《证券期货业网络安全能力成熟度模型》（征求意见稿）解读

2025年6月27日，证标委就金融行业标准《证券期货业网络安全能力成熟度模型》（征求意见稿）公开征求意见。

标准适用范围：《证券期货业网络安全能力成熟度模型》（以下简称《成熟度模型》）规定了证券期货业网络安全能力成熟度模型，规定了攻击预防能力、安全加固能力、事件检测能力、事件响应能力、诱捕溯源能力、关联分析能力、安全运营能力和人员管理能力的成熟度等级要求，提出了能力成熟度等级核验方法，适用于证券期货行业机构进行实战化网络安全防护能力评估，也可作为行业机构开展网络安全防护能力建设时的依据。

标准起草单位：郑州商品交易所、上海证券交易所、深圳证券交易所、中证信息技术服务有限责任公司、中信建投证券股份有限公司、国金证券股份有限公司、北京长亭科技有限公司、国泰君安期货有限公司、华安基金管理有限公司。

《成熟度模型》主要内容

▽01标准出台背景及意义

随着证券期货业信息化建设的深入推进，云计算与大数据等技术的广泛应用，系统边界模糊、数据交互增多、数据集中化现象日趋凸显，信息安全问题也日趋复杂。传统安全问题如网络钓鱼、病毒木马等屡见不鲜，新型安全问题如数据泄露、勒索软件等层出不穷，促使行业机构重新审视网络安全问题。证券期货业作为信息化程度较高的行业，对信息系统可靠性有极高的要求，核心系统仅支持通过专线访问，互联网暴露面较少。基于证券期货业网络安全建设特点，传统网络安全评估服务难以真实有效的发现安全建设的薄弱环节，在此基础上进行的安全投入收效甚微。因此，行业亟需一套能够立足于信息技术安全能力建设全过程的高弹性、可扩展、可度量的信息技术安全能力评估标准，识别当前信息技术安全能力建设的薄弱环节，指导网络安全防护能力建设，保证安全投入的有效性和持续性。

02标准主要内容

1.证券期货业网络安全能力成熟度模型架构

图1：证券期货业网络安全能力成熟度模型 SFI-CSMM 架构图

SFI-CSMM模型的架构由以下三个维度构成：

图2：SFI-CSMM 架构图三维度

2.能力成熟度等级维度

行业机构网络安全能力成熟度共分为五级，各等级特征见表1。

表1：网络安全能力成熟度等级特征

3.安全能力维度

通过对行业机构在网络安全过程中应具备安全能力的量化，进而评估机构网络安全过程的实现能力，具体包括四个方面：

图3：4个安全能力维度

4.安全过程维度

图4：证券期货业网络安全能力成熟度模型

《证券期货业网络安全能力成熟度模型》参考 CMM 的能力成熟度设计，彻底从业务侧解耦合并进行接口化设计，使能力单元和流程的扩展、删除变得更加便利。模型的主要部件由8个基本能力域和40个能力子域构成。安全过程是围绕网络安全生命周期的过程管控，具体分为以下八个方面：攻击预防、安全加固、事件检测、事件响应、诱捕溯源、关联分析、安全运营、人员管理。标准针对每个能力子域从人员配置、职责、技能意识层面和机制/流程、执行策略建设层面详细说明所需达到的具体目标。

表2：8个安全过程维度

5.网络安全能力成熟度评估程序与方法

图5：评估流程示意图示例