T/CATIS 028-2024 零信任能力成熟度模型

ICS 35.080
CCS L 77
团体标准
T/CATIS 028—2024
零信任能力成熟度模型
Zero trust capability maturity model
2024 - 12 - 24 发布2025 - 01 - 01 实施
中国服务贸易协会发布

目 次
前 言............................................................................ III
1 范围................................................................................ 1
2 规范性引用文件...................................................................... 1
3 术语、定义和缩略语.................................................................. 1
4 概述................................................................................ 2
5 零信任身份要求...................................................................... 3
5.1 一级能力要求...................................................................... 3
5.2 二级能力要求...................................................................... 3
5.3 三级能力要求...................................................................... 4
6 零信任设备要求...................................................................... 5
6.1 一级能力要求...................................................................... 5
6.2 二级能力要求...................................................................... 6
6.3 三级能力要求...................................................................... 6
7 零信任网络要求...................................................................... 7
7.1 一级能力要求...................................................................... 7
7.2 二级能力要求...................................................................... 8
7.3 三级能力要求...................................................................... 8
8 零信任应用和工作负载要求............................................................ 9
8.1 一级能力要求...................................................................... 9
8.2 二级能力要求..................................................................... 10
8.3 三级能力要求..................................................................... 10
9 零信任数据要求..................................................................... 11
9.1 一级能力要求..................................................................... 11
9.2 二级能力要求..................................................................... 12
9.3 三级能力要求..................................................................... 13
10 零信任可视化和分析要求............................................................ 14
10.1 一级能力要求.................................................................... 14
10.2 二级能力要求.................................................................... 14
10.3 三级能力要求.................................................................... 15
11 零信任自动化编排和安全运营要求.................................................... 16
11.1 一级能力要求.................................................................... 16
11.2 二级能力要求.................................................................... 17
11.3 三级能力要求.................................................................... 17
T/CATIS 028—2024
II
附录A （资料性） 零信任能力成熟度评估流程和模型使用方法......................... 18
附录B （资料性） 一级零信任能力评估方法......................................... 20
附录C （资料性） 二级零信任能力评估方法......................................... 25
附录D （资料性） 三级零信任能力评估方法......................................... 32
T/CATIS 028—2024
III
前 言
本文件按照GB/T 1.1—2020 《标准化工作导则第1 部分：标准化文件的结构和起草规则》的规
定起草。
请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国服务贸易协会信息技术服务委员会提出。
本文件由中国服务贸易协会归口。
本文件起草单位： 深圳竹云科技股份有限公司、中国服务贸易协会信息技术服务委员会、国家计
算机网络应急技术处理协调中心、中国石油化工集团有限公司、中国海洋石油集团有限公司、中国有
色矿业集团有限公司、石化盈科信息技术有限责任公司、华为技术有限公司、中国电信集团有限公司、
中国软件评测中心、广州市信息安全测评中心、中国石化集团共享服务有限公司、北京华科软科技有
限公司、国新数据有限责任公司、中电云计算技术有限公司、广州越秀集团股份有限公司、中能建数
字科技集团有限公司、广州蓬勃教育科技有限公司、国家体育总局体育彩票管理中心。
本文件主要起草人：谢坚、陈世俊、黄超、赵洪岩、王同良、刘阳、王庆、黄喆磊、杨宇帆、敖
玉泠、景志尧、李想、杨少兵、张婷婷、陈昱翰、周润松、徐超、向辉、韩世聪、陈源、李云志、万
民、刘延鹏、麻恒瑞、史鉴、廖均龙、张宁、曾志刚。
T/CATIS 028—2024
1
零信任能力成熟度模型
1 范围
本文件确立了组织机构零信任能力的成熟度模型架构，规定了各级别的能力要求，提供了各级别
的能力评估流程和方法。
本文件适用于对组织机构零信任能力进行评估，以及作为组织机构开展零信任能力建设时的依据。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文
件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适
用于本文件。
GB/T 43696—2024 信息安全技术零信任参考体系架构
3 术语、定义和缩略语
3.1 术语和定义
GB/T 43696—2024 界定的以及下列术语和定义适用于本文件。
3.1.1
零信任zero trust；ZT
一种以资源保护为核心的网络安全理念。认为对资源的访问，无论主体和资源是否可信，主体和
资源之间的信任关系都需要从零开始，通过持续环境感知与动态信任评估进行构建，从而实施访问控
制。
3.1.2
零信任能力zero trust capability
基于零信任在身份、设备、网络、应用、数据等方面对资源的安全保障能力。
3.2 缩略语
下列缩略语适用于本文件。
API：应用程序接口（application programing interface）
DevSecOps：开发安全运营（Development、Security、Operations）
PKI：公钥基础设施（Public Key Infrastructure）
T/CATIS 028—2024
2
4 概述
本文件依据资源保护为核心的网络安全理念，将零信任能力分为三个等级，从低到高依次是一级、
二级和三级，其中一级要求主要体现基础能力的实现，二级要求主要体现工具化使用及自动化处理，
三级要求主要体现通过智能化手段实现动态管理和处置能力。一二三级的零信任能力要求包括身份、
设备、网络、应用和工作负载、数据、可视化和分析、自动化编排和安全运营七个方面共33 个部分，
如图1 所示。第5 章到第11 章分别规定了七个方面的能力部分，以及一级、二级和三级零信任能力要
求，高级别在低级别的基础上提出增强要求或新的要求。
图1 零信任能力成熟度模型
零信任身份要求是基于身份信息持续地进行身份的验证、访问控制和行为管理，以管理用户的授
权、访问和特权。身份信息包括的用户、设备、软件应用、系统等对象的自然属性信息、身份鉴别属
性信息、访问行为属性信息等。
零信任设备要求是了解设备的健康状况和状态，实时检查、评估和修补设备问题，为风险决策提
供信息。
零信任网络要求是使用动态的、细粒度的策略和访问控制来分段、隔离和控制（物理上的和逻辑
上的）网络环境。
零信任应用和工作负载要求是保护从应用程序开发到管理程序的一切安全，也包括容器和虚拟机
的保护。
零信任数据要求是零信任所指数据包括由企业信息基础设施、业务应用系统所承载的各类数据，
含业务数据和系统数据等。
零信任可视化和分析要求是分析事件、活动和行为，以推导上下文，并应用智能化手段来实现高
度个性化的模型，从而提高实时访问决策时的检测和反应时间。
T/CATIS 028—2024
3
零信任自动化编排和安全运营要求是基于智能手段自动安全响应，辅助安全运营流程和应急响应
流程落地。
零信任能力成熟度评估根据被评估组织机构申请的能力级别，按照相应级别的零信任能力要求进
行评估。附录A 给出了整体评估流程和零信任能力成熟度模型使用方法。一级、二级和三级零信任能
力各项要求的评估方法见附录B、附录C 和附录D。
5 零信任身份要求
5.1 一级能力要求
5.1.1 身份目录
身份目录要求如下（包括但不限于）：
具有针对特定系统的业务应用的身份目录，包括内外部用户和特权用户的身份信息。
5.1.2 受限用户访问
受限用户访问要求如下（包括但不限于）：
基于身份目录，通过预定义的访问控制规则，授权和控制用户的访问，并遵循最小权限原则。
5.1.3 多因素认证
多因素认证要求如下（包括但不限于）：
基于身份目录，针对特定系统的业务应用的用户认证时，采用两种不同因素的认证方式。
5.1.4 用户行为和情境
用户行为和情境要求如下（包括但不限于）：
收集整理特定系统的基本的用户行为和情境信息。
5.1.5 持续认证
持续认证要求如下（包括但不限于）：
基于身份目录，针对特定系统的跨业务应用的会话中，进行单次认证。
5.1.6 证书管理
证书管理要求如下（包括但不限于）：
针对特定系统的数字证书使用和维护。
5.2 二级能力要求
5.2.1 身份目录
身份目录要求如下（包括但不限于）：
a) 建立企业范围内统一的身份目录，目录中包括用户、应用、系统和设备等身份信息；
b) 支持与其他系统的身份联动管理和用户联邦认证；
c) 通过工具维护身份目录。
T/CATIS 028—2024
4
5.2.2 受限用户访问
受限用户访问要求（包括但不限于）：
基于身份目录，通过工具自动化维护访问控制规则、用户访问以及管理特权用户访问，并遵循最
小权限原则。
5.2.3 多因素认证
多因素认证要求如下（包括但不限于）：
a) 基于身份目录，对企业范围内各系统进行用户认证时，采用至少两种不同的认证方式；
b) 通过工具自动化维护认证方式，以及用户认证。
5.2.4 用户行为和情境
用户行为和情境要求如下（包括但不限于）：
a) 通过工具自动化采集企业范围内系统的全面的用户行为和情境信息；
b) 通过工具自动化识别用户访问行为和情境信息，为用户访问行为风险评估提供支持。
5.2.5 持续认证
持续认证要求如下（包括但不限于）：
a) 基于身份目录，对企业范围内跨业务应用的会话中，进行触发式多次认证；
b) 基于身份目录，通过工具自动化周期性认证。
5.2.6 证书管理
证书管理要求如下（包括但不限于）：
a) 具有企业范围内的公钥基础设施（PKI）系统；
b) PKI 系统中包含企业范围内各系统的用户数字证书信息，以及非用户实体数字证书信息；
c) 与多因素认证工具集成，提供数字证书认证方式。
5.3 三级能力要求
5.3.1 身份目录
身份目录要求如下（包括但不限于）：
a) 建立企业范围内统一的身份目录，目录中包括用户、应用、系统和设备等身份信息；
b) 支持与其他系统的身份联合管理和用户联邦认证；
c) 通过工具自动化维护身份目录和全生命周期管理；
d) 持续更新身份目录中用户属性信息，以支持更多、更新的身份认证和授权相关功能的需要。
5.3.2 受限用户访问
受限用户访问要求如下（包括但不限于）：
a) 基于身份目录，通过工具自动化维护访问授权规则、用户访问以及管理特权用户访问，并遵循
最小权限原则；
T/CATIS 028—2024
5
b) 基于人工智能技术，智能化用户访问。
5.3.3 多因素认证
多因素认证要求如下（包括但不限于）：
a) 基于身份目录，对企业范围内各系统进行用户认证时，采用至少两种不同的认证方式；
b) 通过工具自动化维护认证方式和用户认证；
c) 持续更新认证方式，以支持更多、更新的多因素认证。
5.3.4 用户行为和情境
用户行为和情境要求如下（包括但不限于）：
a) 通过工具自动化采集企业范围内系统的全面的用户行为和情境信息；
b) 通过工具自动化识别用户行为和情境信息，为用户访问行为风险评估提供决策支持；
c) 基于人工智能技术，智能化识别用户行为和情境。
5.3.5 持续认证
持续认证要求如下（包括但不限于）：
a) 基于身份目录，对企业范围内各系统所产生的事务，按照安全要求进行持续认证；
b) 通过工具自动化持续认证能力。
5.3.6 证书管理
证书管理要求如下（包括但不限于）：
a) 具有企业范围内的公钥基础设施（PKI）系统；
b) PKI 系统中包含企业范围内各系统的用户数字证书信息，以及非用户实体数字证书信息；
c) 与多因素认证工具集成，提供数字证书认证方式；
d) PKI 系统支持包含用户的生物特征信息。
6 零信任设备要求
6.1 一级能力要求
6.1.1 设备目录管理
设备目录管路要求如下（包括但不限于）：
具备允许访问网络的特定设备基础信息目录，包括硬件配置信息等。
6.1.2 统一端点管理和移动设备管理
统一端点管理和移动设备管理如下（包括但不限于）：
a) 基于设备目录，具备对特定端点设备和移动设备的统一管理和防病毒管理；
b) 具备远程推送和执行基本的安全策略能力，如用户认证要求、软件安装限制等；
c) 具备基础的安全访问控制策略，对所有访问网络的办公设备安全检测，只对通过检测的设备赋
予授权访问能力。
T/CATIS 028—2024
6
6.1.3 设备检测和合规
设备检测和合规要求如下（包括但不限于）：
a) 具备访问网络的关键设备合规检测机制；
b) 通过手动对访问网络的关键设备进行合规检测和审计；
c) 通过检测与响应工具对关键设备进行自动化的检测与响应，包括发现、分析以及补救等。
6.1.4 设备漏洞和补丁管理
设备漏洞和补丁管理要求如下（包括但不限于）：
a) 针对特定的关键设备，通过手动下载、测试和部署的已知漏洞补丁；
b) 通过手动输出简单的风险记录和报告。
6.2 二级能力要求
6.2.1 设备目录管理
设备目录管理要求如下（包括但不限于）：
a) 具备允许访问网络的企业范围内业务对应设备详细信息目录，包括硬件配置信息、操作系统环
境信息、设备运行状态信息及设备关系绑定信息等；
b) 通过工具自动化维护设备可信目录。
6.2.2 统一端点管理和移动设备管理
统一端点管理和移动设备管理如下（包括但不限于）：
a) 基于设备目录，具备对企业范围内端点设备和移动设备的统一管理和防病毒；
b) 具备远程推送和执行基本的安全策略能力，如用户认证要求、软件安装限制等；
c) 具备进阶的安全访问控制策略，集成合规检测工具，识别设备异常活动，对所有访问网络的设
备进行安全检测，只对通过检测的设备赋予授权访问能力。
6.2.3 设备检测和合规
设备检测和合规要求如下（包括但不限于）：
a) 按照国家对设备安全规范和标准，建立统一的设备合规机制；
b) 通过合规检测工具对所有访问网络的设备进行合规检测、统一调度、审计及响应处理；
c) 通过检测与响应工具对访问网络的设备进行自动化的检测与响应，包括发现、分析以及补救等。
6.2.4 设备漏洞和补丁管理
设备漏洞和补丁管理要求如下（包括但不限于）：
a) 具备对所有访问网络的设备进行定期自动化的漏洞扫描和风险评估能力；
b) 具备自动输出风险评估报告，制定补丁优先级部署计划，自动化或半自动下载、测试和部署漏
洞补丁管理能力。
6.3 三级能力要求
6.3.1 设备目录管理
T/CATIS 028—2024
7
设备目录管理要求如下（包括但不限于）：
a) 具备允许访问企业范围内业务对应设备详细信息目录，包括硬件配置信息、操作系统环境信息、
设备运行状态信息及设备关系绑定信息等；
b) 通过工具自动化维护设备可信目录；
c) 持续更新可信目录中设备的信息，以支持更多的零信任终端安全相关功能的需要。
6.3.2 统一端点管理和移动设备管理
统一端点管理和移动设备管理如下（包括但不限于）：
a) 基于设备目录，具备对企业范围内端点设备和移动设备的统一管理和防病毒；
b) 具备远程推送和执行基本的安全策略能力，如用户认证要求、软件安装限制等；
c) 具备安全访问控制策略，集成PKI 系统和检测与响应工具等，对设备进行自动化风险综合评估
和安全检测，只对通过检测的设备赋予授权访问能力；
d) 基于人工智能技术，智能化持续评估，结合合规检测、漏洞补丁管理工具，对可信目录的设备
进行终端安全保护。
6.3.3 设备检测和合规
设备检测和合规要求如下（包括但不限于）：
a) 按照企业对设备安全规范和标准，建立统一的设备合规机制；
b) 集成基础和扩展设备工具，对所有访问网络的自带、办公、物联网等设备进行较全面的检测、
统一调度、审计及响应处理；
c) 基于人工智能技术，进行智能化的合规检测，引入扩展检测与响应工具对关键设备、网络、云
应用程序等进行跨多个安全领域自动化的检测与响应，包括发现、分析以及补救等。
6.3.4 设备漏洞和补丁管理
设备漏洞和补丁管理要求如下（包括但不限于）：
a) 具备对所有访问网络的设备进行持续自动化的漏洞扫描和风险评估；
b) 具备集成威胁情报工具，自动输出风险评估报告，制定补丁优先级部署计划，全自动化下载、
测试、部署和验证漏洞补丁管理能力；
c) 基于人工智能技术，进行智能化的漏洞和补丁维护管理。
7 零信任网络要求
7.1 一级能力要求
7.1.1 数据流映射
数据流映射要求如下（包括并不限于）：
具备收集和映射特定系统数据和资产相关的网络流量数据流。
7.1.2 分段控制
T/CATIS 028—2024
8
分段控制要求如下（包括并不限于）：
a) 具备对特定系统资源进行逻辑分段能力， 限制所访问资源之间的横向移动，分离不同层级的
应用程序和分离生产与非生产等环境或按物理位置；
b) 根据其虚拟化或云环境中的身份和应用程序访问定义和控制网络分段。
7.1.3 软件定义网络
软件定义网络要求如下（包括并不限于）：
a) 基于数据流映射，落地针对特定系统网络设备采集、登记并管理；
b) 具备数据流分段控制、管理和数据平面分离，通过控制器实现对网络的灵活控制和管理。
7.2 二级能力要求
7.2.1 数据流映射
数据流映射要求如下（包括并不限于）：
a) 具备收集、映射和可视化数据、资产、API 接口等的网络流量数据流；
b) 为数据流定义细粒度控制访问规则和策略并部署到现有网络技术中；
c) 利用数据标记和分类标准定义细粒度控制访问规则和策略。
7.2.2 分段控制
分段控制要求如下（包括并不限于）：
a) 具备对全网资源进行逻辑分段能力， 限制所访问资源之间的横向移动，分离用户与应用程序、
分离不同层级的应用程序，分离生产与非生产等环境或按物理位置；
b) 根据虚拟化或云环境中的数据流和应用网络进行定义和控制网络分段。
7.2.3 软件定义网络
软件定义网络要求如下（包括并不限于）：
a) 基于数据流映射，落地业务对应网络资产发现、登记、管理相关能力；
b) 具备数据流分段控制、管理和数据平面分离，通过动态控制器实现对网络的控制和管理；
c) 定义API 决策点并落地可编程基础设施，可根据数据流控制策略，定义网络控制决策点并控制。
7.3 三级能力要求
7.3.1 数据流映射
数据流映射要求如下（包括并不限于）：
a) 具备收集、映射和可视化数据、资产、API 接口、服务等的网络流量数据流；
b) 为数据流定义细粒度控制访问规则和策略并部署到现有网络技术中；
c) 利用数据标记和分类标准定义细粒度控制访问规则和策略来开发用于API；
d) 智能化识别数据量数据，根据数据内容动态增加识别与操作规则和策略。
7.3.2 分段控制
T/CATIS 028—2024
9
分段控制要求如下（包括并不限于）：
a) 具备对新增资源自动化进行逻辑分段能力，限制所访问资源之间的横向移动，分离不同层级的
应用程序、分离用户与应用程序、分离生产与非生产等环境或按物理位置；
b) 具备在企业范围内网络上的数据、资产、API 和服务等之间分段能力；
c) 使用智能化手段通过编程方法应用分段策略的更改，强制对分段内的横向移动进行精细控制。
7.3.3 软件定义网络
软件定义网络要求如下（包括并不限于）：
a) 基于数据流映射，落地全网网络资产发现、登记、可视化管理相关能力；
b) 具备流分段控制、管理和数据平面分离，通过动态控制器实现对网络的灵活控制和管理；
c) 定义API 决策点并落地可编程基础设施，可根据数据流控制策略，动态定义网络控制决策点并
控制；
d) 对网络流量进行集中监控和管理，具备自动化、编排和可编程性，落地动态策略更新功能。
8 零信任应用和工作负载要求
8.1 一级能力要求
8.1.1 应用目录
应用目录要求如下（包括但不限于）：
建立特定应用程序目录。
8.1.2 安全软件开发与集成
安全软件开发于集成要求如下（包括但不限于）：
a) 基于应用目录，落地应用程序代码审查、运行时保护和安全API 网关等控制措施；
b) 根据组织机构的要求（政策、技术和流程）在应用上线前，完成静态应用安全测试。
8.1.3 软件供应链安全管理
软件供应链安全管理要求如下（包括但不限于）：
基于应用目录，建立特定应用程序的供应链风险管理。
8.1.4 资源授权与整合
资源授权于整合要求如下（包括但不限于）：
a) 基于应用目录，审查用户、设备和应用程序安全状况；
b) 基于管理流程对访问进行授权、核验、删除授权等定期审核。
8.1.5 持续监测和授权
持续检测和授权要求如下（包括但不限于）：
a) 基于应用目录，针对应用程序用自动化工具和流程持续检测；
b) 基于应用目录，通过工具对应用程序评估进行授权。
T/CATIS 028—2024
10
8.2 二级能力要求
8.2.1 应用目录
应用目录要求如下（包括但不限于）：
建立企业范围内的所有生产应用程序和其他形态的应用目录。
8.2.2 安全软件开发与集成
安全软件开发于集成要求如下（包括但不限于）：
a) 基于应用目录，落地应用程序代码审查、运行时保护和安全API 网关等控制措施均已集成并实
现自动化；
b) 定制软件开发团队使用DevSecOps 根据组织机构的要求（政策、技术和流程）在应用上线前，
完成静态应用安全测试、动态应用安全测试。
8.2.3 软件供应链安全管理
软件供应链安全管理要求如下（包括但不限于）：
基于应用目录，通过工具建立企业范围内应用程序的供应链风险管理。
8.2.4 资源授权与整合
资源授权于整合要求如下（包括但不限于）：
a) 基于应用目录，建立基于应用API 授权网关，采用风险方法审查用户、设备和应用程序的授权
和安全状况；
b) 采用编程方法，基于风险对访问进行授权、持续核验、删除授权的能力。
8.2.5 持续监测和授权
持续检测和授权要求如下（包括但不限于）：
a) 基于应用目录，针对应用程序和云服务等内容采用自动化工具和流程持续检测；
b) 基于应用目录，通过工具对身份和应用程序评估进行授权。
8.3 三级能力要求
8.3.1 应用目录
应用目录要求如下（包括但不限于）：
a) 建立企业范围内的所有业务应用程序和其他形态的应用目录；
b) 具备应用程序发现和管理的工具，包括应用分类、清点和管理组织机构资产的能力。
8.3.2 安全软件开发与集成
安全软件开发于集成要求如下（包括但不限于）：
a) 基于应用目录，落地应用程序的代码审查、运行时保护、安全API 网关、容器和服务器安全等
控制措施均已集成并实现自动化；
T/CATIS 028—2024
11
b) 定制软件开发团队使用DevSecOps 根据组织机构的要求（政策、技术和流程）在应用上线前，
完成静态应用安全测试、动态应用安全测试及交互式应用安全测试。
8.3.3 软件供应链安全管理
软件供应链安全管理要求如下（包括但不限于）：
a) 基于应用目录，通过工具建立应用程序和其他形态应用的供应链风险管理计划；
b) 具备基于智能化的监控手段，主动发现问题、发现潜在威胁、识别和跟踪风险、自动评估和推
荐可能的补救方法。
8.3.4 资源授权与整合
资源授权于整合要求如下（包括但不限于）：
a) 基于应用目录，建立基于标准化应用API 授权网关，采用风险方法审查用户、设备、应用程序
和数据的授权和安全状况；
b) 采用编程方法，基于风险对访问进行授权、持续核验、删除授权的能力。
8.3.5 持续监测和授权
持续检测和授权要求如下（包括但不限于）：
a) 基于应用目录，针对云工作负载、容器、应用程序、云服务或基础设施等内容采用自动化工具
和流程持续检测；
b) 基于应用目录，通过工具对身份、设备、应用程序评估进行授权。
9 零信任数据要求
9.1 一级能力要求
9.1.1 企业数据治理
企业数据治理要求如下（包括但不限于）：
具有针对特定系统的数据分类分级标记规范或指南。
9.1.2 数据资产目录管理
数据资产目录要求如下（包括但不限于）：
具有针对特定系统的特定类型数据的基本数据资产目录。
9.1.3 数据分类分级标记
数据分类分级标记要求如下（包括但不限于）：
手动标记数据分类分级的基本元数据（指对数据的描述信息，如数据安全级别，数据保密级别等）。
9.1.4 数据监测感知
数据检测感知要求如下（包括但不限于）：
对关键数据的文件操作行为进行监测。
T/CATIS 028—2024
12
9.1.5 数据加密和权限管理
数据加密和权限管理要求如下（包括但不限于）：
对关键数据的存储和传输进行加密处理。
9.1.6 数据丢失防护
数据丢失防护要求如下（包括但不限于）：
手动对关键数据的可疑泄露行为进行分析、拦截以及追溯。
9.1.7 数据访问控制
数据访问控制要求如下（包括但不限于）：
基于数据资产目录，通过手动配置关键数据的可访问路径，来控制数据的访问。
9.2 二级能力要求
9.2.1 企业数据治理
企业数据治理要求如下（包括但不限于）：
具有企业范围内统一的数据分类分级标记规范或指南。
9.2.2 数据资产目录管理
数据资产目录要求如下（包括但不限于）：
a) 按照企业的数据分类分级标记规范或指南，建立统一的数据资产目录；
b) 通过工具自动化维护数字资产目录。
9.2.3 数据分类分级标记
据分类分级标记要求如下（包括但不限于）：
a) 标记数据分类分级的基本元数据；
b) 标记数据分类分级的扩展元数据；
c) 通过工具自动化标记数据。
9.2.4 数据监测感知
数据检测感知要求如下（包括但不限于）：
a) 对所有分类分级数据的文件的操作行为进行监测；
b) 对关键数据的数据库的操作行为进行监测。
9.2.5 数据加密和权限管理
数据加密和权限管理要求如下（包括但不限于）：
a) 对所有分类分级数据的存储和传输进行了加密处理；
b) 基于数据资产目录，通过数据的权限管理工具，对数据进行自动化的加密保护。
9.2.6 数据丢失防护
T/CATIS 028—2024
13
数据丢失防护要求如下（包括但不限于）：
通过数据丢失防护工具，对关键数据进行自动化的丢失防护，包括分析、拦截以及追溯等。
9.2.7 数据访问控制
数据访问控制要求如下（包括但不限于）：
a) 基于数据资产目录，通过软件定义存储工具自动化配置关键数据的可访问路径，来控制数据
的访问；
b) 集成数据的权限管理、数据的丢失防护等工具，进行综合的数据访问控制。
9.3 三级能力要求
9.3.1 企业数据治理
企业数据治理要求如下（包括但不限于）：
具有企业范围内统一的数据安全治理政策或指南，全面涵盖数据分类分级、数据访问、数据存储
和数据丢失防护等重要内容。
9.3.2 数据资产目录管理
数据资产目录要求如下（包括但不限于）：
a) 按照企业的数据分类分级标记规范或指南，建立统一的数据资产目录；
b) 通过工具自动化维护数字资产目录；
c) 持续更新数字资产目录中数据的元数据信息，以支持更多、更新的数据安全相关功能的需要。
9.3.3 数据分类分级标记
数据分类分级标记要求如下（包括但不限于）：
a) 标记数据分类分级的基本元数据和扩展元数据；
b) 通过工具自动化标记数据；
c) 基于人工智能技术，智能化标记数据。
9.3.4 数据监测感知
数据检测感知要求如下（包括但不限于）：
a) 对所有分类分级数据的文件的操作行为进行监测；
b) 对关键数据的数据库的操作行为进行监测；
c) 对分类分级数据的所有活动进行综合监测。
9.3.5 数据加密和权限管理
数据加密和权限管理要求如下（包括但不限于）：
a) 对所有分类分级数据的存储和传输进行了加密处理；
b) 基于数据资产目录，通过数据的权限管理工具，对数据进行自动化的加密保护；
c) 持续更新数据加密算法和方法。
9.3.6 数据丢失防护
T/CATIS 028—2024
14
数据丢失防护要求如下（包括但不限于）：
a) 通过数据丢失防护工具，对关键数据进行自动化的丢失防护，包括分析、拦截以及追溯等；
b) 结合数据资产目录内容，基于人工智能技术，对关键数据进行智能化的丢失防护。
9.3.7 数据访问控制
数据访问控制要求如下（包括但不限于）：
a) 基于数据资产目录，通过软件定义存储工具自动化配置关键数据的可访问路径，来控制数据
的访问；
b) 集成数据的权限管理、数据的丢失防护等工具，进行综合的数据访问控制；
c) 结合数据资产目录内容，基于人工智能技术，进行智能化的数据访问控制。
10 零信任可视化和分析要求
10.1 一级能力要求
10.1.1 业务日志
业务日志要求如下（包括但不限于）：
具备采集特定业务日志，包括网络、应用程序、终端设备和身份日志，日志和事件遵循标准化格
式。
10.1.2 安全信息和事件管理
安全信息和事件管理要求如下（包括但不限于）：
在业务日志的基础上，采集安全运营中心的监控、检测和分析数据，并形成安全信息和事件管理。
10.1.3 常见的安全和风险分析
常见的安全和风险分析要求如下（包括但不限于）：
在业务日志的基础上，结合安全信息和事件进行分析。
10.1.4 用户和实体行为分析
用户和实体行为分析要求如下（包括但不限于）：
基于业务日志，以用户为中心识别用户实体的非法活动或恶意盗用威胁。
10.1.5 威胁情报集成
威胁情报集成要求如下（包括但不限于）：
具备获取内外部威胁情报能力。
10.1.6 威胁处置
威胁处置要求如下（包括但不限于）：
具备基于安全分析结果，威胁处置手段。
10.2 二级能力要求
T/CATIS 028—2024
15
10.2.1 业务日志
业务日志要求如下（包括但不限于）：
具备采集企业内业务日志，包括网络、数据、应用程序、设备和身份日志，日志和事件遵循标准
化格式展示。
10.2.2 安全信息和事件管理
安全信息和事件管理要求如下（包括但不限于）：
a) 在业务日志的基础上，采集网络防御服务、安全运营中心的监控、检测和分析数据，并将安
全信息和事件管理记录到工具中并展示；
b) 具备通过工具输出安全信息和事件报告能力并展示。
10.2.3 常见的安全和风险分析
常见的安全和风险分析要求如下（包括但不限于）：
在业务日志的基础上，结合安全信息和事件多种数据类型，通过工具形成跨多种技术产品的分析
功能并展示。
10.2.4 用户和实体行为分析
用户和实体行为分析要求如下（包括但不限于）：
基于业务日志，通过工具识别用户实体和非用户实体的非法活动、数据被盗及恶意使用威胁并展
示。
10.2.5 威胁情报集成
威胁情报集成要求如下（包括但不限于）：
a) 具备通过工具获取内外部威胁情报能力；
b) 具备通过工具与本地各类安全情报数据相结合，以实现风险预防和可见性。
10.2.6 威胁处置
威胁处置要求如下（包括但不限于）：
基于具备基于安全分析结果，通过工具联动各类安全处置工具。
10.3 三级能力要求
10.3.1 业务日志
业务日志要求如下（包括但不限于）：
a) 具备采集企业内所有业务日志，包括网络、数据、应用程序、设备和身份日志，日志和事件
遵循标准化格式，并根据需要制定规则分析展示；
b) 将这些日志提供给对应的网络防御服务或安全运营中心展示。
10.3.2 安全信息和事件管理
安全信息和事件管理要求如下（包括但不限于）：
T/CATIS 028—2024
16
a) 在业务日志的基础上，采集网络防御服务、安全运营中心的监控、检测和分析数据，并将安
全信息和事件管理记录到工具中并展示；
b) 根据用户和设备基线集成到工具中，根据基线形成告警级、报告及响应机制并展示。
10.3.3 常见的安全和风险分析
常见的安全和风险分析要求如下（包括但不限于）：
在业务日志的基础上，结合安全信息和事件多种数据类型，通过工具实现跨多种技术产品的分析
功能，安全威胁检测功能，实时展示功能。
10.3.4 用户和实体行为分析
用户和实体行为分析要求如下（包括但不限于）：
a) 基于业务日志，通过工具采用智能化手段识别用户实体和非用户实体的非法活动、数据被盗
及恶意使用威胁并展示；
b) 即时、按需的自动策略生成转变为持续更新的授权。
10.3.5 威胁情报集成
威胁情报集成要求如下（包括但不限于）：
a) 具备自动化方式实时获取内外部威胁情报能力；
b) 具备通过智能化手段与本地各类安全情报数据相结合，以实现最佳风险预防和可见性。
10.3.6 威胁处置
威胁处置要求如下（包括但不限于）：
使用智能化手段解决方案通过持续的安全态势监控、风险和信任评分以及自动补丁管理，动态地
自动更新安全配置文件和设备配置。
11 零信任自动化编排和安全运营要求
11.1 一级能力要求
11.1.1 策略判定组件和策略的编排
策略判定组件和策略的编排要求如下（包括但不限于）：
a) 具有针对特定系统的主要策略判定组件的统一策略目录；
b) 基于策略目录，手动编排策略到主要策略判定组件。
11.1.2 安全运营中心和应急响应
安全运营中心和应急响应要求如下（包括但不限于）：
a) 建有针对特定系统的安全运营中心，并由专门的团队来运营；
b) 安全运营中心运营团队的核心成员要符合国家的网络安全从业人员能力基本要求；
c) 针对普通安全事件，安全运营中心有基本的应急预案和响应流程。
T/CATIS 028—2024
17
11.2 二级能力要求
11.2.1 策略判定组件和策略的编排
策略判定组件和策略的编排要求如下（包括但不限于）：
a) 具有针对特定系统的所有策略判定组件的统一策略目录；
b) 通过工具自动化维护统一策略目录；
c) 基于策略目录，通过工具自动化编排策略到策略判定组件。
11.2.2 安全运营中心和应急响应
安全运营中心和应急响应要求如下（包括但不限于）：
a) 建有企业范围的安全运营中心，并由专门的团队来运营；
b) 安全运营中心运营团队成员均要符合国家的网络安全从业人员能力基本要求；
c) 针对普通和高等级安全事件，安全运营中心有完整的应急预案和响应流程；
d) 依托安全运营中心平台，基于机器人流程自动化技术，进行自动化的应急响应。
11.3 三级能力要求
11.3.1 策略判定组件和策略的编排
策略判定组件和策略的编排要求如下（包括但不限于）：
a) 具有企业范围内所有策略判定组件的统一策略目录；
b) 通过工具自动化维护统一策略目录；
c) 基于策略目录，通过工具自动化编排策略到策略判定组件；
d) 基于人工智能技术，智能化编排策略。
11.3.2 安全运营中心和应急响应
安全运营中心和应急响应要求如下（包括但不限于）：
a) 建有企业范围的安全运营中心，并由专门的团队来运营；
b) 安全运营中心运营团队成员均要符合国家的网络安全从业人员能力基本要求；
c) 针对普通和高等级安全事件，安全运营中心有完整的应急预案和响应流程；
d) 依托安全运营中心平台，基于机器人流程自动化技术，进行自动化的应急响应；
e) 依托安全运营中心平台，基于人工智能技术，进行智能化的应急响应。
T/CATIS 028—2024
18
附录A
（资料性）
零信任能力成熟度评估流程和
模型使用方法
A.1 概述
零信任能力成熟度的评估从身份、终端、网络、应用和工作负载、数据、可视化和分析、自动化
编排和安全运营7 个方面能力展开。通过对各项零信任能力的评估，可评估组织机构在零信任的实现
能力属于哪一等级。能力评估流程应包括评估准备、评估实施、评估结论、报告编制4 个阶段。
A.2 零信任能力成熟度评估流程
A.2.1 评估准备
开展零信任能力成熟度评估应做好准备工作，评估方应组建评估小组，评估小组根据被评估方申
请的能力级别，按照本文件规定的相应级别的零信任能力要求进行评估，准备评估文档材料、确定待
评估业务系统等；被评估方应派相关人员做好准备待审核的佐证文档资料等配合工作。
A.2.2 评估实施
在实施零信任能力评估时，评估小组根据被评估方申请评估的能力级别，采用适宜的评估方法进
行评估，评估方法见附录B、附录C 和附录D，包括查阅文档、现场查看、访谈问答、实际操作、应急
演练等。
a） 查阅文档：查阅零信任各能力方面的技术文档、验收报告、应急预案等相关文字、音像资料
和数据记录；
b） 现场查看：现场查看安全运营中心场所，零信任各能力方面的系统和设施；
c） 访谈问答：主要面向零信任架构人员、安全运营中心核心人员，了解其对本企业待评估业务
系统的零信任各能力方面的实际运营情况；
d） 实际操作：主要评估本企业安全运营中心工作人员对零信任各能力方面的系统工具的掌握程
度，以及这些系统带来的零信任安全实际效果；
e） 应急演练：主要通过进行应急演练抽查或观摩评估安全运营中心应急人员对应急工作流程和
应急工具的掌握程度。
A.2.3 评估结论
评估小组根据被评估方申请评估的零信任能力级别，对该级别的各项能力要求进行符合性判定，
每项能力要求的符合性判定结果都分为符合、部分符合和不符合。
评估小组应综合各项能力要求的符合性判定结果并进行分析后给出该级别的整体评估结论：
T/CATIS 028—2024
19
a） 优秀通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计超过总扩展
能力项数的一半；
b） 优良通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计不为零但未
达到总扩展能力项数的一半；
c） 基本通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计为零；
d） 不通过：关键能力要求存在部分符合项或不符合项。
当被评估方所申请能力级别的评估结论为通过时，被评估方可对部分符合项和不符合项进行整改。
再评估后均符合要求，则变更评估结论为合格。
A.2.4 报告编制
编写评估报告应全面反映评估过程的全部工作，提供评估佐证资料，给出评估结论。报告内容应
包括：
a） 编制依据；
b） 目的和适用范围；
c） 评估程序和方法；
d） 评估结果与分析；
e） 改进措施及建议；
f） 报告附件，包括评估过程中产生的数据、表格、图片和记录、评估过程中会议记录和评估意
见、其他必要说明等。
A.3 模型使用方法
模型将零信任能力从低到高分为一级、二级和三级，根据组织机构的关键业务系统的重要程度，
以及安全架构设计、建设的阶段和成效进行分级。
使用模型时，组织机构应首先选定其业务系统，然后明确该业务系统的零信任能力级别。从能力
建设的复杂性及难度考虑，通常建议从一级开始。
组织机构明确目标的零信任能力级别后，可以自行组织或请第三方机构进行零信任能力级别的预
评估，并在预评估的基础上进行相应的零信任安全能力的提升计划。组织机构在完成相应级别的零信
任能力提升工作后，再通过第三方机构进行零信任能力级别评估，并获得最终的能力认定。
T/CATIS 028—2024
20
附录B
（资料性）
一级零信任能力评估方法
一级零信任能力评估表如表B.1 所示，表中关键能力要求以★标记，扩展能力要求以☆标记，表
中评估方式参见附录A，包括查阅文档、现场查看、访谈问答、应急演练等。
表B.1 一级零信任能力评估表
能力要求评估方法评估方式类别标记是否符合
零信任身份
1.
用户
目录
5.1.1
1）查阅身份目录的工作文档，确认该目录客观存在，以
及目录内数据内容属于待评估业务系统；
2）访谈身份目录的维护人员，能应答目录的基本信息
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
2.
受限
用户
访问
5.1.2
1）访谈业务系统的维护人员，能应答对用户访问的控制
规则；
2）现场查看业务系统的维护人员操作受限用户访问
访谈问答
现场查看
★
□符合
□部分符合
□不符合
3.
多因素
认证
5.1.3
1）访谈业务系统的维护人员，能应答对业务应用的用户
认证方式；
2）现场查看业务系统的维护人员操作用户认证
访谈问答
现场查看
★
□符合
□部分符合
□不符合
4.
用户
行为
和
情境
5.1.4
1）现场查看收集整理的待评估业务系统的用户行为和情
境信息
现场查看★
□符合
□部分符合
□不符合
5.
持续
认证
5.1.5
1）现场查看待评估业务系统的业务应用的认证相关日志
信息，并确认每个访问会话都进行了认证
现场查看★
□符合
□部分符合
□不符合
6.
证书
管理
5.1.6
1）访谈业务系统的维护人员，能应答使用PKI 的系统情
况；
2）现场查看业务系统的维护人员操作使用证书
访谈问答
现场查看
★
□符合
□部分符合
□不符合
零信任设备
1.
设备目录
管理
6.1.1
1）查阅设备目录的工作文档，确认该目录客观存在，以
及目录内数据内容属于待评估业务系统；
2）访谈设备目录的维护人员，能应答目录的基本信息；
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
2.
统一端点
管理和移
动设备管
理
6.1.2a）
1）访谈业务系统的维护人员，能应答设备管理系统的信
息；
2）现场查看业务系统的维护人员操作设备管理系统，展
示企业范围内的端点设备信息
访谈问答
现场查看
★
□符合
□部分符合
□不符合
T/CATIS 028—2024
21
表B.1 一级零信任能力评估表（续）
能力要求评估方法评估方式类别标记是否符合
6.1.2b）
1）访谈业务系统的维护人员，能应答对设备管理的安全
策略方式；
2）现场查看业务系统的维护人员操作设备的安全策略动
作
访谈问答
现场查看
★
□符合
□部分符合
□不符合
6.1.2c）
1）现场查看业务系统的维护人员操作设备访问控制策
略，应用于设备访问控制，并确认每个访问网络的设备
都进行了检测
现场查看☆
□符合
□部分符合
□不符合
3.
设备检测
和合规
6.1.3a）
1）查阅用于设备检测和合规工作的文档，诸如规范或者
指南等；
2）访谈业务系统的维护人员，能应答对设备检查和合规
指南中相关要求
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
6.1.3b）
1）现场查看业务系统的维护人员操作合规检测动作，并
确认每个访问网络的设备都进行了检测可查看对应审计
记录
现场查看★
□符合
□部分符合
□不符合
6.1.3c）
1）访谈业务系统的维护人员，能应答检测与响应工具的
信息；
2）现场查看业务系统的维护人员操作检测与响应工具，
自动化发现、分析和补救访问网络的设备违规行为
访谈问答
现场查看
☆
□符合
□部分符合
□不符合
4.
资产、漏
洞与补丁
管理
6.1.4a）
1）访谈业务系统的维护人员，能应对设备漏洞与补丁管
理；
2）现场查看业务系统的维护人员操作设备漏洞与补丁管
理内容
访谈问答
现场查看
★
□符合
□部分符合
□不符合
6.1.4b）
1）访谈业务系统的维护人员，能应答设备风险的管理信
息；
2）现场查看业务系统的维护人员的风险记录和报告，确
认该报告客观存在
访谈问答
现场查看
★
□符合
□部分符合
□不符合
零信任网络
1.
数据流映
射
7.1.1
1）查阅数据流映射的工作文档，确认该目录客观存在，
以及目录内数据内容属于待评估业务系统；
2）访谈数据流映射的维护人员，能应答目录的基本信息
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
2.
分段控制
7.1.2a）
1）访谈网络的维护人员，能应答分段控制规则；
2）现场查看业务系统的维护分段控制规则
访谈问答
现场查看
★
□符合
□部分符合
□不符合
7.1.2b）
1）访谈网络的维护人员，能应答虚拟化和云环境分段控
制规则；
2）现场查看业务系统的维护虚拟化和云环境分段控制规
则
访谈问答
现场查看
☆
□符合
□部分符合
□不符合
T/CATIS 028—2024
22
表B.1 一级零信任能力评估表（续）
能力要求评估方法评估方式类别标记是否符合
3.
软件定义
网络
7.1.3a）
1）访谈业务系统的维护人员，能应答软件定义网络落地
内容；
2）现场查看业务系统的维护人员操作网络动态划分
访谈问答
现场查看
★
□符合
□部分符合
□不符合
7.1.3b）
1）访谈业务系统的维护人员，能应答数据流、管理和数
据平面分离；
2）现场查看业务系统的维护人员操作网络灵活控制和管
理；
访谈问答
现场查看
★
□符合
□部分符合
□不符合
零信任应用和工作负载
1.
应用目录
8.1.1
1）查阅应用目录的工作文档，确认该目录客观存在，以
及目录内数据内容属于待评估业务系统；
2）访谈应用目录的维护人员，能应答目录的基本信息
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
2.
安全软件
开发与集
成
8.1.2a）
1）查阅软件开发流程的工作文档，确认软件开发与集成
采取的控制措施；
2）访谈业务系统的维护人员，能应答对软件开发流程的
控制措施
查阅文档
访谈问答☆
□符合
□部分符合
□不符合
8.1.2b）
1）查阅用于企业范围内静态和交互式应用程序安全测试
工作要求或规范的文档，诸如规范或指南等；
2）现场查看业务系统的维护人员操作安全测试工具
查阅文档
现场查看
☆
□符合
□部分符合
□不符合
3.
软件供应
链安全管
理
8.1.3
1）查阅用于应用程序风险管理工作计划的文档；
2）访谈业务系统的维护人员，能应答文档中相关要求
查阅文档
访谈问答
☆
□符合
□部分符合
□不符合
4.
资源授权
与整合
8.1.4a）
1）查阅用于审查用户、设备和应用程序安全工作的文档，
诸如规范或指南等；
2）访谈业务系统的维护人员，能应答规范中相关要求
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
8.1.4b）
1）访谈业务系统的维护人员，能应答对资源授权、核验、
删除的操作行为进行监测的方式
访谈问答★
□符合
□部分符合
□不符合
5.
持续检测
和授权
8.1.5a）
1）访谈业务系统的维护人员，能应答对持续检测和授权
内容；
2）现场查看业务系统的维护人员通过工具，自动化持续
检测和授权应用程序内容
访谈问答
现场查看
☆
□符合
□部分符合
□不符合
8.1.5b）
1）现场查看业务系统的维护人员通过工具评估并授权应
用程序
现场查看☆
□符合
□部分符合
□不符合
零信任数据
1.
企业
数据
治理
9.1.1
1）查阅用于数据分类分级标记工作的文档，诸如规范或
指南等；
2）访谈数据资产目录的维护人员，能应答规范或指南中
相关要求
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
T/CATIS 028—2024
23
表B.1 一级零信任能力评估表（续）
能力要求评估方法评估方式类别标记是否符合
2.
数据
资产
目录
管理
9.1.2
1）查阅数据资产目录的工作文档，确认该目录客观存在，
以及目录内数据内容属于待评估业务系统；
2）访谈数据资产目录的维护人员，能应答目录的基本信
息
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
3.
数据
分类
分级
标记
9.1.3
1）查阅数据资产目录的工作文档，确认该目录中数据标
记的工作方式；
2）访谈数据资产目录的维护人员，能应答数据标记的方
式
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
4.
数据
监测
感知
9.1.4
1）访谈业务系统的维护人员，能应答对关键数据的文件
的操作行为进行监测的方式；
2）现场查看业务系统的维护人员监测关键数据的文件的
操作行为
访谈问答
现场查看
★
□符合
□部分符合
□不符合
5.
数据
加密
和
权限
管理
9.1.5
1）查阅业务系统的设计实现文档，确认对关键数据的存
储和传输采取了加密措施；
2）现场查看业务系统的关键数据存储文件，以及传输流
量，确认采取了加密措施
查阅文档
现场查看
★
□符合
□部分符合
□不符合
6.
数据
丢失
防护
9.1.6
1）访谈业务系统的维护人员，能应答对关键数据的可疑
泄露行为进行分析、拦截以及追溯的方式；
2）现场查看业务系统的维护人员分析、拦截以及追溯关
键数据的可疑泄露行为
访谈问答
现场查看
☆
□符合
□部分符合
□不符合
7.
数据
访问
控制
9.1.7
1）访谈业务系统的维护人员，能应答基于数据资产目录
配置关键数据可访问路径的方式；
2）现场查看业务系统的维护人员配置关键数据可访问路
径，来控制数据的访问
访谈问答
现场查看
☆
□符合
□部分符合
□不符合
零信任可视化和分析
1.
业务
日志
10.1.1
1）查阅业务系统的设计实现文档，确认对业务系统的日
志均已采集成功；
2）现场查看业务系统的关键数据存储文件，以及传输流
量，确认采取了日志已全部归集
查阅文档
现场查看
★
□符合
□部分符合
□不符合
2.
安全信息
和事件管
理
10.1.2
1）访谈业务系统的维护人员，能应对关键安全信息和可
疑泄露行为事件信息；
2）现场查看业务系统的维护安全信息和事件信息
访谈问答
现场查看
★
□符合
□部分符合
□不符合
3.
常见的安
全和风险
分析
10.1.3
1）访谈业务系统的维护人员，能应答常见的安全分析逻
辑；
2）现场查看业务系统的维护人员配置有关安全和风险展
示规则
访谈问答
现场查看
★
□符合
□部分符合
□不符合
T/CATIS 028—2024
24
表B.1 一级零信任能力评估表（续）
能力要求评估方法评估方式类别标记是否符合
4.
用户和实
体行为分
析
10.1.4
1）查阅业务系统的设计实现文档，确认用户行为规则；
2）现场查看业务系统的关键数据存储文件，以及用户行
为场景数据已经分析
查阅文档
现场查看
★
□符合
□部分符合
□不符合
5.
威胁情报
集成
10.1.5
1）访谈业务系统的维护人员，能应对威胁情报来源，同
步频次等；
2）现场查看业务系统的维护人员威胁情报获取等动作
访谈问答
现场查看
★
□符合
□部分符合
□不符合
6.
威胁处置
10.1.6
1）访谈业务系统的维护人员，能应答威胁和风险处置策
略；
2）现场查看业务系统的维护人员配置策略执行情况
访谈问答
现场查看
★
□符合
□部分符合
□不符合
零信任自动化编排和安全运营
1.
策略
判定
组件
和策
略的
编排
11.1.1
a）
1）查阅策略目录的工作文档，确认该目录客观存在，以
及目录内策略内容适用于待评估业务系统的主要策略判
定组件；
2）访谈策略目录的维护人员，能应答目录的基本信息
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
11.1.1
b）
1）现场查看业务系统的维护人员操作编排策略，并应用
到主要策略判定组件
现场查看★
□符合
□部分符合
□不符合
2.
安全
运营
中心
和
应急
响应
11.1.2
a）
1）查阅针对特定业务系统的安全运营中心的组织和人员
职责相关的制度文档；
2）访谈安全运营中心团队成员，能应答其工作职责
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
11.1.2
b）
1）查阅安全运营中心团队核心成员的相关网络安全能力
认证证书或其他证明材料，确认其符合国家的网络安全
从业人员能力基本要求
查阅文档★
□符合
□部分符合
□不符合
11.1.2
c）
1）查阅安全运营中心的工作文档，确认有针对普通安全
事件的应急预案和响应流程；
2）访谈安全运营中心团队成员，能应答应急预案和响应
流程的内容
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
合计
一级能
力要求
总数
关键能力要求（★） 扩展能力要求（☆）
总数符合项部分符合项不符合项总数符合项部分符合项不符合项
46 项36 项（ ）项（ ）项（ ）项10 项（ ）项（ ）项（ ）项
一级零信任
能力评估结论
□优秀通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计超过总扩展
能力项数的一半；
□优良通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计不为零但未
达到总扩展能力项数的一半；
□基本通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计为零；
□不通过：关键能力要求存在部分符合项或不符合项
T/CATIS 028—2024
25
附录C
（资料性）
二级零信任能力评估方法
二级零信任能力评估表如表C.1 所示，表中关键能力要求以★标记，扩展能力要求以☆标记，表
中评估方式参见附录A，包括查阅文档、现场查看、访谈问答、应急演练等。
表C.1 二级零信任能力评估表
能力要求评估方法评估方式类别标记是否符合
零信任身份
1.
身份
目录
5.2.1a）
1）查阅身份目录的工作文档，确认该目录客观存在，以
及目录内数据内容属于待评估业务系统；
2）现场查看业务系统的维护人员操作身份目录，并确认
用户信息覆盖了应用、系统、软件、设备等
查阅文档
现场查看
★
□符合
□部分符合
□不符合
5.2.1b）
1）查阅身份目录的工作文档，确认该目录能与其他系统
的身份联邦管理和用户联邦认证；
2）现场查看业务系统的维护人员操作身份目录，确认能
与其他系统进行联邦身份管理和联邦认证
查阅文档
现场查看
☆
□符合
□部分符合
□不符合
5.2.1c）
1）访谈业务系统的维护人员，能应答维护身份目录的工
具信息；
2）现场查看业务系统的维护人员使用工具自动化维护身
份目录
访谈问答
现场查看
★
□符合
□部分符合
□不符合
2.
受限
用户
访问
5.2.2
1）访谈业务系统的维护人员，能应答对用户访问的控制
规则；
2）现场查看业务系统的维护人员通过工具维护访问控制
规则；
3）现场查看业务系统的维护人员操作受限用户访问
访谈问答
现场查看
★
□符合
□部分符合
□不符合
3.
多因素
认证
5.2.3a）
1）访谈业务系统的维护人员，能应答对业务应用的用户
认证方式；
2）现场查看业务系统的维护人员操作用户认证
访谈问答
现场查看
★
□符合
□部分符合
□不符合
5.2.3b）
1）访谈业务系统的维护人员，能应答认证工具的信息；
2）现场查看业务系统的维护人员通过工具自动化维护认
证方式
访谈问答
现场查看
★
□符合
□部分符合
□不符合
4.
用户
行为
和
情境
5.2.4a）
1）访谈业务系统的维护人员，能应答用户行为和情境相
关工具的信息；
2）现场查看业务系统的维护人员通过工具自动化采集企
业范围内业务系统的用户行为和情境信息
访谈问答
现场查看
☆
□符合
□部分符合
□不符合
5.2.4b）
1）现场查看业务系统的维护人员通过工具自动化识别用
户行为和情境信息，并应用于用户访问控制
现场查看☆
□符合
□部分符合
□不符合
T/CATIS 028—2024
26
表C.1 二级零信任能力评估表（续）
能力要求评估方法评估方式类别标记是否符合
5.
持续
认证
5.2.5a）
1）现场查看待评估业务系统的业务应用的认证相关日志
信息，并确认每个访问会话都进行了周期性的认证
现场查看★
□符合
□部分符合
□不符合
5.2.5b）
1）现场查看业务系统的维护人员通过工具配置并启用周
期性认证
现场查看☆
□符合
□部分符合
□不符合
6.
证书
管理
5.2.6a）
1）访谈业务系统的维护人员，能应答PKI 系统的信息；
2）现场查看业务系统的维护人员操作PKI 系统，展示企
业范围内的多个业务应用的用户的数字证书信息
访谈问答
现场查看
★
□符合
□部分符合
□不符合
5.2.6b）
1）现场查看业务系统的维护人员操作PKI 系统，展示业
务应用的用户的数字证书信息以及非用户实体数字证书
信息
现场查看☆
□符合
□部分符合
□不符合
5.2.6c）
1）现场查看业务系统的维护人员操作用户认证，并采用
数字证书认证方式
访谈问答
现场查看
★
□符合
□部分符合
□不符合
零信任设备
1.
设备目录
管理
6.2.1a）
1）查阅设备目录的工作文档，确认该目录客观存在，以
及目录内数据内容属于待评估业务系统；
2）现场查看业务系统的维护人员操作身份目录，并确认
设备信息覆盖了设备硬件、设备绑定用户、设备登录使用
信息等
查阅文档
访谈问答
★
□符合
□部分符合
□不符合
6.2.1b）
1）访谈业务系统的维护人员，能应答维护设备目录的工
具信息；
2）现场查看业务系统的维护人员使用工具自动化维护设
备目录
访谈问答
现场查看
★
□符合
□部分符合
□不符合
2.
统一端点
管理和移
动设备管
理
6.2.2a）
1）访谈业务系统的维护人员，能应答设备管理系统的信
息；
2）现场查看业务系统的维护人员操作设备管理系统，展
示企业范围内的端点和移动设备信息
访谈问答
现场查看
★
□符合
□部分符合
□不符合
6.2.2b)
1）访谈业务系统的维护人员，能应答对设备管理的安全
策略方式；
2）现场查看业务系统的维护人员操作设备的安全策略动
作
访谈问答
现场查看
★
□符合
□部分符合
□不符合
6.2.2C）
1）现场查看业务系统的维护人员操作设备的合规检测工
具识别设备异常活动信息，并应用于设备访问控制
现场查看☆
□符合
□部分符合
□不符合
3.
设备检测
和合规
6.2.3a）
1）查阅身份目录的工作文档，确认该目录客观存在，以
及目录内数据内容属于待评估业务系统；
2）访谈身份目录的维护人员，能应答目录的基本信息
查阅文档
访谈问答
★
□符合
□部分符合
□