2.1　美国电力行业安全能力成熟度模型

2012年，美国发布了电力行业网络安全能力成熟度模型。该模型通过以下4个目标支撑发展中的电力企业的网络安全能力。

●增强电力部门的网络安全能力。

●有效、持续地评估并建立网络安全能力基准。

●提升网络安全能力，形成知识共享与最佳实践。

●优化、促进网络安全的行为和投资。

该模型适用于美国所有电力公司，与公司所有权结构、规模和业务无关。该模型的广泛使用可提升电力行业的网络安全能力基准。该模型结构层次划分清晰，分为3个层级：域、关键目标和实践。美国电力行业安全能力成熟度模型由10个域组成，如图2-1所示。

图2-1　美国电力行业安全能力成熟度模型

该模型的每个域都由具体目标的逻辑组成，每个目标的实践由不同能力级别的实践活动组成。在模型中，主要划分出10个域和4个等级的成熟度指标，图2-2表示了域与成熟度指标之间的矩阵结构。

图2-2　模型中域与成熟度指标之间的矩阵结构

在图2-2中，横坐标代表了10个细分的域，分别是风险管理域、资产变更与配置管理域（图中简称为资产）、身份识别与访问控制管理域（图中简称为访问控制）、威胁与脆弱性管理域（图中简称为威胁）、态势感知域、信息共享与沟通域（图中简称为共享）、事件响应与持续运营域（图中简称为响应）、供应链管理域、人员管理域和网络安全程序管理域（图中简称为安全程序）。纵坐标代表了4个成熟度级别和一个可扩展的成熟度级别。下面分别介绍10个域。