許多業(yè)內(nèi)人士認(rèn)為網(wǎng)絡(luò)安全是一項(xiàng)十分艱巨的任務(wù)。它的流程經(jīng)常被誤解，因?yàn)樗鼈儽诲e(cuò)誤地歸類為單純的技術(shù)功能。現(xiàn)實(shí)情況是，網(wǎng)絡(luò)涵蓋的范圍更廣，包含了流程業(yè)務(wù)的方法和輔助業(yè)務(wù)的方式。

我們最重要的建議之一就是所有組織（尤其是與美國國防部有關(guān)的組織）都應(yīng)該確保在項(xiàng)目早期就與網(wǎng)絡(luò)專家進(jìn)行流程方面的合作，并確認(rèn)設(shè)定好明確、可實(shí)施的流程改進(jìn)目標(biāo)。另外，網(wǎng)絡(luò)流程還需要和公司的其他記錄流程實(shí)現(xiàn)良好的配合。

早期集成將有助于避免在已經(jīng)完成的項(xiàng)目中對網(wǎng)絡(luò)要求的“追趕”。越早開始合作，在項(xiàng)目計(jì)劃和雙方期望的理解上效率就越高。從一開始就將其包含在內(nèi)，并在使用敏捷方法時(shí)將其集成。

持續(xù)改進(jìn)

許多專業(yè)人士對即將實(shí)行的網(wǎng)絡(luò)法規(guī)表示擔(dān)憂。而其中一個(gè)解決方案是確保適當(dāng)?shù)闹卫淼玫綄?shí)施以明確網(wǎng)絡(luò)安全在組織里的優(yōu)先級。來自高層和內(nèi)部利益相關(guān)者的支持則顯得尤為重要。其中，標(biāo)準(zhǔn)則是和網(wǎng)絡(luò)相關(guān)的一個(gè)重要方面。這是可以交付給投資者的一個(gè)實(shí)際、有形的資產(chǎn)，確保你在商業(yè)活動(dòng)里得到足夠支持。

當(dāng)涉及到流程時(shí)，則需要專注于持續(xù)改進(jìn)，并持續(xù)監(jiān)控結(jié)果。

有流程改進(jìn)經(jīng)驗(yàn)的人士可以與網(wǎng)絡(luò)專家合作，這些專家會(huì)將需要合規(guī)的內(nèi)容匯總在一起。這工作并沒有看上去那么可怕！它可通過高效的方式完成，同時(shí)能幫助關(guān)鍵目標(biāo)的達(dá)成。第一次看到那些要求可能會(huì)被嚇到，但如果回歸到流程改進(jìn)專家多年來共享的概念中去，整個(gè)過程就會(huì)順暢很多。

我們熱衷于分享如何使用CMMI V2.0實(shí)施網(wǎng)絡(luò)安全以及它們?nèi)绾闻c網(wǎng)絡(luò)世界中不斷發(fā)展的合規(guī)性要求所重合。CMMI V2.0及其實(shí)踐領(lǐng)域與國防部合規(guī)性方面的要求非?；パa(bǔ)。如果一家公司不合規(guī)，它就無法運(yùn)營。

網(wǎng)絡(luò)安全如今已成為商業(yè)的一部分

一些政府機(jī)構(gòu)已為其承包商規(guī)定了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。例如，許多公司將需要在2021年之前獲得網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）的認(rèn)證，而國防部已將安全性確定為收購決策中，績效、進(jìn)度和成本之外的第四支柱。

CMMI V2.0和網(wǎng)絡(luò)合規(guī)性框架是互補(bǔ)的，并提供了更多一層保障。他們確定了實(shí)踐領(lǐng)域和價(jià)值，想要實(shí)施從領(lǐng)導(dǎo)到用戶的自上而下方法。它們還可以用于處理供應(yīng)鏈、配置管理、治理和政策、計(jì)劃以及監(jiān)控。

CMMC和CMMI V2.0使用相同的基本架構(gòu)，因此具有相似的外觀和感覺。CMMI V2.0的“實(shí)踐領(lǐng)域”包含確保實(shí)施目標(biāo)的實(shí)踐聲明，并具有五個(gè)成熟度級別，這些級別經(jīng)由CMMI認(rèn)證的首席評估師領(lǐng)導(dǎo)的CMMI評估獲得評級。CMMC擁有相關(guān)域包含了網(wǎng)絡(luò)安全最優(yōu)操作并確保實(shí)施目標(biāo)，還有五個(gè)級別的認(rèn)證以及一個(gè)評估方法。首席評估師進(jìn)行評估，以給證明合規(guī)性的公司提供認(rèn)證。

從合規(guī)性開始意味著組織需要了解其目前的狀況，并且必須明確其優(yōu)缺點(diǎn)。為了避免返工并確保資源集中在正確的方向，應(yīng)該從差距分析開始。這可以直接映射到CMMI V2.0流程改進(jìn)和網(wǎng)絡(luò)合規(guī)性框架。

CMMI V2.0中的實(shí)踐領(lǐng)域?qū)椭芾眄?xiàng)目，開發(fā)流程資產(chǎn)，并為制度化已開發(fā)的網(wǎng)絡(luò)流程提供更多支持。CMMC模型中的制度化更加能夠確保每個(gè)級別相關(guān)的實(shí)踐均得到有效實(shí)施。其他一些CMMI V2.0實(shí)踐領(lǐng)域也為網(wǎng)絡(luò)域提供直接支持。此外，ISACA計(jì)劃發(fā)布一個(gè)名為“管理安全性”的新功能區(qū)域。這個(gè)新的功能區(qū)域?qū)瑢?shí)踐領(lǐng)域，例如：啟用保密性，管理威脅和漏洞以及啟用安全性。在此版本之后，CMMI V2.0和CMMC將更加同步并相互支持。

在產(chǎn)品設(shè)計(jì)之初網(wǎng)絡(luò)安全就需要納入項(xiàng)目中，以增加成功的幾率。這不是一個(gè)孤島，組織中的每個(gè)人都對安全環(huán)境負(fù)責(zé)?？煽康木W(wǎng)絡(luò)安全計(jì)劃可以節(jié)省成本，并有助于防止意外的數(shù)據(jù)泄漏，社會(huì)工程風(fēng)險(xiǎn)以及受控的非保密信息（CUI）和聯(lián)邦采購法規(guī)（FAR）信息的泄漏。

計(jì)劃工作與監(jiān)控

網(wǎng)絡(luò)安全合規(guī)性，特別是在政府部門中，是一個(gè)有明確期限的項(xiàng)目。因此，為項(xiàng)目制定里程碑并與利益相關(guān)者定期開會(huì)將起到關(guān)鍵作用。針對成本、資源和供應(yīng)管理以及任何其他困難，保持溝通順暢非常重要

無需意外的是，用戶是最薄弱的環(huán)節(jié)。組織需要平衡安全性的實(shí)施，同時(shí)又不妨礙工作績效。這可能需要對中央進(jìn)行深度控制和防御，對網(wǎng)絡(luò)釣魚活動(dòng)進(jìn)行宣傳教育，對門和庫存進(jìn)行檢查以及對數(shù)據(jù)導(dǎo)出進(jìn)行控制。

即便合規(guī)性項(xiàng)目完成，也還不到高枕無憂鳴金收兵的時(shí)候。組織必須繼續(xù)監(jiān)控流程和實(shí)施，控制更改并測試更新。

取得成果

對于任何新產(chǎn)品或是很有可能交付的生產(chǎn)，顯然是越早讓網(wǎng)絡(luò)參與越好。這有助于所有參與者從不斷的改進(jìn)中獲益，并專注于如何最終取得成功。將質(zhì)量流程管理與網(wǎng)絡(luò)安全結(jié)合起來的組織可以簡化并整理好工作，以確保順利完成。常言道，授人以魚不如授人以漁。

注：本文于2020年10月21日首次發(fā)表于CMMI研究院官網(wǎng)Blog。聯(lián)合撰稿人是Deloitte Atomic Wombat公司總裁 Sara Deaton和德勤Specialist Master Benjamin Luthy。