能力成熟度域包括什么

能力成熟度域包括：

• 風險管理域：建立、操作與維護風險管理程序，可以及時識別、分析和轉移包括組織的業務單元、分支機構、相關基礎設施和股東等承受的風險。風險管理域包含3個關鍵目標：構建網絡安全風險戰略、管理網絡安全風險和該域的活動管理。

• 資產變更與配置管理域：管理組織運營技術（OT）與信息技術（IT）的資產，包括軟硬件資產、關鍵基礎設施的風險和組織目標。資產變更與配置管理域包含4個關鍵目標：資產庫管理、資產配置管理、資產變更管理和活動管理。

• 身份識別與訪問控制管理域：創建并管理可授權的實體身份信息，使其通過授權可以邏輯訪問或者物理訪問組織資產。對于組織資產的訪問控制，其與組織目標和關鍵基礎設施所面臨的風險一致。身份識別與訪問控制管理域包含3個關鍵目標：建立并維護身份信息、訪問控制和該域的活動管理。

• 威脅與脆弱性管理域：建立并維護網絡安全威脅和脆弱性的檢測、識別、分析，以及響應閉環管理的計劃、程序和措施，保持與組織目標和關鍵基礎設施面臨的風險一致。威脅與脆弱性管理域包含3個關鍵目標：威脅的識別與響應、減少網絡安全脆弱性和該域的活動管理。

• 態勢感知域：建立并維護用于電力系統信息與網絡安全信息的采集、分析、告警、展示與使用的活動和技術，包括來自其他模型域的狀態與匯總信息，形成通用操作圖。操作圖應與組織目標以及關鍵基礎設施所面臨的風險保持一致。態勢感知域由4個關鍵目標組成：記錄日志、監控功能、建立并維護通用操作圖和該域的活動管理。

• 信息共享與溝通域：建立并維護組織內外部實體之間收集與提供網絡安全信息的關系，包括威脅和漏洞，以減少組織風險并提升可操作的靈活性，應與組織目標以及關鍵基礎設施面臨的風險保持一致。信息共享與溝通域由2個關鍵目標組成：共享網絡安全信息和該域的活動管理。

• 事件響應與持續運營域：建立并維護用于網絡安全事件的檢測、分析和響應機制，維持整個網絡安全事件的生命周期。應與組織目標以及組織關鍵基礎設施所面臨的風險保持一致。該域由2個關鍵目標組成：共享網絡安全信息和該域的活動管理。

• 供應鏈管理域：建立并維護依賴外部實體的服務和資產的網絡安全風險控制措施。供應鏈管理域應與組織目標以及關鍵基礎設施所面臨的風險保持一致，該域由3個關鍵目標組成：識別外部依賴關系、管理外部依賴的風險和該域的活動管理。

• 人員管理域：建立并維護一套創建網絡安全文化的措施，以確保人員的穩定與能力水平。人員管理域應與組織目標及關鍵基礎設施所面臨的風險保持一致，該域由5個關鍵目標組成：分配網絡安全職責、安全人員管理、網絡安全人力發展、網絡安全意識提升和該域的活動管理。

• 網絡安全程序管理域：建立并維護一套網絡安全程序，以提供監管、戰略計劃以及與關鍵基礎設施所面臨的風險和網絡安全目標一致的網絡安全活動。該域由5個關鍵目標組成：建立網絡安全程序戰略、網絡安全程序支持、建立維護網絡安全架構、執行安全軟件開發和該域的活動管理。