| 通過(guò)CMMI V2.0增強網(wǎng)絡(luò )合規性 |
| 新聞類(lèi)別: 行業(yè)動(dòng)態(tài) 瀏覽量:1758 |
在社會(huì )發(fā)展的進(jìn)程中,網(wǎng)絡(luò )合規性已經(jīng)展現了它的必要性和優(yōu)先級,不再可有可無(wú),更不能是事后諸葛。
許多業(yè)內人士認為網(wǎng)絡(luò )安全是一項十分艱巨的任務(wù)。它的流程經(jīng)常被誤解,因為它們被錯誤地歸類(lèi)為單純的技術(shù)功能。現實(shí)情況是,網(wǎng)絡(luò )涵蓋的范圍更廣,包含了流程業(yè)務(wù)的方法和輔助業(yè)務(wù)的方式。
我們最重要的建議之一就是所有組織(尤其是與美國國防部有關(guān)的組織)都應該確保在項目早期就與網(wǎng)絡(luò )專(zhuān)家進(jìn)行流程方面的合作,并確認設定好明確、可實(shí)施的流程改進(jìn)目標。另外,網(wǎng)絡(luò )流程還需要和公司的其他記錄流程實(shí)現良好的配合。
早期集成將有助于避免在已經(jīng)完成的項目中對網(wǎng)絡(luò )要求的“追趕”。越早開(kāi)始合作,在項目計劃和雙方期望的理解上效率就越高。從一開(kāi)始就將其包含在內,并在使用敏捷方法時(shí)將其集成。
持續改進(jìn)
許多專(zhuān)業(yè)人士對即將實(shí)行的網(wǎng)絡(luò )法規表示擔憂(yōu)。而其中一個(gè)解決方案是確保適當的治理得到實(shí)施以明確網(wǎng)絡(luò )安全在組織里的優(yōu)先級。來(lái)自高層和內部利益相關(guān)者的支持則顯得尤為重要。其中,標準則是和網(wǎng)絡(luò )相關(guān)的一個(gè)重要方面。這是可以交付給投資者的一個(gè)實(shí)際、有形的資產(chǎn),確保你在商業(yè)活動(dòng)里得到足夠支持。
當涉及到流程時(shí),則需要專(zhuān)注于持續改進(jìn),并持續監控結果。
有流程改進(jìn)經(jīng)驗的人士可以與網(wǎng)絡(luò )專(zhuān)家合作,這些專(zhuān)家會(huì )將需要合規的內容匯總在一起。這工作并沒(méi)有看上去那么可怕!它可通過(guò)高效的方式完成,同時(shí)能幫助關(guān)鍵目標的達成。第一次看到那些要求可能會(huì )被嚇到,但如果回歸到流程改進(jìn)專(zhuān)家多年來(lái)共享的概念中去,整個(gè)過(guò)程就會(huì )順暢很多。
我們熱衷于分享如何使用CMMI V2.0實(shí)施網(wǎng)絡(luò )安全以及它們如何與網(wǎng)絡(luò )世界中不斷發(fā)展的合規性要求所重合。CMMI V2.0及其實(shí)踐領(lǐng)域與國防部合規性方面的要求非常互補。如果一家公司不合規,它就無(wú)法運營(yíng)。
網(wǎng)絡(luò )安全如今已成為商業(yè)的一部分
一些政府機構已為其承包商規定了網(wǎng)絡(luò )安全標準。例如,許多公司將需要在2021年之前獲得網(wǎng)絡(luò )安全成熟度模型認證(CMMC)的認證,而國防部已將安全性確定為收購決策中,績(jì)效、進(jìn)度和成本之外的第四支柱。
CMMI V2.0和網(wǎng)絡(luò )合規性框架是互補的,并提供了更多一層保障。他們確定了實(shí)踐領(lǐng)域和價(jià)值,想要實(shí)施從領(lǐng)導到用戶(hù)的自上而下方法。它們還可以用于處理供應鏈、配置管理、治理和政策、計劃以及監控。
CMMC和CMMI V2.0使用相同的基本架構,因此具有相似的外觀(guān)和感覺(jué)。CMMI V2.0的“實(shí)踐領(lǐng)域”包含確保實(shí)施目標的實(shí)踐聲明,并具有五個(gè)成熟度級別,這些級別經(jīng)由CMMI認證的首席評估師領(lǐng)導的CMMI評估獲得評級。CMMC擁有相關(guān)域包含了網(wǎng)絡(luò )安全最優(yōu)操作并確保實(shí)施目標,還有五個(gè)級別的認證以及一個(gè)評估方法。首席評估師進(jìn)行評估,以給證明合規性的公司提供認證。
從合規性開(kāi)始意味著(zhù)組織需要了解其目前的狀況,并且必須明確其優(yōu)缺點(diǎn)。為了避免返工并確保資源集中在正確的方向,應該從差距分析開(kāi)始。這可以直接映射到CMMI V2.0流程改進(jìn)和網(wǎng)絡(luò )合規性框架。
CMMI V2.0中的實(shí)踐領(lǐng)域將幫助管理項目,開(kāi)發(fā)流程資產(chǎn),并為制度化已開(kāi)發(fā)的網(wǎng)絡(luò )流程提供更多支持。CMMC模型中的制度化更加能夠確保每個(gè)級別相關(guān)的實(shí)踐均得到有效實(shí)施。其他一些CMMI V2.0實(shí)踐領(lǐng)域也為網(wǎng)絡(luò )域提供直接支持。此外,ISACA計劃發(fā)布一個(gè)名為“管理安全性”的新功能區域。這個(gè)新的功能區域將包含實(shí)踐領(lǐng)域,例如:?jiǎn)⒂帽C苄裕芾硗{和漏洞以及啟用安全性。在此版本之后,CMMI V2.0和CMMC將更加同步并相互支持。
在產(chǎn)品設計之初網(wǎng)絡(luò )安全就需要納入項目中,以增加成功的幾率。這不是一個(gè)孤島,組織中的每個(gè)人都對安全環(huán)境負責。可靠的網(wǎng)絡(luò )安全計劃可以節省成本,并有助于防止意外的數據泄漏,社會(huì )工程風(fēng)險以及受控的非保密信息(CUI)和聯(lián)邦采購法規(FAR)信息的泄漏。
計劃工作與監控
網(wǎng)絡(luò )安全合規性,特別是在政府部門(mén)中,是一個(gè)有明確期限的項目。因此,為項目制定里程碑并與利益相關(guān)者定期開(kāi)會(huì )將起到關(guān)鍵作用。針對成本、資源和供應管理以及任何其他困難,保持溝通順暢非常重要。
無(wú)需意外的是,用戶(hù)是最薄弱的環(huán)節。組織需要平衡安全性的實(shí)施,同時(shí)又不妨礙工作績(jì)效。這可能需要對中央進(jìn)行深度控制和防御,對網(wǎng)絡(luò )釣魚(yú)活動(dòng)進(jìn)行宣傳教育,對門(mén)和庫存進(jìn)行檢查以及對數據導出進(jìn)行控制。
即便合規性項目完成,也還不到高枕無(wú)憂(yōu)鳴金收兵的時(shí)候。組織必須繼續監控流程和實(shí)施,控制更改并測試更新。
取得成果
對于任何新產(chǎn)品或是很有可能交付的生產(chǎn),顯然是越早讓網(wǎng)絡(luò )參與越好。這有助于所有參與者從不斷的改進(jìn)中獲益,并專(zhuān)注于如何最終取得成功。將質(zhì)量流程管理與網(wǎng)絡(luò )安全結合起來(lái)的組織可以簡(jiǎn)化并整理好工作,以確保順利完成。常言道,授人以魚(yú)不如授人以漁。
文章來(lái)源:CMMI研究院 |
