文章总结： 英国NCSC发布的CAF4.0框架提供系统化网络韧性评估方法，采用结果导向原则而非打勾式检查。框架包含4个目标14条原则，通过41项贡献成果及良好实践指标(IGP)进行评估，支持自我评估或第三方审计。CAF具有行业中立性但可扩展定制，允许监管机构设定特定目标水平，帮助组织识别安全提升路径并管理关键职能的网络风险。 综合评分： 78 文章分类： 安全建设,网络安全,安全运营,技术标准,解决方案

英国CAF网络评估框架4.0简介

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年2月7日 00:05 河南

CAF——评估网络韧性的工具

NCSC网络评估框架（CAF）提供了一种系统且全面的方法，用于评估负责组织管理关键职能的网络风险程度。基于CAF的评估可以由负责的组织自身（自我评估）或独立外部实体进行，可能是监管机构/网络监督机构，或代表监管机构的适当资质组织，如NCSC保证的商业服务提供商。

NCSC CAF的网络安全与韧性目标和原则为CAF奠定了基础。本合集中列出的4个高层次目标和14条原则以结果为基础，即明确需要完成的目标，而非完成清单。CAF在顶层原则基础上增加了更多细节层面，包括一系列结构化的良好实践指标（IGP），如下文将有更详细描述。

注释

NCSC发展CAF时，作为国家网络安全的技术权威，期望其作为支持有效网络监管的工具。NCSC本身没有监管责任，受网络监管的组织应与监管机构协商，了解是否应在满足监管要求的背景下使用CAF。

CAF要求

CAF的设计旨在满足以下一系列要求：

1提供合适的框架，协助进行网络韧性评估

2坚持NCSC网络安全和韧性原则中以结果为导向的方法，并避免将评估视为打勾式演习

3与适用的现有网络安全指导和标准兼容

4能够识别有效的网络安全和韧性提升活动

5存在于一个与行业无关的共同核心版本中

6根据需要，可扩展以适应特定部门的元素

7使组织能够设定有意义的安全目标水平，可能反映监管机构对适当且相称安全的看法

8申请过程应尽可能简单且经济实惠

CAF原则及贡献成果

每一项顶级NCSC安全与韧性原则都定义了一个广泛的网络安全结果。组织应采取的具体方法未明确规定，因组织情况不同而异。然而，每个原则都可以拆解为一组较低层次的网络安全和韧性成果，通常都需要实现这些目标才能完全满足顶层原则。

评估一个组织在实现某一特定原则的程度上，是通过评估该原则所有相关的结果来实现的。为了在贡献结果层面的评估提供参考：

1每个贡献结果都与一组良好实践指标（IGPs）相关，并且，

2利用相关的 IGP，描述了促成结果被判断为“已达成”、“未达成”或（在某些情况下）“部分达成”的情形。

对于每个贡献结果，相关的 IGP 都被方便地整理成表格格式。由此产生的表格称为IGP表构成了CAF的基本构建要素。这样，每个原则都关联多个 IGP 表，每个贡献结果对应一个表。

使用 IGP

对贡献性结果的评估主要涉及专家判断IGPs并未取消对网络安全专业知识和行业知识的明智运用要求。IGP通常为评估提供良好的起点，但应灵活使用，并结合NCSC关于顶级网络安全和韧性原则的指导。关于组织网络安全和韧性的结论应在考虑更多相关因素和特殊情况后作出。

“已完成”（绿色IGP表中的列定义了一个组织完全实现该结果的典型特征。通常所有指标都应具备以支持对“已达成”的评估。例外情况是，如果存在符合相关目标要求的补偿措施，IGP可能不适用。

“未达成”（红色IGP表中的列定义了组织未能达到该结果的典型特征。其意图是，任何一个指标的存在通常足以证明“未达标”的评估。

当存在时，“部分实现”（琥珀IGP表的列定义了组织部分实现该结果的典型特征。同样重要的是，部分成就能够带来具体且有价值的网络安全和韧性益处。对“部分实现”的评估应不仅仅是给予对某项模糊相关行为的认可。

下表总结了与 IGP 目的和性质相关的关键点：

| | 警察总长是…… | 警察总长不是…… | | — | — | — | | 目的 | … 旨在帮助专家判断。 | … 一份用于僵化评估流程的清单。 | | 范围 | … 这些是评估员通常需要考虑的重要范例，在某些情况下可能需要补充。 | … 一份详尽的清单，涵盖评估员需要考虑的所有内容 | | 适用性 | … 设计上可广泛适用于不同组织，但需要确定适用性。 | … 保证逐字适用于所有组织。 |

设定网络安全和韧性的目标水平

应用CAF的结果是41项个人评估，每项评估均基于对一组IGPs反映被评估组织情况的程度做出判断。CAF的设计使得所有41项贡献成果均被评为“已达成”，则表明网络安全水平远超最低“基本网络卫生”水平。

网络监督机构需要为其部门内组织设定网络韧性的目标水平。设定这些目标等级的一种方式是基于抵御特定类别网络攻击的能力（例如对基础能力攻击、中度能力攻击的韧性等），CAF通过CAF配置文件的理念支持这一方法。

NCSC与监管机构及其他具有网络韧性监督角色的组织合作，基于识别那些被认为最重要的贡献成果，以管理该组织核心职能的安全风险，来解读CAF产出。优先考虑的贡献成果将对应于对该组织适当且相称的网络安全初步看法。被识别为最重要的贡献成果子集将代表CAF画像的示例——可作为组织设定目标的基础。

在实践中，CAF配置文件由一些贡献成果组成，需达到“已达成”，部分达到，可能还包括一些（代表在该配置文件层面不适用的网络安全能力）被认定为“不适用”的成果。

NCSC无责强制规定何为适当且相称的网络安全与韧性。任何组织在CAF成果方面设定的目标，均由相关网络监督机构制定。

使CAF成为特定行业

CAF的共同核心（包括目标、原则、贡献成果和良好实践指标）具有行业中立性，旨在普遍适用于所有负责关键职能的组织，涵盖所有关键部门。CAF可能会有一些行业特定的方面，包括以下内容：

1

行业特定CAF配置文件

有些目标档案可能是行业特定的。如设定目标水平部分所述，相关网络监督机构将决定是否对CAF结果作出解释，可能从监管角度出发。

2

对贡献成果/政府治理计划（IGP）的行业特定解释

在某些情况下，可能需要对贡献成果和/或 IGP 进行特定行业的解释，以更好地澄清该行业内的含义。

3

行业特定的额外贡献成果/警示计划

在某些情况下，行业特定的网络安全要求可能无法通过对通用贡献结果（IGP）的解释来充分覆盖。在这些情况下，可能需要定义额外的行业特定贡献结果或 IGP。

NCSC将继续与所有CAF利益相关方合作，确定是否需要针对行业的CAF相关内容，并协助考虑和引入必要的变革。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《英国CAF网络评估框架4.0简介》