全部
通过CMMI V2.0增强网络合规性
新闻类别: 行业动态 浏览量:1678


在社会发展的进程中,网络合规性已经展现了它的必要性和优先级,不再可有可无,更不能是事后诸葛。


许多业内人士认为网络安全是一项十分艰巨的任务。它的流程经常被误解,因为它们被错误地归类为单纯的技术功能。现实情况是,网络涵盖的范围更广,包含了流程业务的方法和辅助业务的方式。


我们最重要的建议之一就是所有组织(尤其是与美国国防部有关的组织)都应该确保在项目早期就与网络专家进行流程方面的合作,并确认设定好明确、可实施的流程改进目标。另外,网络流程还需要和公司的其他记录流程实现良好的配合。


早期集成将有助于避免在已经完成的项目中对网络要求的“追赶”。越早开始合作,在项目计划和双方期望的理解上效率就越高。从一开始就将其包含在内,并在使用敏捷方法时将其集成。


持续改进


许多专业人士对即将实行的网络法规表示担忧。而其中一个解决方案是确保适当的治理得到实施以明确网络安全在组织里的优先级。来自高层和内部利益相关者的支持则显得尤为重要。其中,标准则是和网络相关的一个重要方面。这是可以交付给投资者的一个实际、有形的资产,确保你在商业活动里得到足够支持。


当涉及到流程时,则需要专注于持续改进,并持续监控结果。


有流程改进经验的人士可以与网络专家合作,这些专家会将需要合规的内容汇总在一起。这工作并没有看上去那么可怕!它可通过高效的方式完成,同时能帮助关键目标的达成。第一次看到那些要求可能会被吓到,但如果回归到流程改进专家多年来共享的概念中去,整个过程就会顺畅很多。


我们热衷于分享如何使用CMMI V2.0实施网络安全以及它们如何与网络世界中不断发展的合规性要求所重合。CMMI V2.0及其实践领域与国防部合规性方面的要求非常互补。如果一家公司不合规,它就无法运营。


网络安全如今已成为商业的一部分


一些政府机构已为其承包商规定了网络安全标准。例如,许多公司将需要在2021年之前获得网络安全成熟度模型认证(CMMC)的认证,而国防部已将安全性确定为收购决策中,绩效、进度和成本之外的第四支柱。


CMMI V2.0和网络合规性框架是互补的,并提供了更多一层保障。他们确定了实践领域和价值,想要实施从领导到用户的自上而下方法。它们还可以用于处理供应链、配置管理、治理和政策、计划以及监控。

CMMC和CMMI V2.0使用相同的基本架构,因此具有相似的外观和感觉。CMMI V2.0的“实践领域”包含确保实施目标的实践声明,并具有五个成熟度级别,这些级别经由CMMI认证的首席评估师领导的CMMI评估获得评级。CMMC拥有相关域包含了网络安全最优操作并确保实施目标,还有五个级别的认证以及一个评估方法。首席评估师进行评估,以给证明合规性的公司提供认证。

从合规性开始意味着组织需要了解其目前的状况,并且必须明确其优缺点。为了避免返工并确保资源集中在正确的方向,应该从差距分析开始。这可以直接映射到CMMI V2.0流程改进和网络合规性框架。


CMMI V2.0中的实践领域将帮助管理项目,开发流程资产,并为制度化已开发的网络流程提供更多支持。CMMC模型中的制度化更加能够确保每个级别相关的实践均得到有效实施。其他一些CMMI V2.0实践领域也为网络域提供直接支持。此外,ISACA计划发布一个名为“管理安全性”的新功能区域。这个新的功能区域将包含实践领域,例如:启用保密性,管理威胁和漏洞以及启用安全性。在此版本之后,CMMI V2.0和CMMC将更加同步并相互支持。


在产品设计之初网络安全就需要纳入项目中,以增加成功的几率。这不是一个孤岛,组织中的每个人都对安全环境负责。可靠的网络安全计划可以节省成本,并有助于防止意外的数据泄漏,社会工程风险以及受控的非保密信息(CUI)和联邦采购法规(FAR)信息的泄漏。


计划工作与监控


网络安全合规性,特别是在政府部门中,是一个有明确期限的项目。因此,为项目制定里程碑并与利益相关者定期开会将起到关键作用。针对成本、资源和供应管理以及任何其他困难,保持沟通顺畅非常重要。


无需意外的是,用户是最薄弱的环节。组织需要平衡安全性的实施,同时又不妨碍工作绩效。这可能需要对中央进行深度控制和防御,对网络钓鱼活动进行宣传教育,对门和库存进行检查以及对数据导出进行控制。


即便合规性项目完成,也还不到高枕无忧鸣金收兵的时候。组织必须继续监控流程和实施,控制更改并测试更新。


取得成果


对于任何新产品或是很有可能交付的生产,显然是越早让网络参与越好。这有助于所有参与者从不断的改进中获益,并专注于如何最终取得成功。将质量流程管理与网络安全结合起来的组织可以简化并整理好工作,以确保顺利完成。常言道,授人以鱼不如授人以渔。


文章来源:CMMI研究院