T/CSAC 005-2023 城市网络安全能力成熟度模型

ICS35.240.01

CCSL78

T/CSAC

中华人民共和国团体标准

T/CSAC005—2023

城市网络安全能力成熟度模型

Citycybersecuritycapabilitymaturitymodel

2023-9-22发布2023-9-22实施

中国网络空间安全协会  发布

T/CSAC005—2023

目次

前言............................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4城市网络安全能力成熟度模型...........................................................2

4.1成熟度模型架构...................................................................2

4.2能力成熟度等级划分...............................................................2

4.3安全能力域.......................................................................3

5城市网络安全核心能力.................................................................4

5.1城市网络资产安全管理.............................................................4

5.2城市网络安全防护.................................................................6

5.3城市数据安全治理.................................................................9

5.4城市网络安全运营................................................................13

5.5城市网络安全应急处置............................................................18

5.6网络犯罪防范与打击..............................................................22

6城市网络安全基础能力................................................................24

6.1安全文化........................................................................24

6.2教育培训........................................................................28

6.3产业发展........................................................................31

6.4研究创新........................................................................35

6.5协同合作........................................................................38

7城市网络安全能力成熟度评价与应用....................................................41

7.1评价方法........................................................................41

7.2应用方法........................................................................42

参考文献............................................................................43

I

T/CSAC005—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国网络空间安全协会提出。

本文件由中国网络空间安全协会归口。

本文件起草单位：北京奇虎科技有限公司、三六零科技集团有限公司、贵州国卫信安科技有限公司、

天津智慧城市数字安全研究院有限公司、大数据协同安全技术国家工程研究中心、大数据安全工程研究

中心（贵州）有限公司、苏州市公安局、贵州数安汇大数据产业发展有限公司、杭州安恒信息技术股份

有限公司。

本文件主要起草人：杜跃进、高昕、张屹、姚一楠、闫斐、张艺文、钱晓斌、张义荣、张建新、唐

会芳、廖芳、庄唯、王喆、徐静、袁明坤、吕虓、白松林、唐玮涛、韩涛、田树智、陈敏杰、蒋继建、

陈远凯、彭锦。

II

T/CSAC005—2023

城市网络安全能力成熟度模型

1范围

本文件给出了城市网络安全能力成熟度模型架构。针对以城市为主体的网络安全风险，提出了为应

对相关风险在城市层面所需构建的网络安全能力，并详细定义了各维度能力域的成熟度等级要求。

本文件适用于政府、第三方机构等对城市网络安全能力进行评价，也可以作为政府开展城市网络安

全能力建设的依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239-2019网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T25069-2022信息安全技术术语

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T36643-2018信息安全技术网络安全威胁信息格式规范

3术语和定义

GB/T25069和GB/T36643—2018界定的以及下列术语和定义适用于本文件。

3.1

能力成熟度capabilitymaturity

被评价对象的有条理持续改进能力，以及实现特定过程的可持续性、有效性和可信度的水平。

3.2

威胁信息threatinformation

一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应与预防。

[来源：GB/T36643—2018，3.3]

3.3

安全大数据securitybigdata

收集到的分析前的网络安全相关原始数据，具有体量巨大、来源多样、生成极快、且多变等特征。

示例：日志、恶意样本、恶意代码、恶意域名等。

3.4

网络安全风险cybersecurityrisk

特定威胁利用单个或一组资产脆弱性对网络实施攻击、侵入、干扰、破坏和非法使用以及意外事故，

从而破坏网络数据的完整性、保密性、可用性的可能性。

3.5

1

T/CSAC005—2023

基础实践basicpractice

实现某一安全目标的城市网络安全建设与提升等相关活动。

4城市网络安全能力成熟度模型

4.1成熟度模型架构

城市网络安全能力成熟度模型架构如图1所示。

图1城市网络安全能力成熟度模型架构图

城市网络安全能力成熟度模型的架构由以下三个维度组成。

a)安全能力要素

建设城市网络安全的能力要素包括机构建设、制度流程、技术工具和人员能力四个方面。城市

应配套建立相应的网络安全机构，通过制订制度流程进行安全管理，同时培养高素质人员和推

进技术产品落地实施，满足相应安全能力域要求。鉴于城市网络安全的复杂性，具体基础实践

往往包括一到多个方面的安全能力要素，所以本文件对各项基础实践的描述将不标识所属安全

能力要素的类型。

b)能力成熟度等级

城市网络安全能力成熟度等级由低到高分为五个等级。

c)安全能力域

通过对各能力域的评价，可以衡量城市在不同维度网络安全能力的成熟度。这些安全能力域主

要划分为城市网络安全核心能力和城市网络安全基础能力两个方面。其中，城市网络安全核心

能力方面的能力域将帮助城市直接应对网络安全风险，而城市网络安全基础能力方面的能力域

将支撑城市网络安全核心能力方面的能力域持续发展与提升。

4.2能力成熟度等级划分

2

T/CSAC005—2023

城市网络安全能力成熟度等级定义了一个城市在某一方面的实践程度，体现对应网络安全能力的总

体状态，分为五个等级：初始级、形成级、建立级、优化级、以及适应级，见表1。

表1城市网络安全能力成熟度等级共性特征

城市网络安全能力共性特征

成熟度等级

等级1：城市对网络安全能力的建设没有明确的整体计划与方法指导。

初始城市可能制定了一些通用/临时的目标。

城市可能开展了技术、政策和治理方面的临时性活动来提升网络安全能力。

等级2：城市初步确定网络安全能力建设的整体计划与方法指导。

形成城市制定了一些初步的目标。

为取得预期成果，行动计划或活动已经到位，但仍处于落地实施起步阶段。

与行动计划或活动紧密相关的各机构和人员已被确定或参与。

等级3：能力建设相关行动计划已经得到了明确定义，并获得相关机构和人员的支持。

建立城市制定了明确的目标，行动方法和活动在城市层面统一执行。

等级4：设置定性、定量的衡量指标，执行定期评价机制，确保其优先性、不断优化

优化和可持续性。

定期评价网络安全能力建设的效果。

识别活动执行中的成功因素、面临的挑战和当前差距。

等级5：网络安全能力建设是动态和自适应的。

适应持续关注环境、威胁形势和城市建设的发展，培养相关决策能力和行动力。

成熟度等级定义了一个城市在每一个安全能力域的基础实践状况，体现对应网络安全能力的建设阶

段。城市网络安全能力成熟度评价将根据这些阶段对城市进行基准评价，了解城市当前的网络安全能力

状态。其中，针对每个等级下城市应具备的安全目标要求，提出具体的基础实践。

4.3安全能力域

为了全面描述城市网络安全能力，需要对能力域进一步细化，划分为不同的能力子域。而能力子域

是实现同一安全目标的相关城市网络安全基础实践的集合。城市网络安全能力成熟度模型的能力域分为

城市网络安全核心能力和城市网络安全基础能力两个方面，共包含46个能力子域，见图2。

图2城市网络安全能力成熟度模型的能力域和能力子域

3

T/CSAC005—2023

城市网络安全核心能力包括以下6个安全能力域：

a)城市网络资产安全管理的能力子域包括：测绘与资产管理和供应链安全治理；

b)城市网络安全防护的能力子域包括：网络安全等级保护、关键信息基础设施识别认定、关键信

息基础设施安全保护；

c)城市数据安全治理的能力子域包括：数据分类分级、静态数据安全、数据流通安全、数据应用

安全；

d)城市网络安全运营的能力子域包括：城市网络安全综合研判、威胁信息预警、威胁信息共享、

漏洞披露、安全大数据共享、城市网络安全基础设施建设；

e)城市网络安全应急处置的能力子域包括：应急预案、演习演练、事件监测、事件评估、应急响

应与恢复；

f)网络犯罪防范与打击的能力子域包括：网络犯罪防范和网络犯罪打击。

城市网络安全基础能力包括以下5个安全能力域：

a)安全文化的能力子域包括：网络安全意识和素养、政府网络安全宣传、媒体网络安全宣传、网

络危害行为社会监督、网络安全事件报送；

b)教育培训的能力子域包括：网络安全基础教育、网络安全高等教育、网络安全专业培训、网络

安全职业发展；

c)产业发展的能力子域包括：网络安全产业规划、网络安全产业激励、政府驱动、企业驱动、技

术市场环境、网络安全服务；

d)研究创新的能力子域包括：政府网络安全研发投入、网络安全企业的研发投入、鼓励网络安全

前沿研究与应用、技术创新服务体系、科研成果转化；

e)协同合作的能力子域包括：政企合作机制、社会力量整合、城市间合作、跨城市活动。

5城市网络安全核心能力

考察城市维护网络空间安全的核心安全能力，主要涉及城市网络安全防护、城市网络安全应急处置、

城市网络资产安全管理、网络犯罪防范与打击、城市网络安全运营和城市数据安全治理等方面。

城市可根据自身特点对各安全能力域和能力子域进行裁剪。

5.1城市网络资产安全管理

5.1.1测绘与资产管理

5.1.1.1能力子域描述

当地政府建立网络资产测绘与管理机制，掌握城市网络空间资产清单，确定当地网络安全防护范围。

5.1.1.2等级描述

5.1.1.2.1等级1：初始

该等级的城市网络安全能力描述如下：

没有总体性网络资产管理机制，当地企业仅通过经验开展临时性的网络资产探测扫描活动。

5.1.1.2.2等级2：形成

该等级的城市网络安全能力描述如下：

当地政府正在建立网络资产管理计划，并启动相关技术能力建设。

4

T/CSAC005—2023

5.1.1.2.3等级3：建立

该等级的城市网络安全能力描述如下：

a)已形成网络资产测绘管理机制。明确了工作角色、职能，及开展网络资产测绘的资源保障等要

求；

b)通过探测、采集、分析和处理，具备发现识别当地网络空间设施、服务、信息系统和关键数据

等资源的能力，并可基于地理信息和逻辑关系进行图形绘制，直观展现当地网络空间资产、属

性、状态和安全态势，可服务于城市网络安全风险识别等工作；

c)构建了网络空间资产清单，并基于IT和OT资产活动及时更新。

5.1.1.2.4等级4：优化

该等级的城市网络安全能力描述如下：

a)依据相关数据，定期评估网络资产测绘效果，形成改进计划，例如提升数据更新速度和准确度，

支持对新设备、新场景的测绘等；

b)定期改进政策、计划和措施、调整人才配置；

c)定期升级相关技术和平台。

5.1.1.2.5等级5：适应

该等级的城市网络安全能力描述如下：

a)当地网络资产测绘已接入国家整体网络测绘体系，能够实时追踪与城市外部网络的交互态势；

b)当地网络资产测绘已与城市整体网络安全保护工作形成紧密对接，能够及时发现风险，支撑事

件预警，应急响应等工作。

5.1.2供应链安全治理

5.1.2.1能力子域描述

当地政府指导与监督当地重要系统或关键信息基础设施的ICT（信息和通信技术）供应链安全治理

工作，通过专业工作小组定期检查ICT供应链安全风险管理过程与控制措施情况。

5.1.2.2等级描述

5.1.2.2.1等级1：初始

该等级的城市网络安全能力描述如下：

当地政府没有落实ICT供应链安全治理的措施，仅仅开展临时性或个人推动的局部实践。

5.1.2.2.2等级2：形成

该等级的城市网络安全能力描述如下：

在重点城市项目中开展了ICT供应链安全治理。

5.1.2.2.3等级3：建立

该等级的城市网络安全能力描述如下：

a)制定了ICT供应链安全治理策略，确定了供应链安全管理的总体目标、范围、原则等，包括风

险管理策略、供应商选择和管理策略、安全维护策略、以及支持国产密码使用和信创部署等内

容，系统性规范了城市ICT供应链安全审查工作；

b)建立了专门负责ICT供应链安全治理的部门，配备的相应的审查工具和平台；

5

T/CSAC005—2023

c)具备ICT供应商选择和管理策略，能根据产品和服务的重要程度对供应商开展安全调查；具备

合格ICT供应商名录，审核后发布。

5.1.2.2.4等级4：优化

该等级的城市网络安全能力描述如下：

a)对当地关键ICT供应链安全治理情况进行定期的监督检查，对合格供应商名录中的供应商进行

重点检查，发现问题后及时更新合格供应商名录；

b)根据国家有关规定，及时审查城市ICT供应链安全治理工作，定期更新ICT供应链安全治理策

略和制度。

5.1.2.2.5等级5：适应

该等级的城市网络安全能力描述如下：

形成可全国推广的ICT供应链安全治理模式。

5.2城市网络安全防护

5.2.1网络安全等级保护

5.2.1.1能力子域描述

当地政府根据国家网络安全等级保护制度相关要求，遵循GB/T22239要求，组建专家团队，主导定

级备案工作，并对当地等保制度落实工作进行监管和整改。

5.2.1.2等级描述

5.2.1.2.1等级1：初始

该等级的城市网络安全能力描述如下：

a)当地政府未意识到等保的重要性，未落实相关要求，仅仅开展临时性或个人推动的局部实践；

b)当地政府未按照国家有关要求开展网络安全监督检查，也未按要求对等保系统运营者和测评机

构进行监督管理，仅仅开展临时性或个人推动的局部实践。

5.2.1.2.2等级2：形成

该等级的城市网络安全能力描述如下：

a)建立了管理、监督、指导等保制度落实的专门机构，明确了职责；

b)在部分管理规定中，明确了城市职责范围内的主体责任，要求责任主体落实网络安全等级保护

制度，并制定相应的管理制度和操作规程；

c)在城市信息化工作重点建设项目中（例如城市数据安全项目、政务信息化项目等），将等保备

案作为项目开展的必要条件，监督当地责任主体对等保管理制度和操作规程的落实情况，并针

对发现的问题提出相应整改要求。

5.2.1.2.3等级3：建立

该等级的城市网络安全能力描述如下：

a)在建立专门机构的基础上，当地政府和涉及重要信息系统的组织机构等责任主体建立了专门部

门负责等保制度落实工作；

b)建立了城市第三方等保测评队伍，具有一定比例的城市等保测评持证人数；

c)主体机制：建立了当地专门的等保制度落实机制。该机制明确了：

6

T/CSAC005—2023

1)城市等保工作的地位和作用；

2)组织体系、职责分工、协同关系；

3)概要的资源分配方式；

4)概要的管理流程和协同流程；

5)概要的奖惩措施。

d)保障机制：建立了体系化的等保工作保障机制。该机制明确了：

1)评估考核机制，制定了当地等保制度落实监督检查办法；

2)财政投入机制；

3)法规保障机制，制定了当地等保落实管理制度，并对当地相关责任主体进行指导；

4)技术标准和规程，形成了当地推荐的等保技术标准落实操作规程；在落实等保要求的基础

上，针对系统建设的等级要求、系统建设的安全防护条件等给出城市层面的统一要求；

5)人才支撑机制，形成了专家的管理和推荐机制；

6)合作交流机制。

e)监督管理机制：建立了体系化的等保工作监督管理机制，每年对等保制度的落实情况和等保测

评机构进行监督检查。该机制明确了：

1)当地政府能够指导职责范围内的各区、县对等保制度落实情况进行检查，并对自查过程进

行监管，并确保过程一致和结果有效；

2)当地等保监督检查的操作规程；

3)执行等保制度落实监督检查的专家团队；

4)在监督检查过程中，遵循GB/T22239-2019、GB/T25070-2019、GB/T28448-2019以及GB/T

22240-2020等相关标准。

f)建立了城市等保专家库，形成了当地等保专家推荐名单。

5.2.1.2.4等级4：优化

该等级的城市网络安全能力描述如下：

a)根据当地实践情况，定期评估涉及重要信息系统的组织机构的绩效，并做出适应性调整；

b)根据当地实践情况，定期检查主体机制的适用性，并做出优化调整；

c)根据当地实践情况，定期检查保障机制的适用性，并做出优化调整；

d)监督管理机制：当地政府定期对职责范围内等保制度监督工作进行考核（例如检查各区、县的

等保制度落实自查结果），考核结果作为下一步工作计划的输入；对当地等保测评业务、测评

机构、监督检查等数据进行分析，定期评估等保制度监管工作的效果，并开展相关改进；

e)根据当地实践情况，定期评估人才队伍，并做出适应性调整。例如：对城市内等保专家进行评

审，定期更新专家库和专家推荐目录；定期对城市内测评机构进行评价，并督促其不断完善。

5.2.1.2.5等级5：适应

该等级的城市网络安全能力描述如下：

在城市的中长期建设中，能够根据外部环境变化（例如国家的最新政策、要求、技术发展等），对

城市等保工作中采用的方法、技术、工具、人员能力进行持续优化。

5.2.2关键信息基础设施识别认定

5.2.2.1能力子域描述

当地政府监督关键信息基础设施的认定识别，制定关键信息基础设施认定规则，由当地网信部门与

公安机关指导监督，相关工作部门结合各行业及领域实际情况向当地政府报送认定识别情况。

7

T/CSAC005—2023

5.2.2.2等级描述

5.2.2.2.1等级1：初始

该等级的城市网络安全能力描述如下：

当地政府未进行关键信息基础设施安全保护范围识别，仅仅开展临时性或个人推动的局部实践。

5.2.2.2.2等级2：形成

该等级的城市网络安全能力描述如下：

当地政府根据国家有关要求，对城市关键信息基础设施安全保护范围进行了初步的识别与认定。

5.2.2.2.3等级3：建立

该等级的城市网络安全能力描述如下：

a)当地政府根据国家有关要求，制定了识别城市关键信息基础设施安全保护范围的操作规程和指

导意见，以指导关键信息基础设施安全保护范围的具体识别工作；

b)认定了完整的城市关键信息基础设施安全保护范围，并进行优先级排序；

c)积极梳理特色案例，总结形成当地关键信息基础设施安全保护最佳实践；

d)建立了专门负责关键信息基础设施安全保护工作的组织机构和专家队伍，负责关键信息基础设

施安全保护范围的识别和维护；

e)建立了自动化的技术手段，辅助关键信息基础设施安全保护范围的识别、维护，资产管理等。

5.2.2.2.4等级4：优化

该等级的城市网络安全能力描述如下：

a)根据城市内部环境变化，及时更新关键信息基础设施安全保护范围和优先级；

b)当发生重大变更时，及时调整关键信息基础设施安全保护范围和优先级，必要时重新识别关键

信息基础设施安全保护范围。

5.2.2.2.5等级5：适应

该等级的城市网络安全能力描述如下：

根据国家关键信息基础设施安全保护需要，及时更新当地关键信息基础设施安全保护范围。

5.2.3关键信息基础设施安全保护

5.2.3.1能力子域描述

当地政府指导监督运营者在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对

网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整

性、保密性和可用性，并采取必要措施，优先保障能源、电信等关键信息基础设施安全运行。

5.2.3.2等级描述

5.2.3.2.1等级1：初始

该等级的城市网络安全能力描述如下：

当地政府未意识到关键信息基础设施安全保护的重要性，未开展任何防护工作，仅仅开展临时性或

个人推动的局部实践。

5.2.3.2.2等级2：形成

8

T/CSAC005—2023

该等级的城市网络安全能力描述如下：

a)建立了管理、监督、指导关键信息基础设施安全保护制度落实的专门机构，明确了职责；

b)在部分管理规定中，明确了责任主体，要求责任主体落实《关键信息基础设施安全保护条例》

及有关要求，并制定相应的管理制度和操作规程。

5.2.3.2.3等级3：建立

该等级的城市网络安全能力描述如下：

a)在专门机构的基础上，当地各责任主体建立有专门部门负责关键信息基础设施安全保护制度落

实；

b)建立了关键信息基础设施安全保护专家队伍，协助当地政府专门机构推进关键信息基础设施安

全保护工作；

c)主体机制：建立了当地关键信息基础设施安全保护制度落实机制，明确了：

1)关键信息基础设施安全保护工作的地位和作用；

2)组织体系、职责分工、协同关系；

3)概要的资源分配方式；

4)概要的管理流程和协同流程；

5)概要的奖惩措施。

d)保障机制：当地政府制定了相关产业、财税、金融、人才等政策，以支持关键信息基础设施安

全保护相关的技术、产品、服务创新，推广安全的网络产品和服务，培养和选拔网络安全人才，

提高关键信息基础设施安全保护整体水平，包括：

1)评估考核机制；

2)财政投入机制；

3)法规保障机制；

4)技术标准和规程；

5)人才支撑机制；

6)合作交流机制。

5.2.3.2.4等级4：优化

该等级的城市网络安全能力描述如下：

a)主体机制优化：根据当地实践情况，定期检查主体机制的适用性，并做出优化调整。例如定期

对当地关键信息基础设施安全保护工作进行总结，优化现有制度；

b)保障机制优化：根据当地实践情况，定期检查保障机制的适用性，并做出优化调整；

c)根据当地实践情况，定期评估人才队伍的绩效，并做出适应性调整。例如对当地关键信息基础

设施安全保护专家进行评审，定期更新专家库和专家推荐目录；定期对当地关键信息基础设施

安全保护专业机构进行评价，并督促其不断完善。

5.2.3.2.5等级5：适应

该等级的城市网络安全能力描述如下：

a)对城市外部环境的影响：当地关键信息基础设施安全保护工作实践对国家关键信息基础设施安

全保护制度落实和发展具有积极影响；

b)对城市内部环境的影响：当地关键信息基础设施安全保护制度落实工作保持与当地其他建设工

作协调统一。

5.3城市数据安全治理

9

T/CSAC005—2023

5.3.1数据分类分级

5.3.1.1能力子域描述

当地政府建立数据分类分级管理制度，制定相关方案与措施，推进数据排查和安全治理。

5.3.1.2等级描述

5.3.1.2.1等级1：初始

该等级的城市网络安全能力描述如下：

数据分类分级管理的意识和能力薄弱，没有总体性的数据分类分级管理政策和计划，仅有临时性的

管理活动。

5.3.1.2.2等级2：形成

该等级的城市网络安全能力描述如下：

依据国家相关法律法规，研究当地相关行业机构运营现状，正在制定数据分类分级管理计划。

5.3.1.2.3等级3：建立

该等级的城市网络安全能力描述如下：

a)当地政府根据国家和省数据分类分级相关规定，已制定当地数据分类分级管理制度和标准，明

确分类分级的原则和规则，特别是一般数据、重要数据、核心数据的识别及分级保护规则；

b)行业主管部门根据国家、省、市数据分类分级有关规定，制定本行业、本领域数据的分类分级

管理制度和标准。