Each organization faces threats and risks in daily operations. One of the main risks is how to assess the security level to protect from the increasing risks associated with technology evolution. So, organizations can specify the required approaches and skills. In this paper, we propose a security maturity model that classifies the organizations into five levels. Each level determines the technologies and process capability used by the organizations. There is a set of factors that can help in determining the security maturity level, such as technology, people, and infrastructure. This paper adopts an Information Security Management model to assess organization’s security level. The authors make a correspondence between maturity levels and security levels in an organization. Also, the proposed process capability controls influence both levels. The proposed model helps the organizations bridging the cybersecurity gaps. These gaps relate to talent, technology, organizational units, financial, management and operations gaps. Thus, the model helps the cybersecurity auditors to create a comprehensive plan for measuring the security level of the organization. This plan can manage and develop the organization’s automated countermeasures. Also, it can help in applying the suitable standard and framework based on the organization’s daily operation. Cybersecurity auditors use cybersecurity techniques and tools to assess the organization’s postures. Finally, the authors applied the security maturity controls in two case studies: retirement organization and public telecommunication corporation in the Republic of Yemen.

每个组织在日常运营中都面临威胁和风险。主要风险之一是如何评估安全级别以防范与技术演进相关的日益增加的风险。因此，组织可以指定所需的方法和技能。在本文中，我们提出了一个安全成熟度模型，将组织分为五个级别。每个级别决定了组织使用的技术和过程能力。有一组因素可以帮助确定安全成熟度级别，例如技术、人员和基础设施。本文采用信息安全管理模型来评估组织的安全水平。作者在组织中的成熟度级别和安全级别之间进行了对应。此外，提议的过程能力控制影响两个级别。提议的模型有助于组织弥合网络安全差距。这些差距涉及人才、技术、组织单位、财务、管理和运营方面的差距。因此，该模型可帮助网络安全审计师制定衡量组织安全级别的综合计划。该计划可以管理和开发组织的自动化对策。此外，它还有助于根据组织的日常运营应用合适的标准和框架。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。这些差距涉及人才、技术、组织单位、财务、管理和运营方面的差距。因此，该模型可帮助网络安全审计师制定衡量组织安全级别的综合计划。该计划可以管理和开发组织的自动化对策。此外，它还有助于根据组织的日常运营应用合适的标准和框架。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。这些差距涉及人才、技术、组织单位、财务、管理和运营方面的差距。因此，该模型可帮助网络安全审计师制定衡量组织安全级别的综合计划。该计划可以管理和开发组织的自动化对策。此外，它还有助于根据组织的日常运营应用合适的标准和框架。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。该模型帮助网络安全审计师制定衡量组织安全级别的综合计划。该计划可以管理和开发组织的自动化对策。此外，它还有助于根据组织的日常运营应用合适的标准和框架。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。该模型帮助网络安全审计师制定衡量组织安全级别的综合计划。该计划可以管理和开发组织的自动化对策。此外，它还有助于根据组织的日常运营应用合适的标准和框架。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。网络安全审计员使用网络安全技术和工具来评估组织的态势。最后，作者在两个案例研究中应用了安全成熟度控制：也门共和国的退休组织和公共电信公司。