|
如何对一个国家开展网络安全评估 对一个国家开展CMM审查需要一组研究人员进行数据收集,这些研究人员在该国内开展利益攸关方咨询和桌面研究。输出一份基于证据的报告,其中: 衡量一个国家网络安全能力成熟度的基准;详细介绍一套有助于弥合网络安全能力成熟鸿沟的务实行动;根据该国的具体需要,确定投资和未来能力建设的优先事项。
根据英国外交、联邦和发展事务部委托进行的一项独立研究,对一国开展CMM审查将会带来众多益处,具体包括: 提升网络安全意识和能力建设,加强政府内部合作;与企业和广大社会建立沟通与合作;提升政府内网络安全议程的公信力;协助确定政府内部的角色和责任;为增加网络安全能力建设资金支持提供依据;国家战略和政策发展的基础。
一个国家能够证明其在网络安全能力方面取得的成绩是非常重要的,而CMM会确定什么可作为证据,以及它证明了什么。这种证据收集本身就是一个多方利益相关者的过程,涉及广泛的来源和组织。讨论对于解决分歧非常重要。进行远程在线,还是面对面的会议,这样的讨论是否有效,将取决于进行审查的国家。 CMM框架CMM认为网络安全包括五个维度,共同构成国家有效提供网络安全所需能力的广度: 1.发展网络安全政策与战略2.网络安全文化与社会3.构建网络安全知识与能力4.创建有效法律与监管框架5.通过标准和技术管控风险
维度1网络安全政策与战略探索国家制定和实施网络安全战略的能力,并通过提高应急响应、网络防御和关键基础设施保护能力来增强网络安全应变能力(网络安全弹性)。这一维度在维护对政府、国际企业和社会都至关重要的网络空间利益的同时,考虑了提供国家网络安全能力的有效战略和政策 维度2网络安全文化与社会审查了一个负责任的网络安全文化的关键要素,如社会中对网络相关风险的理解,对互联网服务、电子政务和电子商务服务的信任水平,以及用户对线上个人信息保护的理解。此外,这一维度探讨了作为用户举报网络犯罪渠道机制的存在(必要性)。并考察了媒体和社交网络在塑造网络安全价值观、态度和行为方面的作用。 维度3构建网络安全知识和能力针对不同利益攸关群体(包括政府、私营部门和全体民众)审查了项目的可用性、质量和实施情况,并与网络安全意识提高项目、正式的网络安全教育项目和专业培训项目相关联。 维度4法律与监管框架检查政府设计和制定那些与网络安全直接或间接相关的国家立法的能力,特别强调网络安全监管要求、网络犯罪相关立法以及其他相关立法的主题。通过执法、起诉、监管机构和法院能力来审查执行这些法律的能力。此外,这一维度还考察了联合打击网络犯罪的正式和非正式合作框架等问题。 维度5标准和技术强调了通过有效和广泛利用网络安全技术来保护个人、组织和国家基础设施的有效及广泛利用。该维度专门检查了为降低网络安全风险而实施的网络安全标准和优秀实践、流程和控制的部署,以及技术和产品的开发情况。 CMM的五个阶段CMM为每一个维度都定义了五个成熟阶段,并给出分别的对应事务: 启动阶段——能力初步发展形成阶段——建立中建立阶段——处于世界领先地位战略阶段——预测未来网络安全需求动态阶段——为未来网络安全需求做好准备
启动阶段 在这个阶段,网络安全要么还不成熟,要么还处于萌芽状态。双方可能会就网络安全能力建设进行初步讨论,但尚未采取具体行动。在这个阶段可能没有可观察到的证据。 形成阶段 一些方面的一些特性已经开始发展和制定,但可能是个别的、混乱的、定义不明的或只是新的。但是,这种活动证据可以被清楚地证明。 建立阶段 某方面的指标已经具备,并且有证据表明它们正在工作。不过,对资源的相对分配没有经过深思熟虑。在这方面各个要素的相对投资上,几乎没有作出权衡决策。但该方面是功能性的,并且已定义。 战略阶段 对于特定的组织或国家,已经做出了关于某些方面的哪些部分是重要的,哪些不太重要的选择。战略阶段反映了这样一个事实,即根据国家或组织的特定情况做出这些选择。 动态阶段 在这个阶段,有明确的机制可以根据当前情况变更国家战略,例如威胁环境的技术、全球冲突或关注的某个领域发生重大变化(如网络犯罪或隐私)。还有证据表明,美国在网络安全问题上发挥了全球领导作用。至少,关键部门已经制定了在其发展的任意阶段变更战略的方法。快速决策、重新分配资源、持续关注变化的环境是这一阶段的特点。 CMM允许对当前国家的网络安全能力进行基准测试。了解实现更高能力水平的要求将明确指明需要进一步投资的领域,以及如何证明这种能力水平。CMM还可以用于为投资和预期的效率提高构建业务用例。将CMM审查与国家风险评估、社会和经济战略相结合,可以进一步确定提高能力的优先次序。 CMM报告整体结构预览RAND Europe的《发展网络安全能力》报告是针对CMM的一个工具集,可以用于辅助实施和验证框架,两者配合使用。
| 
发表于 2021-5-22 00:46:12