为了使物联网安全的实施更易于管理，工业互联网联盟(IIC)的新指南帮助组织将安全机制映射到成熟度目标。

在物联网实施者寻求将适当的安全措施与有限的安全资源和预算相结合时，重要的是要考虑到并非所有的物联网系统都需要相同的安全级别，作者在接受采访时发表的白皮书《IIC物联网安全成熟度模型：描述和预期用途》中说道。制造车间中保护互联资产的要求不同于智能灯泡。

有鉴于此，安全成熟度模型(SMM)提供了一个帮助组织确定其安全目标应该是什么以及当前状态的过程，从而帮助决策者投资安全机制以实现这些成熟度目标。SMM不是确定系统的适当安全级别，而是为组织提供指导和结构，以确定适合其行业和系统的不同成熟度级别考虑因素。

“有很多事情可以做。如果你是负责安全的人，不清楚从哪里开始，”IIC安全适用性小组的联合主席、白皮书的共同作者和首席策略师罗恩扎哈维说。微软的Azure物联网标准。“我们允许他们以一种可管理的方式来看待它。”

SMM基于IIC工业互联网安全框架(IISF)中的概念，为具体的物联网解决方案提供运营指导。首先，根据白皮书，业务利益相关者定义与风险相关的安全目标和目的。然后，根据白皮书，组织内的技术团队或第三方评估供应商将这些目标映射到有形的安全技术和功能，并确定适当的安全成熟度级别。然后，组织设置安全成熟度目标，包括行业和系统特定的考虑事项。

根据白皮书，安全成熟度是指对当前安全状态满足所有组织需求和安全相关要求的信心。

“我们确实写了第一份文件，作为吸引所有这些(利益相关者)的一种方式，以便他们可以统一他们的流程和安全方法，”白皮书的共同作者兼Entrust安全技术总监Sandy Carielli说。数据卡。扎哈维说，目前可用的大多数指南都告诉利益相关者这些机制是什么，但没有提供如何组合它们的指导。SMM可以帮助组织了解并明智地选择要使用的机制，并考虑特定部署所需的机制的优势。

例如，“如果你使用加密，它应该有多强，因为不是所有连接的系统都需要相同的安全级别，”扎哈维说。因此，该文件还旨在使安全评估供应商以一致的方式进行安全评估，并通过在过程中广泛纳入成熟度的概念，一直在指导如何通过贷款将结果传达给客户。为此，IIC正在与供应商合作，并与安全评估公司一起安排案例研究。

反过来，在接下来的几个月里，IIC将发布一份技术利益相关者的实践指南。简而言之，这些努力旨在帮助实现安全的物联网。“通过这种类型的工作，我们正在消除这一障碍，并取得巨大进展，”扎哈维说。“(物联网安全)是一个可以解决的问题。这不是每个人都需要举手的，有可用的技术和机制。我们在这里所做的就是让它变得可行。”