郑乔尹
|
本文转载自公众号:CMMI研究院(CMMI_China) 原文链接: https://mp.weixin.qq.com/s/XIGd_wIa7TumK3b7se_P5g
许多业内人士认为网络安全是一项十分艰巨的任务。它的流程经常被误解,因为它们被错误地归类为单纯的技术功能。现实情况是,网络涵盖的范围更广,包含了流程业务的方法和辅助业务的方式。 持续改进许多专业人士对即将实行的网络法规表示担忧。而其中一个解决方案是确保适当的治理得到实施以明确网络安全在组织里的优先级。来自高层和内部利益相关者的支持则显得尤为重要。其中,标准则是和网络相关的一个重要方面。这是可以交付给投资者的一个实际、有形的资产,确保你在商业活动里得到足够支持。当涉及到流程时,则需要专注于持续改进,并持续监控结果。 有流程改进经验的人士可以与网络专家合作,这些专家会将需要合规的内容汇总在一起。这工作并没有看上去那么可怕!它可通过高效的方式完成,同时能帮助关键目标的达成。第一次看到那些要求可能会被吓到,但如果回归到流程改进专家多年来共享的概念中去,整个过程就会顺畅很多。 我们热衷于分享如何使用CMMI V2.0实施网络安全以及它们如何与网络世界中不断发展的合规性要求所重合。CMMI V2.0及其实践领域与国防部合规性方面的要求非常互补。如果一家公司不合规,它就无法运营。 网络安全如今已成为商业的一部分一些政府机构已为其承包商规定了网络安全标准。例如,许多公司将需要在2021年之前获得网络安全成熟度模型认证(CMMC)的认证,而国防部已将安全性确定为收购决策中,绩效、进度和成本之外的第四支柱。CMMI V2.0和网络合规性框架是互补的,并提供了更多一层保障。他们确定了实践领域和价值,想要实施从领导到用户的自上而下方法。它们还可以用于处理供应链、配置管理、治理和政策、计划以及监控。 CMMC和CMMI V2.0使用相同的基本架构,因此具有相似的外观和感觉。CMMI V2.0的“实践领域”包含确保实施目标的实践声明,并具有五个成熟度级别,这些级别经由CMMI认证的首席评估师领导的CMMI评估获得评级。CMMC拥有相关域包含了网络安全最优操作并确保实施目标,还有五个级别的认证以及一个评估方法。首席评估师进行评估,以给证明合规性的公司提供认证。
从合规性开始意味着组织需要了解其目前的状况,并且必须明确其优缺点。为了避免返工并确保资源集中在正确的方向,应该从差距分析开始。这可以直接映射到CMMI V2.0流程改进和网络合规性框架。 计划工作与监控网络安全合规性,特别是在政府部门中,是一个有明确期限的项目。因此,为项目制定里程碑并与利益相关者定期开会将起到关键作用。针对成本、资源和供应管理以及任何其他困难,保持沟通顺畅非常重要。无需意外的是,用户是最薄弱的环节。组织需要平衡安全性的实施,同时又不妨碍工作绩效。这可能需要对中央进行深度控制和防御,对网络钓鱼活动进行宣传教育,对门和库存进行检查以及对数据导出进行控制。 即便合规性项目完成,也还不到高枕无忧鸣金收兵的时候。组织必须继续监控流程和实施,控制更改并测试更新。 取得成果对于任何新产品或是很有可能交付的生产,显然是越早让网络参与越好。这有助于所有参与者从不断的改进中获益,并专注于如何最终取得成功。将质量流程管理与网络安全结合起来的组织可以简化并整理好工作,以确保顺利完成。常言道,授人以鱼不如授人以渔。
编者注:本文于2020年10月21日首次发表于CMMI研究院官网Blog。联合撰稿人是Deloitte Atomic Wombat公司总裁 Sara Deaton和德勤Specialist Master Benjamin Luthy。 |
2020-11-16 21:08:28
郑乔尹 最后编辑, 2020-11-16 21:08:51