第2章　网络安全能力成熟度模型

在网络安全行业，很早就有人提出过网络安全能力成熟度模型，如英国牛津大学的全球网络空间安全能力中心（GCSCC）在2014年发布了国家网络安全能力成熟度模型，美国在2012年也发布了电力行业的安全能力成熟度模型。但是我国一直没有系统化的文献来阐述网络安全能力成熟度模型。

所有的网络安全能力成熟度模型都会借鉴软件能力成熟度模型（CMM），我也借鉴了软件能力成熟度模型，参考上述网络安全能力成熟度模型理论，结合我国网络安全实践，设计了一个初步的网络安全能力成熟度模型。在一些细节内容上参考网络安全管理体系（ISO27001）、网络安全等级保护、NIST 800、IATF模型、自适应安全架构、网络安全滑动标尺模型等技术文献，对模型进行了细化和完善。最终目的是细化出多个网络安全能力成熟度指标体系，便于后续量化和度量。