搜索
搜索

關于

/
/
他山之石 | 大事作于細—解讀美國防部《網絡安全能力成熟度認證》新標準
全部分類

他山之石 | 大事作于細—解讀美國防部《網絡安全能力成熟度認證》新標準

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-04 13:14
  • 訪問量:

【概要描述】

他山之石 | 大事作于細—解讀美國防部《網絡安全能力成熟度認證》新標準

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-04 13:14
  • 訪問量:
詳情
 
 
2020年1月30日,美國國防部發布了網絡安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)標準正式版1.0,該標準適用于美國30多萬家國防工業部門,以及國防部的供應鏈公司,要求其達到相應級別的安全能力并通過第三方認證,以確保國防敏感信息安全。
 
成熟度模型提供了一個表征系統能力和發展的特征、屬性、指標集合,同時也是一個基準,組織可以據此評估其流程、實踐和方法的當前能力水平,并設定改進的目標和優先級。
 
在網絡安全領域,涉及的安全能力成熟度模型較多,除了適用于美國國防工業部門及供應鏈公司的CMMC模型外,還包括來自英國牛津大學的全球網絡空間安全能力中心(GCSCC)創建的能力成熟度模型(GCSCC CMM)、系統安全工程能力成熟度模型(SSE-CMM)、OWASP發布的軟件保證成熟度模型(SAMM)、國內標準GB/T 37988-2019 數據安全成熟度模型(DSMM)、構建安全成熟度模型 (BSIMM)、信息安全管理成熟度模型(ISM3)等,各模型側重于不同細分領域,對于本領域能力成熟度評價和建設起到重要的指導作用。
 
CMMC模型框架在最高級別的分類是“域”(Domain),每個域細分為一組“能力”(Capabilities),這些能力確保在每個域內都達到相應的網絡安全目標。通過“實踐”(Practices)和“流程”(Processes)對應的五個成熟度級別,證明其對能力的符合程度。其中,實踐是衡量一個組織達到指定能力要求所需的技術活動,而流程是衡量一個組織流程的成熟度。模型框架如下圖所示。
 
 
一、CMMC級別
 
 
CMMC模型具有五個級別,每個級別都有一組流程和實踐。
 
 
(一)級別1
 
流程,可執行的(Performed):以臨時方式執行,可能不依賴文檔,不評估成熟度。
 
實踐,基本網絡健康(Basic Cyber Hygiene):為更高級別模型奠定基礎。具備1級和2級的組織能夠根據合同為政府開發提供產品或服務,非公開發布信息。
 
(二)級別2
 
流程,文檔化的(Documented):制定并記錄實踐和政策,以指導工作開展。通過記錄,使每個人能夠以可重復方式執行操作,并按記錄開展工作以實現成熟的功能。
 
實踐,中級網絡健康(Intermediate Cyber Hygiene):是1級到3級的過渡,具有更大能力保護和維持其資產免受更多侵害。
 
(三)級別3
 
流程,可管理的(Managed):制定、維護和提供資源,以支持實踐活動管理計劃。該計劃包括有關任務、目標、項目計劃、資源配置、培訓以及利益相關者信息。
 
實踐,良好的網絡健康(Good Cyber Hygiene):能證明其良好的網絡健康狀況和有效實施的控制措施,具備保護敏感非密信息的基本能力(Controlled Unclassified Information)。但在本級組織將面臨防御高級持續威脅(APT)的挑戰。
 
(四)級別4
 
流程,可審核的(Reviewed):審核和衡量實踐以提高有效性,在必要時采取糾正措施,并定期向高層管理人員通報。
 
實踐,主動的(Proactive):具有實質性的主動網絡安全計劃免受APT攻擊,具備增強的偵查和響應能力,以解決和適應APT不斷變化的策略、技術和程序(TTP)。
 
(五)級別5
 
流程,可優化的(Optimizing):在整個組織中以標準化和持續優化的流程開展實施。
 
實踐,高級的/持續進步的(Advanced / Progressive):增加網絡安全功能的縱深和復雜性,并具有可證明的優化其網絡安全狀況的能力,免受APT攻擊。
 
 
二、CMMC域和能力
 
 
CMMC模型包含17個域40個能力。
 
 
三、CMMC流程成熟度
 
流程越成熟,表明組織越可能持續執行該活動,并且結果是一致、可重復和高質量的。CMMC成熟度級別是衡量組織流程成熟度的一種有效方法。
 
流程級別1:可執行的,組織執行安全實踐,但沒有流程和制度化要求,級別1不評估流程成熟度。
 
流程級別2:文檔化的,建立包括每個域的策略,記錄各域CMMC實踐以實施策略。
 
流程級別3:可管理的,建立、維護和提供包含各域的安全計劃。
 
流程級別4:可審核的,審核并評估各域實踐活動的有效性。
 
流程級別5:可優化的,在所有域具備標準化和持續優化的文檔化方法。
 
 網御星云安全咨詢能力 
 
 
網御星云安全咨詢團隊長期致力于兼收并蓄國際上最先進的信息安全和IT服務管理理念,結合國內行業特點,保持獨立、中立和客觀的立場,為客戶提供量身定做并且遵循國際、國內法律法規和政策標準的信息安全咨詢服務。經過多年的實踐,已組建務實穩健的咨詢專家團隊,形成一套成熟的安全咨詢方法論,建立較為完備的安全咨詢服務體系。我們善于將ISO27001、ISO20000、BCM、SDL、SAS70、PCI、COBIT、NIST等國際標準和最佳實踐恰當引入,同時結合客戶行業特點及企業實際安全現狀和需求,幫助客戶建立符合業務需要的業務連續性管理體系、應急管理體系、信息安全管理體系、數據安全治理體系、信息安全保障體系或安全運營體系,提升其網絡安全整體水平,使安全管理真正成為企業整體發展的助動之力。
 
 
THE END
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网