安全成熟度模型：提升组织网络安全评估与控制能力

埃及信息学杂志22（2021）193将安全成熟度模型引入组织Osamah M.M.伊曼？马塔里Helala，Sharif A.谢里夫·埃亨纳维·马赞a、ba部。埃及吉萨开罗大学信息系统学院b信息系统审计顾问，埃及阿提奇莱因福奥文章历史记录：收到2019年2020年6月28日修订2020年8月9日接受2020年8月31日在线提供关键词：安全成熟度安全控制成熟度评估能力流程网络安全A B S T R A C T每个组织在日常运作中都面临威胁和风险。主要风险之一是如何评估安全级别，以防止与技术发展相关的日益增加的风险。因此，组织可以指定所需的方法和技能。在本文中，我们提出了一个安全成熟度模型，分为五个级别的组织每个层次决定了组织所使用的技术和过程有一组因素可以帮助确定安全成熟度级别，例如技术、人员和基础设施。本文采用信息安全管理模型来评估组织的安全水平。作者在组织中的成熟度级别和安全级别此外，拟议的过程能力控制影响这两个级别。所提出的模型有助于组织弥合网络安全差距。这些差距涉及人才、技术、组织单位、财务、管理和业务方面的差距。因此，该模型有助于网络安全审计人员制定全面的计划来衡量组织的安全级别。该计划可以管理和开发组织的自动化对策。此外，它还可以帮助基于组织的日常运营应用合适的标准和框架网络安全审计员使用网络安全技术和工具来评估组织的状况。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司©2021 THE COUNTORS.由Elsevier BV代表计算机和人工智能学院发布开罗大学法律系这是一篇CC BY-NC-ND许可证下的开放获取文章（http：//creative-commons.org/licenses/by-nc-nd/4.0/）上提供。1. 介绍网络安全评估对于每个发展业务的组织都至关重要。我们需要确定应该应用网络安全成熟度评估的团队。网络安全审计团队由网络安全专业人员和IS审计员组成。他们负责确定组织他们执行四个主要检查来评估安全成熟度级别。第一步指定一组流程，如文档管理、系统和业务审计、设计和演进。第二步是战略管理。它包括一组过程，如利益攸关方的报告，信息安全和物理安全的协调，战略愿景，为信息安全分配的资源。三是考核目标战术管理。它由后台检查、服务水平管理、保险管理、*通讯作者。电子 邮件 地址 ： osamahalmatari@gmail.com （ O.M.M. ）Al-Matari ） ，i. fci-cu.edu.eg（I.M.A. Helal），s. fci-cu.edu.eg（S.A. Mazen）。开罗大学计算机和信息系负责同行审查。安全人员的选择和培训以及安全意识。最后，第四个检查说明了操作管理过程。它由25个流程组成，如库存管理、环境修补、安全措施、变更控制、访问控制、信息质量、合规性探测、取证等。这些过程控制安全成熟度的级别。在实现安全标准或框架之前，必须完成它们规定了每一级所需的控制措施。有三种方法来执行网络安全控制。无论是进攻，防御或混合两种方法。攻击性方法应用道德黑客技术。但是，防御方法可以防止、检测和响应潜在的攻击[2]。此外，每个组织都有三个主要的管理层次。它们是操作管理（低层管理）、执行管理（中层管理）和高层管理（高层管理）[3]。组织和框架中定义的成熟度级别有各种术语[4]。然而，大多数框架将成熟度表达为以下级别：不存在（级别0），特设（级别1），可重复（级别2），定义（级别3），管理（级别4）和优化（级别5）[3]。有几个因素会影响组织的安全愿景，例如不同的https://doi.org/10.1016/j.eij.2020.08.0011110-8665/©2021 THE COMEORS.由Elsevier BV代表开罗大学计算机和人工智能学院出版。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表埃及信息学杂志杂志主页：www.sciencedirect.com194我的天Al-Matari et al./ Egyptian Informatics Journal 22（2021）193特定的安全目标。安全成熟度评估阐明了信息系统管理与已识别的社会和技术因素之间的关系[4]。政府部门为若干电子政务服务保障其在线业务。信息安全成熟度模型（ISMM）[5] ISMM处理技术和非技术安全方面的问题。在[5]中，作者对网络安全审计工具和审计框架进行了比较研究。这些自动化工具可以帮助网络安全审计员完成审计过程。然而，这些工具有其局限性，例如使用困难，缺乏对相关实践和参数的足够知识和见解[6]。这些缺失的见解将有助于提高业务信息安全性。他们可以评估当前的态势并发展组织在本文中，我们提出了一个安全成熟度模型来评估一个组织的基础上，在ISM 3模型中指定的特定规则。该模型允许将组织划分为五个安全成熟度级别。分类级别取决于组织中支持的控制类型和自动化水平。这些控制可以是不存在的、特别的、可重复的、定义的、管理的或优化的[8]。网络安全审计师收集有关所使用的技术、工具、技术资源、员工数量和基础设施的信息，以确定组织我们提出的模型是改编自ISM 3模型，并应用于两个案例研究。我们提出的模型分析ISM3的输出报告。然后，它确定组织是否处于合适的安全级别或需要制定安全程序。此外，我们的模型以ISM 3为指导，以文件的安全成熟度水平。该模型适用于小型、中型和大型组织。基于安全成熟度级别的结果，我们可以对组织执行网络安全方法，如侦察，足迹，枚举，扫描和处罚。该模型不同于以往的安全模型。它研究组织的安全自动化方面。还有，它通过可扩展性对策来巩固组织的安全级别。它确定了一套执行适当控制所需的文件。然后，它确定了通过一套程序灌输的自动控制。最后，它根据组织的活动调整适当的安全成熟度级别。因此，成熟度级别适合于组织本文的其余部分组织如下。在第二节中对现有的安全成熟度模型进行了概述，并讨论了相关的工作.第3节讨论了建议的安全成熟度模型。第四节将所提出的安全成熟度等级应用于两个案例研究：也门的退休部门和公共电信公司。第5节讨论了现有模式和框架与拟议模式相比存在的差距最后，我们在第6节中总结了本文，并对未来的工作进行了展望。2. 相关工作在[9]中，作者提出了中小企业信息安全（CHOISS）模型的特征描述。他们通过47个参数确定了四类可衡量的组织特征。这些参数的示例包括员工数量、组织它帮助中小型企业（SME）区分和排序哪些风险需要缓解。它将与组织特征相关的行动分为：一般、内包和外包、IT依赖性和IT复杂性。选择提出了各种不同的组织之间的区别。为了达到高的IS成熟度水平，组织必须解决一组定制的重点领域和能力。另一项研究仅考虑了与机密、集成和可用性（CIA）相关的数据安全性[10]。他们忽略了评估成熟度模型（CMM）每个级别的风险和漏洞的数字安全过程。根据[11]，作者提出了网络安全能力成熟度模型（C2M2）来评估组织的网络安全能力，以有意义的方式传达其能力水平，并告知其网络安全投资的优先级。该模型将中小企业的网络安全划分为三个等级的成熟度指标等级（MIL）0到3（MIL0，MIL1，MIL3），并划分为10个域。该模式利用评价来确定能力差距，对这些差距进行排名，制定解决这些差距的计划，并制定解决这些差距的计划在[12]中，作者将组织分为能力成熟度模型的五个级别。这些级别将业务治理驱动分为初始、临时、定义、管理和优化。这种分类侧重于组织的架构，跳过了每个架构中的风险。根据[13]，组织的能力识别技术成熟度和风险。他们使用现有的最佳数据确定每种方法的可负担性。然而，这项研究忽略了评估组织需求和减轻风险的安全过程另一项评估马来西亚公共部门信息安全成熟度的研究[4]。作者比较了三个主要模型：系统安全工程能力成熟度模型（SSE-CMM）[14]、信息及相关技术控制目标（COBIT）[15]和信息安全管理成熟度模型（ISM 3）[16]。他们澄清了这些模型之间的关系。然后，他们确定并测试了他们的技术因素。COBIT 2019框架的作者解释了过程的能力水平[15]。这些级别基于范围从0到5的工艺能力方案。能力水平是过程实现和执行情况的度量。COBIT框架侧重于组织的过程。它根据将组织分为五个级别来跟踪这些过程。系统安全工程能力成熟度模型（SSE- CMM）是[14]中提出的另一个模型。它研究软件设计以支持组织的应用程序。此外，它还提供了如何为开发和维护软件的过程创建控制的指导。该模型定义了五个能力等级，重点是软件性能控制。信息安全成熟度模型第3版（ISM 3）是另一个定义了五个等级的模型。这些级别衡量组织中的信息安全流程[16]。ISM3标准指定了实现每个安全成熟度级别所需的一组流程。它总结了这些过程，以衡量四个领域的成熟度水平以及自动化需求。在[17]中，作者评估了主数据，得出了主数据成熟度评估的主要概念和最佳实践。该评估使用涉及13个领域的成熟度矩阵。此外，它指定了65种能力并对其进行了验证。此外，作者开发了一个评估问卷，以评估主数据管理成熟度。他们专注于主数据，而忽略了所有组织的安全成熟度。有一些安全框架为组织执行安全控制，如NIST和ISO（27001，27002）[18，19]。NIST为组织执行五项安全控制措施。这些控制是识别、检测、保护、响应和恢复数据和资产。ISO信息安全管理我的天Al-Matari et al./ Egyptian Informatics Journal 22（2021）193195和业务守则执行13项安全域控制。这些控制措施涵盖组织的一般安全。在[20]中，作者比较了应用于网络系统的不同网络安全成熟度模型。他们探索了各种网络安全成熟度模型，以应用于组织。他们根据组织的组成部分描述了每个模型的成熟度级别。最后，他们推断每个组织都根据其业务部门确定了合适的模型。另一项研究定制了发展中医疗保健部门的网络安全成熟度模型[21]。他们评估了医疗保健组织的云安全成熟度模型的有效性。最后，他们推导出了与卫生信息系统最佳做法相一致的适当标准。作者在[22]中讨论了改进风险管理和网络安全成熟度评估的方法。他们研究了如何将它们集成到软件解决方案中。他们的目标是政府部门。他们的目标是为内部业务实现适当的信息安全。另一项研究[23]解释了包括完成成熟度评估在内的体现能力。他们通过使用风险预测数据库确定了计算机系统上的漏洞。评估包括厘定五个成熟度级别。作者应用了一组不同的独特风险情景来评估成熟度水平。此外，有几家国际公司这些公司开展网络安全和信息系统审计框架。这些框架评估组织的安全水平作为我们研究的一部分，我们检查了德勤、毕马威和摩尔斯蒂芬斯办事处（也门分支机构）。这些办事处审计也门大中型他们使用COBIT 5等模型然而，这些模型并没有确定组织的安全成熟度我们提出的模型旨在弥合这一差距。它评估组织总之，没有明确的程序来评估不同类型企业的安全成熟度水平此外，使用自动化控制来保护整个企业的有效性需要更多的调查。最后，没有一个全面的网络安全成熟度模型来帮助网络安全审计员评估企业安全的各个方面3. 网络安全成熟度模型所提出的网络安全成熟度模型可以分析当前状态，并着眼于期望的状态。它评估网络安全控制，并实现新技术或流程控制。使用这种模型的主要优点是可以指定组织的成熟度级别。每个层次都依赖于一组过程。每个过程都依赖于基础设施、资源、操作自动化和用户知识。因此，网络安全成熟度模型可以帮助区分组织[24]。网络安全编辑开始通过检查其控制来评估企业安全级别。当组织缺乏或没有控制时，这些控制可能不存在。它们可以是AD组织控制不力且很少控制的临时控制。此外，控制可以是可重复的，其中组织意识到常规流程中的用户控制。当组织在其日常运作中实现控制自动化时，就定义了控制。每当组织开发自动化控件时，它们都是可管理的。最后，优化控制是所有操作过程的自动化控制[8]。图1说明了基于过程能力模型（如ISM 3）中应用的控制的组织级别。它侧重于五个过程成熟度级别，根据组织，的控制。不存在成熟度级别是指组织中缺乏安全性和自动化控制特设成熟度级别仅在异常操作中使用自动化安全控制。可重复的成熟度级别基于当前的网络安全意识开发自动化安全控制。定义的成熟度级别开始确定网络安全控制、技术和所需技术，以保护组织。托管成熟度级别开发自动化安全控制所需的技术。优化的成熟度级别应用自动化安全控制来保护组织免受内部和外部威胁。ISM3根据通过日常运营应用的控制规定了组织的级别。这包括从缺乏控制到完全自动化的控制。支持的控制反映了组织的安全成熟度水平。它的范围从不存在到优化成熟度。网络安全审计师需要学习如何根据安全成熟度模型对组织进行分类。安全成熟度级别是根据一些因素指定的。这些因素可以是物理和网络基础设施、实施日常流程的能力、数据存储和传输控制或质量保证（政策、标准和指南）。在本文中，我们提出的安全成熟度模型的基础上ISM3模型的组织的安全成熟度进行分类。每个安全需求都有一组流程来执行安全成熟度级别。我们通过案例研究介绍这些程序，见第4节。我们从四个角度评估安全级别：一般，战术，战略和业务。这些视图有助于确定组织4. 案例研究网络安全审计员必须指定组织的安全级别，以完成审计过程。在第4.1节和第4.2节中，我们将研究如何实现和评估两种类型组织的安全成熟度级别。 该评估基于四个类别，即一般、操作、战术和战略安全成熟度。最后，第4.3节对所有发现进行了讨论。4.1. 第一个案例研究：退休组织退休组织是也门的一个公共服务组织。它为超过10万人提供服务。它有四个主要部门。它们是信息技术、财务、控制和审计以及养恤金管理部门。根据安全成熟度模型控制，研究了满足安全漏洞的安全级别。它具有有限数量的执行日常操作的进程。这个组织有几个流程，但主要有两个流程：（1）每月支付退休人员的工资，(2)办理信用卡备案手续。然而，在安全领域没有适用的标准或框架。因此，它们指定了一些物理控制和管理策略来保护组织。物理控制负责实现与硬件相关的安全控制.一个例子是隔离服务器的房间和生物计量系统，以防止未经授权的人进入服务器的房间。大多数执行的过程和程序控制都是手动操作的。因此，管理员根据授权和特权级别对用户进行分类。 他们试图使这些过程和程序自动化。但是，安全问题并不是该组织的优先事项。196我的天Al-Matari et al./ Egyptian Informatics Journal 22（2021）193过程能力控制Fig. 1.基于ISM 3的安全成熟度模型[4]。4.2. 第二个案例研究：公共电信公司公共电信公司（PTC）1是也门的一家公司。它工作在电信和执行一个复杂的过程。PTC在也门拥有21家分支机构和50多个中心，为数百万客户提供服务。它是一家政府服务提供商，为个人和企业提供互联网和电信服务。他们的一些服务是付费给我（hatfie），互联网服务（ye-mennet），培训服务，信息系统和技术服务。截至2019年底，也门的互联网用户数量已增至300万。这与上一年（2018年）的200万用户相比，增长了49.96%。PTC的日常流程比退休组织的流程更复杂此外，日常流程的数量正在增加，以适应客户的需求。安全是电信领域企业工作的重中之重因此，PTC努力提高其安全性，以吸引更多的客户。PTC公司的流程和程序也是半自动化基于提出的安全成熟度模型，研究了其部门的安全成熟度水平。因此，我们建议完全自动化安全控制，以提高安全成熟度级别。4.3. 案例研究和讨论在安全成熟度模型中，有四种类型的安全：一般的，战略的，战术的和操作的。表1显示了安全成熟度评估的一般流程。这些过程是（1）文档管理，（2）ISM3系统和业务审计，以及（3）ISM3设计和评估安全级别。请注意，这两个案例研究（R）为退休机构，（T）为上市公司。其余的讨论应用相同的符号。表2显示了一组评估公司或组织安全成熟度的过程这些流程侧重于安全战略管理。它们由四个过程组成：（1）向利益相关者报告，（2）协调信息安全，1http://ptc.gov.ye/en/Home.aspx。物理安全，（3）战略愿景，以及（4）为信息安全分配资源。表3解释了实现战术管理安全成熟度的过程战术管理评估包括11个过程。这些过程是（1）向战略管理人员报告，（2）管理分配的资源，（3）定义安全目标，（4）服务水平管理，（5）定义环境和生命周期，（6）保险管理，（7）背景检查，(8)安全人员的选拔，（9）安全人员的培训，(10)纪律程序;（11）安全意识。这些过程有助于信息系统审计员评估每个组织的水平。表4显示了业务管理流程。 它们帮助网络安全审计师评估日常运营过程。业务管理由23个流程组成。每个流程对于评估组织日常运营中的安全成熟度至关重要。所有表格都说明了这两个案例研究的成熟度退休组织和PTC都应用了通用安全的所有功能。退休组织完成了战略安全管理职能的一半，而PTC则涵盖了所有这些职能。在战术安全方面，退休组织充分履行了其11项职能中的3项，而PTC则履行了所有职能。在业务安全方面，退休组织实现了其23项职能中的4项，而技术合作司实现了18项职能。最后，我们总结了表1案例研究中的每个组织可以分类如下：退休组织处于临时级别，没有常规控制。它不遵循安全控制标准或框架。符合ISM 3模型的安全级别输出为不足以实现其安全目标。它需要明确的职责分工规则。这些规则可以提高资源利用率，降低安全事件的风险。从而保护组织免受可能的内部威胁。PTC公司处于确定的成熟度水平。这是一个很好的安全控制。它开始在公司及其分支机构内部实现流程自动化他们在支付卡行业（PCI）的流程和安全控制中应用ISO 27001标准因此，其安全级别的输出符合ISM 3模型。然而，保护物理和技术信息需要与现有标准保持一致。5级管理4级定义3级可重复2级特设1级不存在0级低高安全成熟度低高我的天Al-Matari et al./ Egyptian Informatics Journal 22（2021）193197表1一般安全成熟度。成熟度级别过程1级2级3级4级5级文档管理R不ISM3系统和业务审计R不ISM 3设计和评估安全级别R不表2战略管理安全成熟度。成熟度级别过程1级2级3级4级5级向利益相关者R不协调信息/实体安全R不战略眼光不为信息安全不表3战术管理安全成熟度。成熟度级别过程1级2级3级4级5级向战略管理层不管理分配的资源R不定义安全目标不服务级别管理不定义环境和生命周期R不保险管理不背景调查不保安人员甄选R不安全人才培养不纪律程序不安全意识不表4运营管理安全成熟度。成熟度级别过程1级2级3级4级5级向战术管理部门R不选择实施安全措施不库存管理R不信息系统环境变更控制不环境修补不分段和过滤管理安全措施变更控制不软件开发生命周期控制不恶意软件防护管理不访问控制R不用户注册R不物理环境保护管理备份管理增强的可靠性和可用性管理不运营连续性管理不归档管理不内部技术审核不事件仿真信息质量和法规遵从性探测警报监控不不事件检测和分析不事故和未遂事故不取证4.3.1. 退休组织调查结果1. 退休组织处于安全成熟度级别1。2. 它的控制和程序执行不力3. 它使用旧的技术来执行日常操作，而不更新安全补丁。4. 它缺乏安全专业人员。他们可以处理威胁和检测漏洞，以及防止利用，以减少风险。5. 它只有有限的资源来执行日常业务。198我的天Al-Matari et al./ Egyptian Informatics Journal 22（2021）1936. 没有安全程序来保护其资产，因此无法防止数据泄漏或丢失。7. 它缺乏安全意识，如物理，行政和技术控制。4.3.2. PTC结果1. PTC处于安全成熟度映射的第32. 它检测并以适当的反应应对威胁和风险。3. 它使用一套现代技术（如防火墙、病毒和恶意软件高级防护、入侵防御和检测系统以及资产端点防御）来保护其日常数据传输。4. 它有一些在不同部门工作的安全专业人员来保护系统和网络。5. PTC中有大量的资源可帮助开发日常运营。6. 它努力每月备份数据，以便在发生任何可能的灾难时恢复7. 其管理层具有中等程度的安全意识，并致力于改进其计划，以提高其安全成熟度。作为一项建议，退休组织可以审查其安全功能，以提高安全意识。因此，它可以基于图1中提出的安全成熟度模型将其安全成熟度级别提高到2级。而PTC需要完成其控制措施的开发，以将其安全成熟度级别提高到第4级。由于日常营运中会遇到风险，因此需要投资于安全控制以面对可能出现的复杂威胁。它还可以考虑安全功能的完全自动化，以将其安全成熟度级别提高到5级。5. 安全成熟度差距根据以前的结果，安全成熟度级别是审核组织的一个重要因素。然而，在确定每个组织所需的安全级别时，成熟度水平取决于影响审计控制的一系列输入文件。组织我们提出的模型可以确定组织的安全成熟度级别。它还可以弥补组织审计控制方面的差距。组织成熟度有五个层次。安全成熟度的初始级别始于操作中缺乏控制。因此，它突出了任何存在的威胁。这就需要树立安全观念，从总体上保护资产。第一个层次是在紧急情况下执行的控制不力，在日常操作中缺乏控制。它会重新检查控制装置组织单位之间的安全成熟度差异是组织中的安全差距之一。这些单位将IT团队评为最安全的团队，将销售团队评为最不安全的团队。第二个层次的控制意识是至关重要的，以确定人才缺口。它考虑了网络安全团队和他们的斗争。这个级别必须克服组织内所需和可用的安全人才之间的差距。安全成熟度的第三个级别是开始自动化控制。它调整解决方案以弥补技术差距。第四层开发控件扩展到新控件。这一数额弥补了预算缺口。在确保本组织安全所需的预算数额与现有资金之间存在分歧。管理层的主要关注点可能会影响为弥补这一差距而作出的决定。与此同时，该组织对网络攻击和威胁的准备受到威胁。最后，第五层全自动控制适应了管理和运营。此级别解决了执行管理层与安全运营人员之间的认知差距。如果这一差距得到解决，各组织就可以带头缩小其他差距。6. 结论和今后的工作网络安全正在成为大多数组织关注的问题之一。网络攻击有不同的形式和目标。因此，如果没有适当和广泛的培训，安全人员很难管理它们。组织的系统成熟度在提供网络安全方面起着主要作用。网络安全审计是组织的关键任务之一。这是一项艰巨而广泛的任务，需要技术支持才能完成，它有助于对组织的安全级别进行分类。为了评估组织所提出的安全成熟度模型可以根据自动化控制将组织分配到合适的级别。该模型使用资源和需求过程作为组织安全级别的指示器。根据组织的安全成熟度级别，网络安全审计员可以安排向组织提交报告。然后，审计员可以提出建议，以提高其安全级别。因此，从ISM 3模型改编的拟议模型对应于弥合网络安全差距的成熟度级别。这些差距涉及人才、技术、组织单位、财务、管理和运营方面的差距。作为进一步的工作，该模型可以根据生成的安全报告对这些控制进行改进和修改。这可以帮助组织降低可能的风险并提高其安全成熟度。竞争利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作。引用[1] Alles M，Brennan G，Kogan A，Vasarhelyi MA.业务流程控制的持续监控：西门子 持 续 审 计 系 统 的 试点 实 施 。 Int J Acc Inf Syst 2006;7 （ 2 ） ： 137-61. doi ：https://doi.org/10.1016/j.accinf.2005.10.004。[2] Robinson J.空间和网络安全交叉点的治理挑战。第156章：你是谁[3] 乔西TOGAF® 9.1版-袖珍指南，Van Haren; 2016..[4] Dzazali S，Hussein Zolait A.信息安全成熟度评估：马来西亚公共服务机构的探索性研究。J Syst Inf Technol2012;14（1）：23-57.[5] Karokola G，Kowalski S，Yngström L.安全电子政务服务的信息安全成熟度模型：利益相关者的观点。HAISA2011：58-73.[6] AlmatariO，Helal I，Mazen S，Elhenawy S. 用于IS审计的网络安全工具第六届企业系统国际会议。第8页。塞浦路斯利马索尔[7] 鲍勃特·Y提高商业信息安全的成熟度[博士学位] thesis）。安特卫普大学; 2018..[8] 卡兰贾湖 资讯保安总监在资讯保安管理中的角色。Inf Comput Secur2017;25（3）：300-29.[9] 杨伟杰，王伟杰.影响中小企业信息安全成熟度的组织特征。J Comput Inf Syst2016;56 （ 2 ） ： 106-15. doi ： https://doi.org/10.1080/08874417.2016.1117369 网站。[10] 杨文，李文，李文.对不完整日志的策略审计。第18届ACM计算机和通信安全会议论文集第151页。doi：https://doi.org/10.1145/2046707.2046726网站。[11] Curtis P，Mehravari N，Stevens J.信息技术服务的网络安全能力成熟度模型（C2M2for IT Services），版本1.0，国防技术信息中心。.[12] 兰克霍斯特湾超越企业架构。在企业架构工作。Springer; 2013. pp. 303-308. .[13] Sc JKD，Eng C，Massie A.系统工程知识体系的框架。在：第11届INCOSE国际研讨会墨尔本，澳大利亚。p. 一比七我的天Al-Matari et al./ Egyptian Informatics Journal 22（2021）193199[14] 白色GB社区网络安全成熟度模型。在国土安全技术（HST），2011年IEEE国际会议上。IEEE; 2011年。pp. 173-178. .[15] 科比特岛COBIT® 2019框架：治理和管理目标，ISACA; 2019. 网址：www.isaca.org/COBITuse网站。.[16] Consortium I，et al.信息安全管理成熟度模型; 2009。.[17] Spruit M ， Pietzka K. Md3m ： 主 数 据 管 理 成 熟 度 模 型 。 Comput. 人 类 行 为2 0 1 5 ;51：1068-76.[18] Stouffer K ， Stouffer K ， Zimmerman T ， Tang C ， Lubell J ， Cichonski J ，McCarthy J. 网络安全框架制造概况。美国商务部，国家标准与技术研究所; 2017年。[19] ISO 。 ISO/IEC27002 ： 2013 信 息 技 术 网 址 ： https://www.iso 。org/standard/54533.html。.[20] 穆罕默德一世，巴德一世。网络系统网络安全能力成熟度模型。Int J Develop Res2019;9（07）：28637-41.[21] 放大图片作者：Akinsanya OO，Papadaki M，Sun L.当前的网络安全成熟度模型：在医疗保健云中的有效性如何？在：CERC。p. 211- 22[22] 作者：J. J.用于为组织网络安全/隐私计划提供风险管理和成熟度的集成评估的方法和系统，16/227，109（7月16日）4 2019年）。.[23] Grindstaff IED，Loeb MS，Hood K，Witte G，Conkle T.网络安全成熟度评估，美国专利应用程序。16/226，117（7月16日）25 2019）。.[24] Miron W，Muita K.关键基础设施提供商的网络安全能力成熟度模型。TechnolInnov Manage Rev 4（10）..[25] SiponenM，Willison R. 信息安全管理标准：问题与解决方案。信息管理。2 0 0 9 ;46（5）：267-70.