其余三個能力指標安全組織體系水平、安全運作體系水平和安全技術保障措施建設水平成熟度計算方案以此類推。

(3)體系成效考量評價矩陣

針對IT安全保障體系建設成效，建立IT安全保障體系成熟度衡量標準和指標，具體如表1所示。

3　安全能力評估實踐

在以上安全能力成熟度模型基礎上，通過建立一套可操作的能力達標評價標準-安全基線(Security BaseLine)，考量IT安全保障體系建設成效，實現(xiàn)保障體系水平真正可量化評價。中國電信IT安全基線考評方法描述了CTG-MBOSS系統(tǒng)最基本的安全要求，通過安全基線考核指標，實現(xiàn)對企業(yè)各IT系統(tǒng)安全建設成效和管理水平的動態(tài)管理, 促進IT安全管理能力提升。

中國電信IT安全基線達標標準，從管理和技術兩個維度對如何考察安全建設能力給出了詳細的達標評比辦法，將安全能力分為C級、B級、A級。分為組織架構管理、人員安全管理、運維安全管理、應用安全、主機安全、網(wǎng)絡安全、審計安全管理七大項。一個完整的安全基線保障體系應該是將安全管理和安全技術手段相結合，通過各種安全管理制度、安全組織機構和安全運維制度等方面的建設，并在網(wǎng)絡層、主機層、應用層采取各種安全技術手段建立多層保護的深度防御保障體系。從安全基線可操作性的角度出發(fā)，在安全管理層面應將組織架構管理要求、人員安全管理要求和運維安全管理要求等三部分作為IT系統(tǒng)安全的基線考評要求，在安全技術層面應將應用安全要求、主機安全要求、網(wǎng)絡安全要求和安全審計要求等4部分作為IT系統(tǒng)安全的基線考評要求，通過建立健全IT系統(tǒng)管理與技術防護體系，逐步提升IT系統(tǒng)整體安全防護能力。IT安全基線評分標準如圖2所示。

圖2　IT 安全基線指標分解示例圖

在實際操作中，IT安全基線達標測評采取打分的方式進行量化操作，對每一個檢測項打分，屬于判斷結果為“是”或“否”的檢測項，結果為“是”則評1分，為“否”則評0分。根據(jù)各項總分數(shù)對IT系統(tǒng)的安全評測結果分別進行等級化評定，IT安全基線能力基線視圖和判定方法如圖3所示。

圖3　IT安全基線達標考核示例圖

圖3中的連線為IT安全達標能力的基本水平線，也真正體現(xiàn)了能力“基線”的真正意義。

4　結束語

綜上所述，本文在IT安全保障體系模型框架基礎上，闡述了一個可持續(xù)改進的IT安全保障體系能力成熟度模型，從IT安全規(guī)劃建設、運作、技術保障、管理措施等幾個方面因素入手，找出一套合理的評價方法對安全保障體系建設成效進行公正有效的考量和評價，給出了一個具有普遍性的具體可操作的安全基線達標實踐方法，可指導企業(yè)開展IT安全建設能力評價工作。