11月7日,广东电网公司在北京发布了电力企业全国首个针对组织类评估的网络安全能力成熟度模型,弥补了电力企业针对组织类评估的网络安全能力成熟度模型空白。
网络安全能力成熟度模型是构建网络安全能力度量体系的核心要素。据了解,尽管国内工控领域已发布工业控制系统安全的成熟度模型,但评估对象为企业工业控制系统,无法评估电力企业整体网络安全能力,因此国内电力企业针对组织类评估的网络安全能力成熟度模型尚存空白。
广东电网公司企业架构与数字化部有关负责人介绍,此次发布的评估模型由安全能力、能力等级、评估方式三个维度组成。安全能力维度由4个一级域、20个二级域、56个三级域构成,能力等级维度由初始建设级、计划跟踪级、规范定义级、量化协同级、优化输出级5个等级构成,评估方式由组织内部自评估和外部检查评估2种评估方式构成。通过在电力企业内部开展评估,能够客观识别网络安全能力水平和精准定位网络安全薄弱项,通过开展差距分析、制定提升计划。
本次电力企业网络安全能力成熟度模型的发布,为电力企业网络安全能力可持续发展增加了理论基础。广东电网将以此发布会为契机,将电力企业网络安全能力成熟度模型分享给业界单位,形成与业界单位共同探讨、运用网络安全能力成熟度模型的局面,推动全行业网络安全建设,力争形成团体标准或行业标准。(刘博文 陈兆鹏)
评论