在社会发展的进程中,网络合规性已经展现了它的必要性和优先级,不再可有可无,更不能是事后诸葛。
网络安全如今已成为商业的一部分。一些政府机构已为其承包商规定了网络安全标准。例如,许多公司将需要在2021年之前获得网络安全成熟度模型认证(CMMC)的认证,而国防部已将安全性确定为收购决策中,绩效、进度和成本之外的第四支柱。
CMMI V2.0和网络合规性框架是互补的,并提供了更多一层保障。他们确定了实践领域和价值,想要实施从领导到用户的自上而下方法。它们还可以用于处理供应链、配置管理、治理和政策、计划以及监控。
CMMC和CMMI V2.0使用相同的基本架构,因此具有相似的外观和感觉。CMMI V2.0的“实践领域”包含确保实施目标的实践声明,并具有五个成熟度级别,这些级别经由CMMI认证的首席评估师领导的CMMI评估获得评级。CMMC拥有相关域包含了网络安全最优操作并确保实施目标,还有五个级别的认证以及一个评估方法。首席评估师进行评估,以给证明合规性的公司提供认证。
从合规性开始意味着组织需要了解其目前的状况,并且必须明确其优缺点。为了避免返工并确保资源集中在正确的方向,应该从差距分析开始。这可以直接映射到CMMI V2.0流程改进和网络合规性框架。
CMMI V2.0中的实践领域将帮助管理项目,开发流程资产,并为制度化已开发的网络流程提供更多支持。CMMC模型中的制度化更加能够确保每个级别相关的实践均得到有效实施。其他一些CMMI V2.0实践领域也为网络域提供直接支持。此外,ISACA计划发布一个名为“管理安全性”的新功能区域。这个新的功能区域将包含实践领域,例如:启用保密性,管理威胁和漏洞以及启用安全性。在此版本之后,CMMI V2.0和CMMC将更加同步并相互支持。
在产品设计之初网络安全就需要纳入项目中,以增加成功的几率。这不是一个孤岛,组织中的每个人都对安全环境负责。可靠的网络安全计划可以节省成本,并有助于防止意外的数据泄漏,社会工程风险以及受控的非保密信息(CUI)和联邦采购法规(FAR)信息的泄漏。