网络安全发展方向网络安全模型有哪些( 三 ) _云知道

第二步，定向。美国能源行业 C2M2 实施步骤二到框架的映射如表2所示：

如表2所示，以步骤一的框架使用范围和功能清单作为步骤二的输入，做出范围界定决定后，确定范围所涵盖的信息、技术、人员和设施，适用的法规要求以及所使用的网络安全和风险管理标准、工具、方法和技术指南。
第三步，创建当前轮廓。美国能源行业C2M2实施步骤三到框架的映射如表3所示：

如表3所示，以步骤二的输出作为步骤三的输入。通常会通过一个研讨会进行此步，该研讨会包括代表所有范围内资产和职能的关键人员。C2M2自我评估研讨会会生成一份评分报告，该报告可以用作最新资料。
第四步，进行风险评估。美国能源行业C2M2实施步骤四到框架的映射如表4所示：

如表4所示，将前三个步骤的部分关键信息作为步骤四的输入。C2M2建议组织将此模型用作包括风险评估的连续企业风险管理流程的一部分。C2M2 和框架都将风险评估视为重要实践。
第五步：创建目标轮廓。美国能源行业C2M2实施步骤五到框架的映射如表5所示：

如表5所示，将前四个步骤的部分关键信息作为步骤五的输入。C2M2评估评分报告可以通过提示成熟度指示等级MIL为实现目标轮廓提供帮助。可以将风险评估与C2M2评估报告一起使用，以识别目标所要求的实践和等级。通过这两种评估方法，组织可以使用C2M2实践到框架核心子类别的映射及C2M2实践到层级特征的映射来比较目标轮廓与框架，还可以对目标轮廓进行适当调整。
第六步：分析差距并确定优先级。美国能源行业C2M2实施步骤六到框架的映射如表6所示：

如表6所示，将前五个步骤的关键信息作为步骤六的输入。C2M2自我评估评分报告使组织能够识别当前轮廓和目标轮廓之间的差距。对差距进行排序时，应考虑差距如何影响组织目标以及目标的重要性、实施成本以及实施所需的资源。
第七步，实施行动计划。美国能源行业C2M2实施步骤七到框架的映射如表7所示：

如表7所示，将步骤六的优选实施计划作为步骤七的输入，经过活动环节，输出相应的目标信息。
由以上七个步骤映射关系可知，各个步骤之间的输入输出存在依赖关系，并且各个步骤环环相扣，逐步帮助组织建立可控的网络安全风险管理流程规范。各行业可根据领域需求特点，实施C2M2到框架的映射，并定期重复执行上述步骤，从而逐步实现网络安全当前轮廓与目标轮廓的逐步统一。
C2M2与网络安全框架的结合及其映射关系，可以为能源行业所有者和运营商带来以下收益：
（1）共同目标。框架和C2M2的目的是帮助关键基础架构组织评估并潜在地改善其网络安全状况。
（2）有助于网络安全框架的实施。C2M2作为框架的描述性指南，在抽象层次上提供了描述性指南。
（3）全面涵盖框架实践。将C2M2实践映射到子类别和层级包含的映射表明 C2M2 充分解决了框架的所有目标。
（4）渐进的成熟度级别。C2M2使用成熟度指标级别，并通过到框架层级的映射，可以帮助组织跟踪网络安全实践能力成熟度等级。