1、ICS 35.240.01CCS L78T/CSAC中 华 人 民 共 和 国团 体 标 准T/CSAC 0052023城市网络安全能力成熟度模型City cybersecurity capability maturity model2023 - 9 - 22 发布2023 - 9 - 22 实施中国网络空间安全协会发 布T/CSAC 0052023目次前言II1 范围12 规范性引用文件13 术语和定义14 城市网络安全能力成熟度模型24.1 成熟度模型架构24.2 能力成熟度等级划分24.3 安全能力域35 城市网络安全核心能力45.1 城市网络资产安全管理45.2 城市网络安全防护65.
2、3 城市数据安全治理95.4 城市网络安全运营135.5 城市网络安全应急处置185.6 网络犯罪防范与打击226 城市网络安全基础能力246.1 安全文化246.2 教育培训286.3 产业发展316.4 研究创新356.5 协同合作387 城市网络安全能力成熟度评价与应用417.1 评价方法417.2 应用方法42参考文献43II前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国网络空间安全协会提出。本文件由中国网络空间安全协会归口。本文件起草单位:北
3、京奇虎科技有限公司、三六零科技集团有限公司、贵州国卫信安科技有限公司、 天津智慧城市数字安全研究院有限公司、大数据协同安全技术国家工程研究中心、大数据安全工程研究中心(贵州)有限公司、苏州市公安局、贵州数安汇大数据产业发展有限公司、杭州安恒信息技术股份有限公司。本文件主要起草人:杜跃进、高昕、张屹、姚一楠、闫斐、张艺文、钱晓斌、张义荣、张建新、唐会芳、廖芳、庄唯、王喆、徐静、袁明坤、吕虓、白松林、唐玮涛、韩涛、田树智、陈敏杰、蒋继建、 陈远凯、彭锦。T/CSAC 0052023城市网络安全能力成熟度模型1 范围本文件给出了城市网络安全能力成熟度模型架构。针对以城市为主体的网络安全风险,提出了为
4、应 对相关风险在城市层面所需构建的网络安全能力,并详细定义了各维度能力域的成熟度等级要求。本文件适用于政府、第三方机构等对城市网络安全能力进行评价,也可以作为政府开展城市网络安 全能力建设的依据。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239-2019网络安全等级保护基本要求GB/T22240-2020信息安全技术 网络安全等级保护定级指南GB/T25069-2022信息安全技术 术语GB/T25070-2019信息安全
5、技术 网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术 网络安全等级保护测评要求GB/T36643-2018信息安全技术 网络安全威胁信息格式规范3 术语和定义GB/T 25069和GB/T 366432018界定的以及下列术语和定义适用于本文件。3.1能力成熟度 capability maturity被评价对象的有条理持续改进能力,以及实现特定过程的可持续性、有效性和可信度的水平。3.2威胁信息 threat information一种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应与预防。 来源:GB/T 366432018,3.33.3安全大数据
6、 security big data收集到的分析前的网络安全相关原始数据,具有体量巨大、来源多样、生成极快、且多变等特征。示例:日志、恶意样本、恶意代码、恶意域名等。3.4网络安全风险 cyber security risk特定威胁利用单个或一组资产脆弱性对网络实施攻击、侵入、干扰、破坏和非法使用以及意外事故,从而破坏网络数据的完整性、保密性、可用性的可能性。3.530基础实践 basic practice实现某一安全目标的城市网络安全建设与提升等相关活动。4 城市网络安全能力成熟度模型4.1 成熟度模型架构城市网络安全能力成熟度模型架构如图1所示。图1 城市网络安全能力成熟度模型架构图城市网
7、络安全能力成熟度模型的架构由以下三个维度组成。a) 安全能力要素建设城市网络安全的能力要素包括机构建设、制度流程、技术工具和人员能力四个方面。城市 应配套建立相应的网络安全机构,通过制订制度流程进行安全管理,同时培养高素质人员和推 进技术产品落地实施,满足相应安全能力域要求。鉴于城市网络安全的复杂性,具体基础实践 往往包括一到多个方面的安全能力要素,所以本文件对各项基础实践的描述将不标识所属安全 能力要素的类型。b) 能力成熟度等级城市网络安全能力成熟度等级由低到高分为五个等级。c) 安全能力域通过对各能力域的评价,可以衡量城市在不同维度网络安全能力的成熟度。这些安全能力域主 要划分为城市网络
8、安全核心能力和城市网络安全基础能力两个方面。其中,城市网络安全核心 能力方面的能力域将帮助城市直接应对网络安全风险,而城市网络安全基础能力方面的能力域 将支撑城市网络安全核心能力方面的能力域持续发展与提升。4.2 能力成熟度等级划分城市网络安全能力成熟度等级定义了一个城市在某一方面的实践程度,体现对应网络安全能力的总 体状态,分为五个等级:初始级、形成级、建立级、优化级、以及适应级,见表1。表1 城市网络安全能力成熟度等级共性特征城市网络安全能力成熟度等级共性特征等级1: 初始城市对网络安全能力的建设没有明确的整体计划与方法指导。 城市可能制定了一些通用/临时的目标。城市可能开展了技术、政策和
9、治理方面的临时性活动来提升网络安全能力。等级2:城市初步确定网络安全能力建设的整体计划与方法指导。 城市制定了一些初步的目标。为取得预期成果,行动计划或活动已经到位,但仍处于落地实施起步阶段。与行动计划或活动紧密相关的各机构和人员已被确定或参与。形成等级3:建立能力建设相关行动计划已经得到了明确定义,并获得相关机构和人员的支持。城市制定了明确的目标,行动方法和活动在城市层面统一执行。等级4:设置定性、定量的衡量指标,执行定期评价机制,确保其优先性、不断优化和可持续性。定期评价网络安全能力建设的效果。识别活动执行中的成功因素、面临的挑战和当前差距。优化等级5:适应网络安全能力建设是动态和自适应的
10、。持续关注环境、威胁形势和城市建设的发展,培养相关决策能力和行动力。成熟度等级定义了一个城市在每一个安全能力域的基础实践状况,体现对应网络安全能力的建设阶 段。城市网络安全能力成熟度评价将根据这些阶段对城市进行基准评价,了解城市当前的网络安全能力 状态。其中,针对每个等级下城市应具备的安全目标要求,提出具体的基础实践。4.3 安全能力域为了全面描述城市网络安全能力,需要对能力域进一步细化,划分为不同的能力子域。而能力子域 是实现同一安全目标的相关城市网络安全基础实践的集合。城市网络安全能力成熟度模型的能力域分为 城市网络安全核心能力和城市网络安全基础能力两个方面,共包含46个能力子域,见图2。
11、图2 城市网络安全能力成熟度模型的能力域和能力子域城市网络安全核心能力包括以下6个安全能力域:a) 城市网络资产安全管理的能力子域包括:测绘与资产管理和供应链安全治理;b) 城市网络安全防护的能力子域包括:网络安全等级保护、关键信息基础设施识别认定、关键信 息基础设施安全保护;c) 城市数据安全治理的能力子域包括:数据分类分级、静态数据安全、数据流通安全、数据应用 安全;d) 城市网络安全运营的能力子域包括:城市网络安全综合研判、威胁信息预警、威胁信息共享、 漏洞披露、安全大数据共享、城市网络安全基础设施建设;e) 城市网络安全应急处置的能力子域包括:应急预案、演习演练、事件监测、事件评估、应
12、急响 应与恢复;f) 网络犯罪防范与打击的能力子域包括:网络犯罪防范和网络犯罪打击。 城市网络安全基础能力包括以下5个安全能力域:a) 安全文化的能力子域包括:网络安全意识和素养、政府网络安全宣传、媒体网络安全宣传、网 络危害行为社会监督、网络安全事件报送;b) 教育培训的能力子域包括:网络安全基础教育、网络安全高等教育、网络安全专业培训、网络 安全职业发展;c) 产业发展的能力子域包括:网络安全产业规划、网络安全产业激励、政府驱动、企业驱动、技 术市场环境、网络安全服务;d) 研究创新的能力子域包括:政府网络安全研发投入、网络安全企业的研发投入、鼓励网络安全 前沿研究与应用、技术创新服务体系
13、、科研成果转化;e) 协同合作的能力子域包括:政企合作机制、社会力量整合、城市间合作、跨城市活动。5 城市网络安全核心能力考察城市维护网络空间安全的核心安全能力,主要涉及城市网络安全防护、城市网络安全应急处置、 城市网络资产安全管理、网络犯罪防范与打击、城市网络安全运营和城市数据安全治理等方面。城市可根据自身特点对各安全能力域和能力子域进行裁剪。5.1 城市网络资产安全管理5.1.1 测绘与资产管理5.1.1.1 能力子域描述当地政府建立网络资产测绘与管理机制,掌握城市网络空间资产清单,确定当地网络安全防护范围。5.1.1.2 等级描述5.1.1.2.1 等级 1:初始该等级的城市网络安全能力
14、描述如下:没有总体性网络资产管理机制,当地企业仅通过经验开展临时性的网络资产探测扫描活动。5.1.1.2.2 等级 2:形成该等级的城市网络安全能力描述如下:当地政府正在建立网络资产管理计划,并启动相关技术能力建设。5.1.1.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 已形成网络资产测绘管理机制。明确了工作角色、职能,及开展网络资产测绘的资源保障等要 求;b) 通过探测、采集、分析和处理,具备发现识别当地网络空间设施、服务、信息系统和关键数据 等资源的能力,并可基于地理信息和逻辑关系进行图形绘制,直观展现当地网络空间资产、属 性、状态和安全态势,可服务于城市网络安全风险识别
15、等工作;c) 构建了网络空间资产清单,并基于 IT 和 OT 资产活动及时更新。5.1.1.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据相关数据,定期评估网络资产测绘效果,形成改进计划,例如提升数据更新速度和准确度, 支持对新设备、新场景的测绘等;b) 定期改进政策、计划和措施、调整人才配置;c) 定期升级相关技术和平台。5.1.1.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 当地网络资产测绘已接入国家整体网络测绘体系,能够实时追踪与城市外部网络的交互态势;b) 当地网络资产测绘已与城市整体网络安全保护工作形成紧密对接,能够及时发现风险,支撑事 件预警,
16、应急响应等工作。5.1.2 供应链安全治理5.1.2.1 能力子域描述当地政府指导与监督当地重要系统或关键信息基础设施的ICT(信息和通信技术)供应链安全治理工作,通过专业工作小组定期检查ICT供应链安全风险管理过程与控制措施情况。5.1.2.2 等级描述5.1.2.2.1 等级 1:初始该等级的城市网络安全能力描述如下:当地政府没有落实ICT供应链安全治理的措施,仅仅开展临时性或个人推动的局部实践。5.1.2.2.2 等级 2:形成该等级的城市网络安全能力描述如下:在重点城市项目中开展了 ICT 供应链安全治理。5.1.2.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 制定了
17、 ICT 供应链安全治理策略,确定了供应链安全管理的总体目标、范围、原则等,包括风险管理策略、供应商选择和管理策略、安全维护策略、以及支持国产密码使用和信创部署等内 容,系统性规范了城市 ICT 供应链安全审查工作;b) 建立了专门负责 ICT 供应链安全治理的部门,配备的相应的审查工具和平台;c) 具备 ICT 供应商选择和管理策略,能根据产品和服务的重要程度对供应商开展安全调查;具备合格 ICT 供应商名录,审核后发布。5.1.2.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 对当地关键 ICT 供应链安全治理情况进行定期的监督检查,对合格供应商名录中的供应商进行重点检查,
18、发现问题后及时更新合格供应商名录;b) 根据国家有关规定,及时审查城市 ICT 供应链安全治理工作,定期更新 ICT 供应链安全治理策略和制度。5.1.2.2.5 等级 5:适应该等级的城市网络安全能力描述如下:形成可全国推广的 ICT 供应链安全治理模式。5.2 城市网络安全防护5.2.1 网络安全等级保护5.2.1.1 能力子域描述当地政府根据国家网络安全等级保护制度相关要求,遵循GB/T 22239要求,组建专家团队,主导定级备案工作,并对当地等保制度落实工作进行监管和整改。5.2.1.2 等级描述5.2.1.2.1 等级 1:初始该等级的城市网络安全能力描述如下:a) 当地政府未意识到
19、等保的重要性,未落实相关要求,仅仅开展临时性或个人推动的局部实践;b) 当地政府未按照国家有关要求开展网络安全监督检查,也未按要求对等保系统运营者和测评机 构进行监督管理,仅仅开展临时性或个人推动的局部实践。5.2.1.2.2 等级 2:形成该等级的城市网络安全能力描述如下:a) 建立了管理、监督、指导等保制度落实的专门机构,明确了职责;b) 在部分管理规定中,明确了城市职责范围内的主体责任,要求责任主体落实网络安全等级保护 制度,并制定相应的管理制度和操作规程;c) 在城市信息化工作重点建设项目中(例如城市数据安全项目、政务信息化项目等),将等保备 案作为项目开展的必要条件,监督当地责任主体
20、对等保管理制度和操作规程的落实情况,并针 对发现的问题提出相应整改要求。5.2.1.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 在建立专门机构的基础上,当地政府和涉及重要信息系统的组织机构等责任主体建立了专门部 门负责等保制度落实工作;b) 建立了城市第三方等保测评队伍,具有一定比例的城市等保测评持证人数;c) 主体机制:建立了当地专门的等保制度落实机制。该机制明确了:1) 城市等保工作的地位和作用;2) 组织体系、职责分工、协同关系;3) 概要的资源分配方式;4) 概要的管理流程和协同流程;5) 概要的奖惩措施。d) 保障机制:建立了体系化的等保工作保障机制。该机制明确了:
21、1) 评估考核机制,制定了当地等保制度落实监督检查办法;2) 财政投入机制;3) 法规保障机制,制定了当地等保落实管理制度,并对当地相关责任主体进行指导;4) 技术标准和规程,形成了当地推荐的等保技术标准落实操作规程;在落实等保要求的基础 上,针对系统建设的等级要求、系统建设的安全防护条件等给出城市层面的统一要求;5) 人才支撑机制,形成了专家的管理和推荐机制;6) 合作交流机制。e) 监督管理机制:建立了体系化的等保工作监督管理机制,每年对等保制度的落实情况和等保测 评机构进行监督检查。该机制明确了:1) 当地政府能够指导职责范围内的各区、县对等保制度落实情况进行检查,并对自查过程进 行监管
22、,并确保过程一致和结果有效;2) 当地等保监督检查的操作规程;3) 执行等保制度落实监督检查的专家团队;4) 在监督检查过程中,遵循GB/T 22239-2019、GB/T 25070-2019、GB/T 28448-2019以及GB/T22240-2020等相关标准。f) 建立了城市等保专家库,形成了当地等保专家推荐名单。5.2.1.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 根据当地实践情况,定期评估涉及重要信息系统的组织机构的绩效,并做出适应性调整;b) 根据当地实践情况,定期检查主体机制的适用性,并做出优化调整;c) 根据当地实践情况,定期检查保障机制的适用性,并做出
23、优化调整;d) 监督管理机制:当地政府定期对职责范围内等保制度监督工作进行考核(例如检查各区、县的 等保制度落实自查结果),考核结果作为下一步工作计划的输入;对当地等保测评业务、测评 机构、监督检查等数据进行分析,定期评估等保制度监管工作的效果,并开展相关改进;e) 根据当地实践情况,定期评估人才队伍,并做出适应性调整。例如:对城市内等保专家进行评审,定期更新专家库和专家推荐目录;定期对城市内测评机构进行评价,并督促其不断完善。5.2.1.2.5 等级 5:适应该等级的城市网络安全能力描述如下:在城市的中长期建设中,能够根据外部环境变化(例如国家的最新政策、要求、技术发展等),对 城市等保工作
24、中采用的方法、技术、工具、人员能力进行持续优化。5.2.2 关键信息基础设施识别认定5.2.2.1 能力子域描述当地政府监督关键信息基础设施的认定识别,制定关键信息基础设施认定规则,由当地网信部门与 公安机关指导监督,相关工作部门结合各行业及领域实际情况向当地政府报送认定识别情况。5.2.2.2 等级描述5.2.2.2.1 等级 1:初始该等级的城市网络安全能力描述如下:当地政府未进行关键信息基础设施安全保护范围识别,仅仅开展临时性或个人推动的局部实践。5.2.2.2.2 等级 2:形成该等级的城市网络安全能力描述如下:当地政府根据国家有关要求,对城市关键信息基础设施安全保护范围进行了初步的识
25、别与认定。5.2.2.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 当地政府根据国家有关要求,制定了识别城市关键信息基础设施安全保护范围的操作规程和指 导意见,以指导关键信息基础设施安全保护范围的具体识别工作;b) 认定了完整的城市关键信息基础设施安全保护范围,并进行优先级排序;c) 积极梳理特色案例,总结形成当地关键信息基础设施安全保护最佳实践;d) 建立了专门负责关键信息基础设施安全保护工作的组织机构和专家队伍,负责关键信息基础设 施安全保护范围的识别和维护;e) 建立了自动化的技术手段,辅助关键信息基础设施安全保护范围的识别、维护,资产管理等。5.2.2.2.4 等级 4
26、:优化该等级的城市网络安全能力描述如下:a) 根据城市内部环境变化,及时更新关键信息基础设施安全保护范围和优先级;b) 当发生重大变更时,及时调整关键信息基础设施安全保护范围和优先级,必要时重新识别关键 信息基础设施安全保护范围。5.2.2.2.5 等级 5:适应该等级的城市网络安全能力描述如下:根据国家关键信息基础设施安全保护需要,及时更新当地关键信息基础设施安全保护范围。5.2.3 关键信息基础设施安全保护5.2.3.1 能力子域描述当地政府指导监督运营者在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对 网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定
27、运行,维护数据的完整 性、保密性和可用性,并采取必要措施,优先保障能源、电信等关键信息基础设施安全运行。5.2.3.2 等级描述5.2.3.2.1 等级 1:初始该等级的城市网络安全能力描述如下:当地政府未意识到关键信息基础设施安全保护的重要性,未开展任何防护工作,仅仅开展临时性或 个人推动的局部实践。5.2.3.2.2 等级 2:形成该等级的城市网络安全能力描述如下:a) 建立了管理、监督、指导关键信息基础设施安全保护制度落实的专门机构,明确了职责;b) 在部分管理规定中,明确了责任主体,要求责任主体落实关键信息基础设施安全保护条例 及有关要求,并制定相应的管理制度和操作规程。5.2.3.2
28、.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 在专门机构的基础上,当地各责任主体建立有专门部门负责关键信息基础设施安全保护制度落 实;b) 建立了关键信息基础设施安全保护专家队伍,协助当地政府专门机构推进关键信息基础设施安 全保护工作;c) 主体机制:建立了当地关键信息基础设施安全保护制度落实机制,明确了:1) 关键信息基础设施安全保护工作的地位和作用;2) 组织体系、职责分工、协同关系;3) 概要的资源分配方式;4) 概要的管理流程和协同流程;5) 概要的奖惩措施。d) 保障机制:当地政府制定了相关产业、财税、金融、人才等政策,以支持关键信息基础设施安全保护相关的技术、产品、服
29、务创新,推广安全的网络产品和服务,培养和选拔网络安全人才, 提高关键信息基础设施安全保护整体水平,包括:1) 评估考核机制;2) 财政投入机制;3) 法规保障机制;4) 技术标准和规程;5) 人才支撑机制;6) 合作交流机制。5.2.3.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 主体机制优化:根据当地实践情况,定期检查主体机制的适用性,并做出优化调整。例如定期 对当地关键信息基础设施安全保护工作进行总结,优化现有制度;b) 保障机制优化:根据当地实践情况,定期检查保障机制的适用性,并做出优化调整;c) 根据当地实践情况,定期评估人才队伍的绩效,并做出适应性调整。例如对当地关
30、键信息基础 设施安全保护专家进行评审,定期更新专家库和专家推荐目录;定期对当地关键信息基础设施 安全保护专业机构进行评价,并督促其不断完善。5.2.3.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 对城市外部环境的影响:当地关键信息基础设施安全保护工作实践对国家关键信息基础设施安 全保护制度落实和发展具有积极影响;b) 对城市内部环境的影响:当地关键信息基础设施安全保护制度落实工作保持与当地其他建设工 作协调统一。5.3 城市数据安全治理5.3.1 数据分类分级5.3.1.1 能力子域描述当地政府建立数据分类分级管理制度,制定相关方案与措施,推进数据排查和安全治理。5.3.1.
31、2 等级描述5.3.1.2.1 等级 1:初始该等级的城市网络安全能力描述如下:数据分类分级管理的意识和能力薄弱,没有总体性的数据分类分级管理政策和计划,仅有临时性的 管理活动。5.3.1.2.2 等级 2:形成该等级的城市网络安全能力描述如下:依据国家相关法律法规,研究当地相关行业机构运营现状,正在制定数据分类分级管理计划。5.3.1.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 当地政府根据国家和省数据分类分级相关规定,已制定当地数据分类分级管理制度和标准,明 确分类分级的原则和规则,特别是一般数据、重要数据、核心数据的识别及分级保护规则;b) 行业主管部门根据国家、省、市
32、数据分类分级有关规定,制定本行业、本领域数据的分类分级 管理制度和标准。5.3.1.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 根据国家法规政策调整,当地政府具有不断优化数据分类分级制度流程的机制。定期改进政策、 计划和措施、调整人才配置、升级技术和平台;b) 行业主管部门依据当地行业运营现状,定期评估数据分类分级合理性,形成改进计划。5.3.1.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 建立了联动机制,当地数据分类分级工作与国家级及省部级相关单位、高校、科研机构、安全 公司已形成紧密对接,能够支撑国家层面的数据分类分级管理;b) 能够针对最新的数据安全环
33、境,及时调整组织、资源配置、行动计划等。5.3.2 静态数据安全5.3.2.1 能力子域描述当地政府建立不同数据的安全保护机制,制定与执行数据保护和应急响应的方案与措施。5.3.2.2 等级描述5.3.2.2.1 等级 1:初始该等级的城市网络安全能力描述如下:数据安全保护的意识和能力薄弱,没有总体性的数据安全保护管理政策和计划,仅有临时性的管理 活动。5.3.2.2.2 等级 2:形成该等级的城市网络安全能力描述如下:依据国家相关法律法规,研究当地数据安全保护的涉及机构和现状,建立了重要数据保护目录,正 在制定数据安全保护计划。5.3.2.2.3 等级 3:建立该等级的城市网络安全能力描述如
34、下:a) 已建立数据安全保护机制。当地政府针对数据安全保护成立了领导工作组,出台了政策、计划和措施,制定了实施方案,配备了相关资源,部署了相关技术和平台、组织人员培训和演练, 能够有效地组织和管理数据安全保护工作;b) 按照当地数据分类分级管理形成对应的数据保护方案,建立相应的访问控制、数据加解密、数 据脱敏等安全措施;c) 持续开展数据安全风险监测,协调处置数据安全事件;d) 建立了成熟稳定的数据存储安全管理和备份恢复机制,例如同地冷备、同地热切、同城灾备、 同城异地三中心等,以及以上这些备份方式的具体运营能力。5.3.2.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据相
35、关数据,定期评估数据安全保护管理运行情况,形成改进计划;b) 定期改进政策、计划和措施、调整人才配置、升级技术和平台。5.3.2.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 建立了联动机制,当地数据安全保护管理工作与国家级及省部级相关单位、高校、科研机构、 安全公司已形成紧密对接,能够支撑国家层面的数据安全整体防护和监管;b) 能够针对最新的数据安全环境,及时调整组织、资源配置、行动计划等。5.3.3 数据流通安全5.3.3.1 能力子域描述当地政府建立数据流通安全机制,制定与执行数据安全流通的管理制度与措施,并通过技术平台提 供保障。5.3.3.2 等级描述5.3.3.2.
36、1 等级 1:初始该等级的城市网络安全能力描述如下:数据共享的意识和能力薄弱,没有总体性的数据流通安全管理政策和计划,仅有临时性的管理活动。5.3.3.2.2 等级 2:形成该等级的城市网络安全能力描述如下:依据国家法律法规,研究当地数据流通的涉及机构和现状,建立了可流通数据目录,正在制定数据 流通安全管理计划。5.3.3.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 已建设数据安全流通平台。当地政府针对数据安全流通成立了领导工作组,出台了政策、计划和措施,制定了实施方案,配备了相关资源,部署了相关技术和平台、组织人员培训和演练, 能够有效地组织和管理数据安全流通工作;b) 明
37、确提出对不同类型、级别的数据流通安全要求,包含对数据加密算法、数据编解码、数据脱敏、数字签名、以及密钥管理等要求;c) 基于可流通数据目录,建设了数据流通交易平台,实现数据标识、确权、流通、溯源、安全等 功能。5.3.3.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据相关数据,定期评估数据流通运行情况,形成改进计划;b) 定期改进政策、计划和措施、调整人才配置、升级技术和平台。5.3.3.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 建立了联动机制,当地数据安全流通工作与国家级及省部级相关单位、高校、科研机构、安全 公司、数据公司已形成紧密对接,能够支撑全国
38、、省域范围的数据安全流通;b) 能够针对最新的数据流通环境,及时调整组织、资源配置、行动计划等。5.3.4 数据应用安全5.3.4.1 能力子域描述当地政府建立数据安全应用机制,建设大数据安全计算平台,组织与开展数据安全审计。5.3.4.2 等级描述5.3.4.2.1 等级 1:初始该等级的城市网络安全能力描述如下:数据安全应用的意识和能力薄弱,没有总体性的数据安全应用管理政策和计划,仅有临时性的管理 活动。5.3.4.2.2 等级 2:形成该等级的城市网络安全能力描述如下:依据国家法律法规,研究城市数据应用的涉及机构和现状,建立了相关数据应用场景目录,正在制 定数据安全应用计划。5.3.4.
39、2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 已建立数据安全应用管理机制。当地政府针对数据安全应用成立了领导工作组,出台了政策、 计划和措施,制定了实施方案,配备了相关资源,部署了相关技术和平台、组织人员培训和演练,能够有效地组织和管理数据安全应用工作;b) 梳理城市数据应用场景,建设大数据安全应用平台,通过隐私计算等技术保障数据应用过程的 安全性和隐私性;c) 定期组织开展对当地重要数据处理活动的数据安全审计。5.3.4.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据相关数据,定期评估数据安全应用管理运行情况,形成改进计划;b) 定期改进政策、计划和措施、
40、调整人才配置、升级技术和平台。5.3.4.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 建立了联动机制,当地数据安全应用工作纵向与国家级及省部级相关单位、高校、科研机构、 安全公司已形成紧密对接,能够支撑全国、省域范围的数据安全应用;b) 能够针对最新的数据安全环境,及时调整组织、资源配置、行动计划等。5.4 城市网络安全运营5.4.1 城市网络安全综合研判5.4.1.1 能力子域描述当地政府建立并运行城市网络安全运营中心,持续地、动态地、整体地洞悉城市网络安全风险,对当地网络空间的安全状况实现全局感知,进而提升对网络安全威胁的发现识别、关联分析以及响应处置。5.4.1.2 等
41、级描述5.4.1.2.1 等级 1:初始该等级的城市网络安全能力描述如下:没有基于城市网络安全运营中心的总体性管理政策和计划,仅有临时性的管理活动。5.4.1.2.2 等级 2:形成该等级的城市网络安全能力描述如下:研究当地城市网络安全运营中心的涉及机构和现状,正在制定城市安全运营中心计划。5.4.1.2.3 等级 3:建立该等级的城市网络安全能力描述如下:已建立城市网络安全运营中心并持续运行,能够对当地网络空间安全实现全局感知,能够从全局视 角协调技术、专家等手段进行联合防护,能够实现对城市安全运营中心的持续升级。5.4.1.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据
42、相关数据,定期评估城市网络安全运营中心运行情况,形成改进计划;b) 定期改进政策、计划和措施、调整人才配置、升级技术和平台。5.4.1.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 建立了联动机制,城市网络安全运营中心与国家级及省部级相关单位、高校、科研机构、安全 公司已形成紧密对接,能够支撑国家层面的城市网络安全协同联防、全局感知和持续赋能;b) 能够针对最新的城市安全环境,及时调整组织、资源配备、行动计划等。5.4.2 威胁信息预警5.4.2.1 能力子域描述当地政府建立网络安全威胁预警机制,构建与维护威胁信息库,及时公布威胁信息。5.4.2.2 等级描述5.4.2.2.1
43、 等级 1:初始该等级的城市网络安全能力描述如下:网络安全威胁预警管理的意识和能力薄弱,没有总体性的网络安全威胁预警管理政策和计划,仅有 临时性的管理活动。5.4.2.2.2 等级 2:形成该等级的城市网络安全能力描述如下:研究当地网络安全威胁预警管理的涉及机构和现状,正在制定网络安全威胁预警管理计划。5.4.2.2.3 等级 3:建立该等级的城市网络安全能力描述如下:a) 已建立威胁预警机制。当地政府针对网络安全威胁预警管理成立了领导工作组,出台了政策、 计划和措施,制定了实施方案,配备了相关资源,部署了相关技术和平台、组织人员培训和演练等;b) 建立当地威胁信息库,及时审核和发布威胁预警信
44、息;c) 动态跟踪国内外权威威胁信息平台,在时效范围内完成威胁信息库的更新。5.4.2.2.4 等级 4:优化该等级的城市网络安全能力描述如下:a) 依据相关数据,定期评估网络安全威胁预警管理运行情况,形成改进计划;b) 建立当地威胁信息的存储、管理标准;c) 优化发布流程,形成威胁信息统一研判与公布机制;d) 定期改进政策、计划和措施、调整人才配置、升级技术和平台。5.4.2.2.5 等级 5:适应该等级的城市网络安全能力描述如下:a) 建立了联动机制,当地网络安全威胁预警管理工作与国家级及省部级相关单位,高校、科研机 构、安全公司已形成紧密对接,能够实现网络安全威胁的率先发现和及时发布;b) 能够针对最新的网络安全环境,及时调整组织、资源配备、行动计划等。5.4.3 威胁信息共享5.4.3.1 能力子域描述当地政府建立城市内部的网络安全威胁信息共享机制,建立外部威胁情报信息来源渠道,规定威胁 信息格式和接口标准,规范威胁信息的生成、共享和使用,及时发布最新的威胁信息。5.4.3.2 等级描述5.4.3.2.1 等级 1:初始该等级的城市网络安全能力描述如下:网络安全威胁信息共享管理的意识和能力薄弱,没有总体性的网络安全威胁信息共享管理政策和计 划,仅有临时性的管理
浙ICP备2021020529号-1 | 浙B2-20240490 
