信创安全成熟度评估模型探索

一、引言

信创产业发展在国家信息安全保障、IT 技术自主可控和数字经济高质量发展三个维度具有战略意义。但是在企业实施信创替代过程中依然存在着较大的安全风险。在新技术架构下，如何发现、识别信创产品漏洞，更好的规避因信创技术更新迭代等工作带来的风险，这就需要各企业进行结构化的分析、评估，在实施信创替代过程中充分考虑综合技术适配性、合规要求及新型风险特征。因此，构建信创安全成熟度评估模型，支撑企业开展信创替代安全评估与实施漏洞完善有着极其重要的作用和意义。

二、安全成熟度评估模型在信创替代中的重要性

安全成熟度评估模型在信创替代过程中是不可或缺的工具，其重要性主要体现是通过评估模型建立复杂风险谱系，包括技术适配风险中可能出现的国产芯片与操作系统兼容性漏洞以及外设驱动缺失问题，供应链风险中需要量化评估的关键元器件国产化率缺口与供应链断供可能性，以及数据迁移风险中验证数据完整性并识别敏感数据泄露隐患。

安全成熟度评估模型通过系统化、量化的方法，将信创替代从被动应对转为主动防控，成为保障替代工程成功实施及维护国家信息主权的核心防线。

三、信创安全成熟度评估模型构建

信创安全成熟度评估模型填补了企业信创领域安全量化评估的空白，能够精准识别企业安全防护的薄弱环节。其次，通过构建覆盖 " 芯片 - 硬件 - 软件 " 的全栈可信供应链体系，显著增强企业应对断供等突发风险的能力。最后，模型建立了 " 评估 - 改进 - 验证" 的闭环运行机制，形成持续优化的安全生态体系。同时，模型为企业数字化转型提供了从基础合规到价值创造的全方位解决方案。

信创安全成熟度评估模型以借鉴其它国建标准，融合 SSE-CMM 系统安全工程能力成熟度模型和 DSMM 数据安全能力成熟度模型，并根据行业特点定制扩展评估指标，通过能力诊断、组织架构搭建、制度规范制定、技术防护部署和持续优化改进五个阶段推进落地，重点平衡新创替代成本与安全风险控制，最终实现从基础合规到智能防控的能力跃迁。

信创安全成熟度评估模型在成熟度等级划分上参考 GB/T37988-2019，采用五级递进式架构，即初始级、可重复级、定义级、量化级和优化级。其中到定义级时，关键业务国产化率应 ⩾50% ，优化级的标准应可以主导行业标准制定，信创生态适配率 ⩾95% 。

评估框架基于‌战略治理、技术架构、运营管理、数据安全、生态协同‌五大维度，设置21 项量化指标：

实施路径上，信创安全成熟度评估需要分阶段系统推进。在基础框架搭建阶段，除评估工作外，还需建立三级治理架构，制定标准文档体系，为后续实施奠定组织基础。

技术落地实施阶段是核心环节。企业应优先推进核心系统的国产化替代，包括硬件设备和基础软件的替换，并部署符合国密标准的加密方案。同时要建立动态评估机制，通过定期演练和量化指标监控来确保安全措施的有效性。

持续优化阶段着重能力提升和标杆实践。通过引入自动化工具和新型安全架构降低运营成本，同时借鉴行业成功案例的经验。

通过实施路径采用 " 框架设计 - 技术落地 - 持续优化 " 的递进模式，建议企业根据自身信息化水平选择适配的建设节奏，优先确保核心系统达到行业标准要求。实施过程中需要特别注意国产化替代的技术兼容性和安全控制措施的经济性平衡。

四、结论与建议

随着信创产业从“可用”向“好用”阶段跨越，结合企业新创建设的不断推进，通过从战略治理、技术架构、运营管理、数据安全和生态协同五个维度进行企业信创环境安全评估，从而形成科学的、可量化、可落地的符合企业本身安全的评估模型，从而系统性的提升、完善企业在信创技术环境下的整体技术安全能力。

参考文献：

[1] 全国信息安全标准化技术委员会 .GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型[S].:中国标准出版社,2019.

[2] 国家市场监督管理总局 .GB/T 20261-2020 信息安全技术系统安全工程 能力成熟度模型[S]. : 中国标准出版社, 2020.

[3] 国家标准化管理委员会 . GB/T 41400-2022 信息安全技术工业控制系统信息安全防护能力成熟度模型 [S]. : 中国标准出版社 ,2022.