科学技术与应用

安全能力大集中模式下的运行保障能力成熟度评估方法研究

陈 丛笑

航天通信中心

程 从凤

航天通信中心

张 春明

航天通信中心

DOI: https://doi.org/10.59429/kxjsyy.v2i4.11433

Keywords: 网络安全；成熟度模型；运营体系；量化评估

---

Abstract

在全球数字化转型加速与地缘政治冲突加剧的双重背景下，大型企业网络安全防御体系面临严峻挑战。为提升安全防御效能，大型企业普遍通过整合分散的安全资源构建集中化安全管理模式，然而该模式在提升响应效率的同时，也因管理复杂度陡增而面临运行保障能力难以量化评估的瓶颈。本研究基于 CMMC、C2M2 等国际安全能力成熟度模型，结合 ITSS 信息技术服务等标准，创新性构建三维评估框架：以运行保障能力成熟度级别为纵轴，以安全保障框架要素为横轴，通过将安全能力大集中模式下的运行保障能力拆解为多工作域，建立统一的成熟度评估模型。该模型为支撑大型企业安全运行保障能力的动态评估与持续优化，提供可量化、可落地的实施路径。

---

References

[1] Rea-Guamán A M, Sanchez-Garcia I D, San Feliu T, et al. Maturity models in cybersecurity: A systematic review[C]//12th Iberian conference on information systems and technologies (CISTI). IEEE,2017.

[2] ISO/IEC 21827:2008 Information technology — Security techniques — SSE-CMM[Z].

[3] A I Hohan, M Olaru, I C Pirnea. Assessment and Continuous Improvement of Information Security Based on TQM and Business Excellence Principles[J]. Procedia Economics and Finance,2015,32(15):352-359.

[4] Y Goksen, E Cevik, H Avunduk. A Case Analysis on the Focus on the Maturity Models and Information Technologies[J]. Procedia Economics and Finance,2015,19(15):208-216.

[5] R M Adler. A dynamic capability maturity model for improving cyber security[J]. IEEE International Conference on Technologies for Homeland Security (HST),2013:230-235.

[6] J Payette, E Anegbe E. Caceres and S. Muegge, Cybersecurity Extensions to Project Management Maturity Models for Critical Infrastructure Projects,2015:26-34.