体系建设中的道法术器势

0级

处于安全能力缺失阶段

无固定人员

无基本制度流程

未部署或未明确相应安全措施

1级

虽然可以识别简单的安全风险，但专职安全人员不足、没有建立相应的制度、标准、流程，安全事件驱动技术保护措施，个人依靠经验处理相应事务，安全能力水平混乱无序。

缺乏安全人员，组织内无固定的信息安全工作的执行人员，信息安全工作一般由指派的运维部人员完成。

安全控制基本无效，虽然有基本的操作管理类制度，对结果无明确考核，并不要求文档交付。

有基本的办公环境要求，使用防火墙、主机防火墙、安装单机防病毒软件等措施。

2级

虽然被事件或合规驱动，采用了部分安全技术管理措施，建立了基本的管理制度，对安全事件问题有应对措施，但安全控制措施有效性还存在较大不足。安全能力建设刚刚起步。

人员能力不足，虽然设立了安全专岗完成信息安全相关工作。

设立了较为完整的网络与操作管理类制度，设立了基本的物理安全类制度和访问控制类制度，对日常安全操作和资产部署与维护以简单的描述性文字进行规定，对操作、部署与维护的结果进行结果的定性检查，操作情况未明确说明的过程文档。

在1级基础上，使用安全域划分、边界防护、企业病毒防护软件、网络准入、日志审计、补丁管理、堡垒机、数据备份等。

3级

虽然基于风险采取大多数安全技术措施，安全能力有规划的发展，同时也建立安全体系，并定期对技术措施策略优化，控制措施的执行已经达到标准化和文档化，但无有效的评估措施，无法评估安全措施有效性。

成立安全组织，完善安全架构，并建立相关完善的安全体系。

有比较完善的安全文档体系，如完善的网络域操作管理类制度，设立基本的资产管理类制度、信息事故管理类制度和业务连续性管理制度，对日常安全操作和资产部署与维护以详细描述的方式（结构化描述）对人员与培训的流程至少以简单的描述性文字进行规定，对有详细描述的流程进行过程定性检查，对简单描述的流程进行结果定性检查。

在3级基础上，使用双因素认证、终端安全防护、上网行为管理、流量控制、负载均衡、防DDOS、防垃圾邮件、WAF、漏洞扫描、安全监控、灾备技术等。

4级

建立了有效的企业信息安全体系，明确保护目标，全面识别风险，并制定了相应的控制措施，制定安全管理要求，并且有成熟技术平台支撑，有初步评估措施，有专人负责，使用PDCA对安全体系进行优化，定期评估安全控制措施的效果，安全能力得到全面提升，为业务更好地赋能。

各部门负责人层选派人员组成有效的信息安全委员会负责控制信息安全工作的落实，信息安全委员会指导安全工作人员开展工作。

在3级制度的基础上，同时对日常安全操作、资产部署与维护以及人员与培训在详细文字描述的基础上，构建流程图消除流程认知偏差所有的流程都要包括启动、规划、执行、控制、收尾的标准形式，分阶段完成过程考核，各个流程的交付结果均应有标准化的文档模板及核对单。

在3级基础上，使用4A系统、SOC、数据安全管理，如数据加密、DLP等，源代码审计、APP安全、全流量深度分析、安全可视化、APT防御、云安全等。

5级

与业务高度融合，并保持技术措施、管理措施、人员及安全各项能力持续提升，将安全控制指标量化，提出SLA承诺，并基于服务SLA采取安全技术措施和管理要求，产品、技术全部映射到服务交付，建立安全服务管理要求和标准，实现SOC平台化安全运营等。

在信息安全委员会的基础上，成立内审组织，内审期间专职地在组织内部推动内审工作，内审机构的结论推动信息安全委员会的工作。

在4级的基础上，建立内部审查的流程，包括构建详细描述、流程图、过程考核、文档模板和核对单，为流程建立符合PDCA循环的执行机制。

在4级基础上，使用业务风险防控、防欺诈、情报威胁、态势感知、溯源反制、攻防演练平台、SOC平台化运营等。