了国家级的网络安全能力最重要的因素,以及国家达到相应的成熟水平的所要采取的必要步骤。
随后,该模型得到了进一步的补充和细化,并在全球6个国家进行了部署试点。并将部部署初期的阶段性结果用于模型的进一步迭代更新,并最终在2017年2月发布了CMM的修订版。此外,在2018年8月,兰德欧洲(Rand Europe)发布了《发展网络安全能力—概念验证实施指南》(Developing Cybersecurity Capacity— A proof-of-concept implementation guide),该报告作为网络安全能力建设计划项目(Cyber Security Capacity Building Programme 2018 to 2021)的产出物之一开发了一个基于CMM模型的概念验证操作工具箱,该概念验证工具箱提供了通过审查现有网络安全能力建设文献确定的指导方针和建议方法,以促进国家级别的网络安全能力的发展。
2019年底,GCSCC开展了一项全球合作实践,并根据CMM在部署中汲取的经验教训提出了完善建议,并与来自学术界、国际和区域组织、政府、私营部门和公共社区在内的150多位专家进行了一系列磋商。这个修订过程有超过150位专家的贡献和超过74个在线电话。并与2021年3月25日发布了CMM的最新版本。
自2015年成立以来,CMM已在85多个国家/地区部署了120多次,随后许多国家和地区基于CMM磋商发布了其报告。
CMM简介CMM旨在为国家网络安全提供指导和评估模型,偏重评估与落地性,为政府决策者提供建议和支持。能够帮助各国了解网络安全能力的所有领域中哪些有效,哪些无效以及为什么有效。这样一来政府和企业可以采用那些有潜力或有能力显著提升网络空间安全和保障水平的政策,并进行相关投资,同时尊重个人隐私和言论自由。
CMM并非静态,以持续完善的过程,确保CMM始终适用于所有国家背景,并反映全球网络安全能力的成熟状况。在证据和实践的推动下,这种演进将会持续成为一种深思熟虑后的工作。
发表于 2021-5-22 00:45:26