中華人民共和國工業和信息化部公告2023年第17號文件正式發布行業標準：YD/T 4208-2023《面向云計算的安全運營中心能力要求》，并于2023年11月1日正式施行。

中國信通院于2019年開始牽頭制定YD/T 4208-2023《面向云計算的安全運營中心能力要求》行業標準，在標準制定的過程中匯集大量來自云用戶、云廠商、安全廠商的專家建議與實踐經驗，齊聚行業智慧完成了標準的制定。

標準介紹

本標準通過對三個維度的梳理，規范了維護企業云上安全的安全運營中心應具備的能力。一是平臺能力要求，通過充分識別平臺在進行安全運營時的核心功能，形成九個能力域，通過保證企業云上資產的可見可控、避免數據孤島產生、快速聯動響應等方式，提高企業云上資產的安全性；二是人員能力要求，將安全團隊工作根據事前預防、事中響應、事后溯源進行劃分，力求既能充分發揮安全工具能力，又能不完全依賴工具進行獨立安全分析；三是運營能力要求，一方面對安全運營工作進行量化管理，使安全運營能力螺旋式上升，另一方面通過文件化流程管理提高安全運營工作的系統性與可追溯性。

面向云計算的安全運營中心能力要求架構圖

第七批安全運營中心評估持續進行中

中國信通院將依據標準繼續開展第七批安全運營中心評估，旨在規范行業發展，為安全運營產品的提供者提出要求，也為安全運營產品的使用者提供選型參考。

后續工作規劃

中國信通院將持續深耕云上安全領域，跟蹤云安全前沿技術，分析云上安全態勢，基于已有工作開展企業云上安全運營成熟度研究，通過將云上安全運營分過程進行分解，抽象剝離出不同等級的主要目標與核心能力，為企業云上安全運營體系建設指明方向，持續推動云計算行業健康平穩發展。

安全運營成熟度模型架構圖

來源：安全內參