其余三個能力指標安全組織體系水平、安全運作體系水平和安全技術(shù)保障措施建設(shè)水平成熟度計算方案以此類推。

(3)體系成效考量評價矩陣

針對IT安全保障體系建設(shè)成效，建立IT安全保障體系成熟度衡量標準和指標，具體如表1所示。

3　安全能力評估實踐

在以上安全能力成熟度模型基礎(chǔ)上，通過建立一套可操作的能力達標評價標準-安全基線(Security BaseLine)，考量IT安全保障體系建設(shè)成效，實現(xiàn)保障體系水平真正可量化評價。中國電信IT安全基線考評方法描述了CTG-MBOSS系統(tǒng)最基本的安全要求，通過安全基線考核指標，實現(xiàn)對企業(yè)各IT系統(tǒng)安全建設(shè)成效和管理水平的動態(tài)管理, 促進IT安全管理能力提升。

中國電信IT安全基線達標標準，從管理和技術(shù)兩個維度對如何考察安全建設(shè)能力給出了詳細的達標評比辦法，將安全能力分為C級、B級、A級。分為組織架構(gòu)管理、人員安全管理、運維安全管理、應(yīng)用安全、主機安全、網(wǎng)絡(luò)安全、審計安全管理七大項。一個完整的安全基線保障體系應(yīng)該是將安全管理和安全技術(shù)手段相結(jié)合，通過各種安全管理制度、安全組織機構(gòu)和安全運維制度等方面的建設(shè)，并在網(wǎng)絡(luò)層、主機層、應(yīng)用層采取各種安全技術(shù)手段建立多層保護的深度防御保障體系。從安全基線可操作性的角度出發(fā)，在安全管理層面應(yīng)將組織架構(gòu)管理要求、人員安全管理要求和運維安全管理要求等三部分作為IT系統(tǒng)安全的基線考評要求，在安全技術(shù)層面應(yīng)將應(yīng)用安全要求、主機安全要求、網(wǎng)絡(luò)安全要求和安全審計要求等4部分作為IT系統(tǒng)安全的基線考評要求，通過建立健全IT系統(tǒng)管理與技術(shù)防護體系，逐步提升IT系統(tǒng)整體安全防護能力。IT安全基線評分標準如圖2所示。

圖2　IT 安全基線指標分解示例圖

在實際操作中，IT安全基線達標測評采取打分的方式進行量化操作，對每一個檢測項打分，屬于判斷結(jié)果為“是”或“否”的檢測項，結(jié)果為“是”則評1分，為“否”則評0分。根據(jù)各項總分數(shù)對IT系統(tǒng)的安全評測結(jié)果分別進行等級化評定，IT安全基線能力基線視圖和判定方法如圖3所示。

圖3　IT安全基線達標考核示例圖

圖3中的連線為IT安全達標能力的基本水平線，也真正體現(xiàn)了能力“基線”的真正意義。

4　結(jié)束語

綜上所述，本文在IT安全保障體系模型框架基礎(chǔ)上，闡述了一個可持續(xù)改進的IT安全保障體系能力成熟度模型，從IT安全規(guī)劃建設(shè)、運作、技術(shù)保障、管理措施等幾個方面因素入手，找出一套合理的評價方法對安全保障體系建設(shè)成效進行公正有效的考量和評價，給出了一個具有普遍性的具體可操作的安全基線達標實踐方法，可指導企業(yè)開展IT安全建設(shè)能力評價工作。