ICS 35.080 CCS L 77 团 体 标 電准 T/CATISO28-2024 零信任能力成熟度模型 Zero trust capability maturity model 2024-12-24发布 2025-01-01实施 中国服务贸易协会 发布
T/CATISO28-2024 目次 言 III 1范围. 2规范性引用文件 3术语、定义和缩略语.
4概述.. 5零信任身份要求 5.1一级能力要求 5.2二级能力要求 5.3三级能力要求, 6零信任设备要求 6.1一级能力要求 6.2二级能力要求. 6.3三级能力要求, 7零信任网络要求, 7.1一级能力要求 7.2二级能力要求 7.3三级能力要求.
8零信任应用和工作负载要求, 8.1一级能力要求 8.2二级能力要求, 10 8.3三级能力要求 9零信任数据要求 11 9.1一级能力要求. 9.2二级能力要求, 12 9.3三级能力要求, 10零信任可视化和分析要求 10.1一级能力要求 4 10.2二级能力要求 14 10.3三级能力要求 11零信任自动化编排和安全运营要求 11.1一级能力要求 11.2二级能力要求 11.3三级能力要求
T/CAT1S 028-2024 附录A(资料性)零信任能力成熟度评估流程和模型使用方法 18 附录B(资料性)一级零信任能力评估方法 20 附录C(资料性)二级零信任能力评估方法, 25 附录D(资料性)三级零信任能力评估方法 32 II
T/CATISO28-2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草.
请注意本文件中的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国服务贸易协会信息技术服务委员会提出.
本文件由中国服务贸易协会归口.
本文件起草单位:深圳竹云科技股份有限公司、中国服务贸易协会信息技术服务委员会、国家计 算机网络应急技术处理协调中心、中国石油化工集团有限公司、中国海洋石油集团有限公司、中国有 色矿业集团有限公司、石化盈科信息技术有限责任公司、华为技术有限公司、中国电信集团有限公司、 中国软件评测中心、广州市信息安全测评中心、中国石化集团共享服务有限公司、北京华科软科技有 限公司、国新数据有限责任公司、中电云计算技术有限公司、广州越秀集团股份有限公司、中能建数 字科技集团有限公司、广州蓬勃教育科技有限公司、国家体育总局体育彩票管理中心.
本文件主要起草人:谢坚、陈世俊、黄超、赵洪岩、王同良、刘阳、王庆、黄喆磊、杨宇帆、敖 玉冷、景志尧、李想、杨少兵、张婷婷、陈昱翰、周润松、徐超、向辉、韩世聪、陈源、李云志、万 民、刘延鹏、麻恒瑞、史鉴、廖均龙、张宁、曾志刚.
IⅡ1
T/CAT1S 028-2024 零信任能力成熟度模型 1范围 本文件确立了组织机构零信任能力的成熟度模型架构,规定了各级别的能力要求,提供了各级别 的能力评估流程和方法.
本文件适用于对组织机构零信任能力进行评估,以及作为组织机构开展零信任能力建设时的依据.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB/T43696-2024信息安全技术零信任参考体系架构 3术语、定义和缩略语 3.1术语和定义 GB/T43696-2024界定的以及下列术语和定义适用于本文件.
3. 1. 1 零信任zero trust;ZT 一种以资源保护为核心的网络安全理念.
认为对资源的访问,无论主体和资源是否可信,主体和 资源之间的信任关系都需要从零开始,通过持续环境感知与动态信任评估进行构建,从而实施访问控 制.
3. 1. 2 零信任能力zero trustcapability 基于零信任在身份、设备、网络、应用、数据等方面对资源的安全保障能力.
3.2缩略语 下列缩略语适用于本文件.
API:应用程序接口(application programing interface) DevSecOps:开发安全运营(Development、Security、Operations) PKI:公钥基础设施(Public Key Infrastructure)
