前言

为什么写这本书

我担任网络安全咨询顾问多年，在为客户提供服务的过程中，经常遇到形形色色的问题，比如：我们企业的网络安全建设目前处于行业中什么水平？是否可以对我们企业的网络安全能力做一个可量化的评估？在软件能力成熟度模型（Capability Maturity Model，CMM）还没有引入国内的时候，很多从事软件开发的公司都面临同样的困惑。

从业多年，我发现很多企业虽然制定了中长期网络安全规划，但是执行落地的过程与规划相差甚远。这可能是两方面原因造成的：一方面是前期规划设计太“超前”，无法真正落地；另一方面是企业网络安全团队不能深入理解规划设计的内容，在产品采购、集成方面没有按照规划来实现。企业想要实现网络安全长期、有序地发展，除了可以借助外部咨询团队，更关键的是要将业务发展需求与网络安全战略相结合。

我认为企业可以借鉴软件开发过程中的CMM理论，首先通过对标一些标准化指标体系，了解自身的安全能力，然后依据不同层级的指标体系，对安全能力进行规划。也就是说，依据指标体系评估企业自身的网络安全能力并分析差距，再根据评估结果和参照指标持续地完善网络安全能力。

作为有20多年网络安全领域从业经验的人，我认为国内的网络安全市场需要有符合中国国情的网络安全能力成熟度模型，一方面可以解决企业在网络安全建设过程中遇到的问题，另一方面，通过倡导国内形成网络安全能力成熟度理念，引起国内网络安全从业者的讨论与共鸣，推动网络安全能力成熟度模型的发展。

本书特点

本书着重介绍网络安全防御体系的能力建设。我将结合多年网络安全从业经验，运用软件开发成熟度模型理论，对国内外主流的网络安全框架（例如ISO27000、NIST 800、等级保护、自适应安全架构、网络安全滑动标尺模型）进行分析，旨在为各类机构评估自身安全能力提供参考。

此外，本书对模型的解读不像同类书那么晦涩难懂，而是采用了成熟的CMM理论，为每个网络安全能力成熟度等级梳理出清晰的目录、域、关键目标和具体实践活动，帮助企业结合自己的情况，评估网络安全短板，依据实践指标加以完善，并合理开展后续的网络安全建设。

如何阅读本书

本书内容从逻辑上分为3个部分。

第一部分（第1章）主要介绍网络安全能力成熟度模型的理论，帮助读者建立一个初步的认识。如果读者对这些模型已有了解，可以直接阅读后面的内容。

第二部分（第2和3章）详细介绍网络安全能力成熟度模型的架构、演变过程、维度等内容。

第三部分（第4～7章）介绍一些企业案例，并对网络安全能力成熟度模型的每个层级的最佳实践加以说明。

读者对象

本书适合首席信息安全官、网络安全经理等从事网络安全规划及相关工作的人员阅读。

勘误和支持

由于水平有限，书中难免出现一些错误或者不准确的地方，恳请读者批评指正。我的联系方式是tylin@126.com。

致谢

出书是一个浩大的工程，在写作期间，我遇到了很多困难，历经数月才艰难完成。借此机会感谢所有对本书顺利出版提供帮助的朋友和家人，是他们一如既往的鼓励和支持，才让我有动力完成本书的编写。

特别感谢在工作当中给予我支持的同事，也感谢机械工业出版社华章公司的编辑，他们为本书的写作提供了宝贵的意见。

林宝晶

2021年6月