中华人民共和国工业和信息化部公告2023年第17号文件正式发布行业标准：YD/T 4208-2023《面向云计算的安全运营中心能力要求》，并于2023年11月1日正式施行。

中国信通院于2019年开始牵头制定YD/T 4208-2023《面向云计算的安全运营中心能力要求》行业标准，在标准制定的过程中汇集大量来自云用户、云厂商、安全厂商的专家建议与实践经验，齐聚行业智慧完成了标准的制定。

标准介绍

本标准通过对三个维度的梳理，规范了维护企业云上安全的安全运营中心应具备的能力。一是平台能力要求，通过充分识别平台在进行安全运营时的核心功能，形成九个能力域，通过保证企业云上资产的可见可控、避免数据孤岛产生、快速联动响应等方式，提高企业云上资产的安全性；二是人员能力要求，将安全团队工作根据事前预防、事中响应、事后溯源进行划分，力求既能充分发挥安全工具能力，又能不完全依赖工具进行独立安全分析；三是运营能力要求，一方面对安全运营工作进行量化管理，使安全运营能力螺旋式上升，另一方面通过文件化流程管理提高安全运营工作的系统性与可追溯性。

面向云计算的安全运营中心能力要求架构图

第七批安全运营中心评估持续进行中

中国信通院将依据标准继续开展第七批安全运营中心评估，旨在规范行业发展，为安全运营产品的提供者提出要求，也为安全运营产品的使用者提供选型参考。

后续工作规划

中国信通院将持续深耕云上安全领域，跟踪云安全前沿技术，分析云上安全态势，基于已有工作开展企业云上安全运营成熟度研究，通过将云上安全运营分过程进行分解，抽象剥离出不同等级的主要目标与核心能力，为企业云上安全运营体系建设指明方向，持续推动云计算行业健康平稳发展。

安全运营成熟度模型架构图

来源：安全内参