2.3　网络安全能力成熟度等级

参照软件开发能力成熟度模型、网络安全滑动标尺模型和近年来网络安全实战攻防演习的经验，网络安全能力成熟度模型也分为5个阶段，如图2-5所示。

图2-5　网络安全能力成熟度分级

1.初始阶段

在网络安全能力方面处于无序、无专业人员、专业设备欠缺的状态。

2.合规驱动阶段

已经具备了规范的网络安全能力成熟度建设，但是主要的安全建设聚焦于满足行业或者国家监管机构的合规要求，即按照监管机构的合规要求开展安全管理、安全技术和安全运维工作。

3.风险驱动阶段

已经从基础的合规驱动建设，发展到主动探索将面临的安全风险，并依据当前的安全风险进一步完善安全防护体系。风险驱动与合规驱动的主要区别有两点。

●合规驱动阶段更偏向静态安全防护，同时聚焦于被动防御体系的建设。

●风险驱动阶段是动态防护，同时探索主动防御体系的建设，安全专业的人员和团队在体系建设中发挥更多的作用。

4.数据驱动阶段

组织在网络安全方面开始注重精细化管理，通过制定安全运营过程的KPI，基于数据度量安全运营和防御体系的可靠性，围绕满足组织安全的数据度量的KPI来改进安全防护和运营体系。数据驱动与风险驱动最大的区别是更注重对网络安全相关工作的精细化管理和量化管理。

5.溯源反制阶段

网络安全的本质是网络对抗，具备自主优化安全防护能力，组织通过内外部的安全团队开展网络对抗演练，可以发现安全体系存在的深度安全风险，围绕对抗过程中发现的风险进行补充，改进安全防护体系。