电力系统网络空间安全能力成熟度模型

在今年5月底，美国能源部发布了由卡梅主笔的电力系统网络空间安全能力成熟度模型V1.0，作为保障重要/关键基础实施的网络空间安全计划的一部分。

这算是第一个有关CyberSecurity的CMM。该模型将cybersecurity的能力从0到3划分了四级，分别是MIL0：不完备级；MIL1：初始级；MIL2：改进级；MIL3：可管理级。

模型将cybersecurity的成熟度能力评价分解为10个领域，每个领域都有若干个目标：

• 风险管理
• 资产、变更和配置管理
• 身份与访问管理
• 威胁与弱点管理
• 态势感知
• 信息共享与沟通
• 事件与事故响应，运维连续性
• 供应链与外部依赖管理
• 劳动力管理
• 网络空间安全计划管理

对于每个领域的每个目标，都从不同的级别定义了相应的指标。要达到某个级别的成熟度，就必须满足该级别成熟度要求的各项指标，以及之前所有级别的各项指标。

指标在定义的过程中参考的资料十分全面，涉及NIST、能源部、DHS、CERT等等各方面的标准、规范、要求、指引。

可以说，这份文档为我们对网络空间安全保障体系的建设提供了很多参考思路。

【参考】

美国能源部试点电力系统网络空间安全成熟度模型

智能电网时代的网络空间安全