ESCT 在框架中的位置
资产、威胁、能力三个视角环环相扣,构成"识别 — 评估 — 建设"的治理闭环
第一步 · 识别
企业安全资产分类 (ESAT)
回答"企业软件包含哪些资产"
划定安全边界,建立资产视角的认知基础。
第二步 · 评估
企业安全威胁分类 (ESTT)
回答"这些资产面临哪些威胁"
通过威胁矩阵评估各类资产的风险水位。
第三步 · 建设
企业安全能力分类 (ESCT)
回答"应对威胁需要哪些安全能力"
对照能力基准盘点覆盖差距,指导防护体系建设。
能力的取值逻辑:每一项安全能力都应能覆盖特定资产(ESAT)、对抗特定威胁(ESTT),三者交叉构成 SAI 指标的计算基础。
ESCT 的核心价值
让安全能力建设从"凭感觉"走向"可度量"
统一能力评估口径
为跨团队、跨企业的安全能力评估提供同一把尺子。无论是企业内部各业务线之间,还是行业内不同企业之间,对"建没建某项能力"的判断都基于相同的定义与边界,使 SAI 指标的横向对比真实可信。
量化能力覆盖差距
对照 8 大领域 49 项能力基准逐项盘点,清晰识别空白领域与薄弱环节,让企业安全水位从"凭感觉"变成"有数字"。结合能力对应用的覆盖率,可计算出客观的安全能力覆盖指数(SAI)。
指导建设投入优先级
能力建设不是全面铺开,而是把预算花在刀刃上。结合资产重要性(ESAT)与威胁等级(ESTT),识别高风险资产上缺失的关键能力,为安全建设路线图和预算分配提供可论证的决策依据。
能力分类的核心应用场景
安全规划与预算
年度安全规划的差距分析
以能力分类为清单逐项盘点现状,识别未覆盖的领域和薄弱能力,形成客观的差距分析报告,作为年度安全规划的起点。
安全建设路线图制定
结合威胁矩阵中高风险资产的分布,确定能力建设的先后次序,将有限资源优先投向风险敞口最大的环节,形成分阶段的建设路线图。
安全预算的论证依据
用"能力缺口 × 对应威胁等级"的结构化论证替代经验式申报,让管理层清晰理解每笔安全投入对应的风险收敛,提升预算获批效率。
八大领域能力全景
49 项安全能力,覆盖企业安全治理的完整版图
应用与软件供应链安全
13 项能力
云与基础设施安全
4 项能力
网络与边界安全
5 项能力
终端与办公网安全
7 项能力
身份与访问安全
3 项能力
数据安全
7 项能力
安全运营
8 项能力
AI 安全
2 项能力