搜索
搜索

关于

/
/
他山之石 | 大事作于细—解读美国防部《网络安全能力成熟度认证》新标准
全部分类

他山之石 | 大事作于细—解读美国防部《网络安全能力成熟度认证》新标准

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-03-04 13:14
  • 访问量:

【概要描述】

他山之石 | 大事作于细—解读美国防部《网络安全能力成熟度认证》新标准

【概要描述】

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-03-04 13:14
  • 访问量:
详情
 
 
2020年1月30日,美国国防部发布了网络安全成熟度模型认证(Cybersecurity Maturity Model Certification, CMMC)标准正式版1.0,该标准适用于美国30多万家国防工业部门,以及国防部的供应链公司,要求其达到相应级别的安全能力并通过第三方认证,以确保国防敏感信息安全。
 
成熟度模型提供了一个表征系统能力和发展的特征、属性、指标集合,同时也是一个基准,组织可以据此评估其流程、实践和方法的当前能力水平,并设定改进的目标和优先级。
 
在网络安全领域,涉及的安全能力成熟度模型较多,除了适用于美国国防工业部门及供应链公司的CMMC模型外,还包括来自英国牛津大学的全球网络空间安全能力中心(GCSCC)创建的能力成熟度模型(GCSCC CMM)、系统安全工程能力成熟度模型(SSE-CMM)、OWASP发布的软件保证成熟度模型(SAMM)、国内标准GB/T 37988-2019 数据安全成熟度模型(DSMM)、构建安全成熟度模型 (BSIMM)、信息安全管理成熟度模型(ISM3)等,各模型侧重于不同细分领域,对于本领域能力成熟度评价和建设起到重要的指导作用。
 
CMMC模型框架在最高级别的分类是“域”(Domain),每个域细分为一组“能力”(Capabilities),这些能力确保在每个域内都达到相应的网络安全目标。通过“实践”(Practices)和“流程”(Processes)对应的五个成熟度级别,证明其对能力的符合程度。其中,实践是衡量一个组织达到指定能力要求所需的技术活动,而流程是衡量一个组织流程的成熟度。模型框架如下图所示。
 
 
一、CMMC级别
 
 
CMMC模型具有五个级别,每个级别都有一组流程和实践。
 
 
(一)级别1
 
流程,可执行的(Performed):以临时方式执行,可能不依赖文档,不评估成熟度。
 
实践,基本网络健康(Basic Cyber Hygiene):为更高级别模型奠定基础。具备1级和2级的组织能够根据合同为政府开发提供产品或服务,非公开发布信息。
 
(二)级别2
 
流程,文档化的(Documented):制定并记录实践和政策,以指导工作开展。通过记录,使每个人能够以可重复方式执行操作,并按记录开展工作以实现成熟的功能。
 
实践,中级网络健康(Intermediate Cyber Hygiene):是1级到3级的过渡,具有更大能力保护和维持其资产免受更多侵害。
 
(三)级别3
 
流程,可管理的(Managed):制定、维护和提供资源,以支持实践活动管理计划。该计划包括有关任务、目标、项目计划、资源配置、培训以及利益相关者信息。
 
实践,良好的网络健康(Good Cyber Hygiene):能证明其良好的网络健康状况和有效实施的控制措施,具备保护敏感非密信息的基本能力(Controlled Unclassified Information)。但在本级组织将面临防御高级持续威胁(APT)的挑战。
 
(四)级别4
 
流程,可审核的(Reviewed):审核和衡量实践以提高有效性,在必要时采取纠正措施,并定期向高层管理人员通报。
 
实践,主动的(Proactive):具有实质性的主动网络安全计划免受APT攻击,具备增强的侦查和响应能力,以解决和适应APT不断变化的策略、技术和程序(TTP)。
 
(五)级别5
 
流程,可优化的(Optimizing):在整个组织中以标准化和持续优化的流程开展实施。
 
实践,高级的/持续进步的(Advanced / Progressive):增加网络安全功能的纵深和复杂性,并具有可证明的优化其网络安全状况的能力,免受APT攻击。
 
 
二、CMMC域和能力
 
 
CMMC模型包含17个域40个能力。
 
 
三、CMMC流程成熟度
 
流程越成熟,表明组织越可能持续执行该活动,并且结果是一致、可重复和高质量的。CMMC成熟度级别是衡量组织流程成熟度的一种有效方法。
 
流程级别1:可执行的,组织执行安全实践,但没有流程和制度化要求,级别1不评估流程成熟度。
 
流程级别2:文档化的,建立包括每个域的策略,记录各域CMMC实践以实施策略。
 
流程级别3:可管理的,建立、维护和提供包含各域的安全计划。
 
流程级别4:可审核的,审核并评估各域实践活动的有效性。
 
流程级别5:可优化的,在所有域具备标准化和持续优化的文档化方法。
 
 网御星云安全咨询能力 
 
 
网御星云安全咨询团队长期致力于兼收并蓄国际上最先进的信息安全和IT服务管理理念,结合国内行业特点,保持独立、中立和客观的立场,为客户提供量身定做并且遵循国际、国内法律法规和政策标准的信息安全咨询服务。经过多年的实践,已组建务实稳健的咨询专家团队,形成一套成熟的安全咨询方法论,建立较为完备的安全咨询服务体系。我们善于将ISO27001、ISO20000、BCM、SDL、SAS70、PCI、COBIT、NIST等国际标准和最佳实践恰当引入,同时结合客户行业特点及企业实际安全现状和需求,帮助客户建立符合业务需要的业务连续性管理体系、应急管理体系、信息安全管理体系、数据安全治理体系、信息安全保障体系或安全运营体系,提升其网络安全整体水平,使安全管理真正成为企业整体发展的助动之力。
 
 
THE END
 

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版权所有:北京网御星云信息技术有限公司    京ICP备05080314号     

这是描述信息