"네트워크 안전은 오늘날 주요 기업 거버넌스 과제입니다. 약 87%의 고위 임원 및 이사회 구성원이 회사의 네트워크 안전 기능에 대한 확신이 부족합니다. 많은 최고 정보 보안 책임자(CIO) 및 컴퓨팅 서비스 사무실이 표준 및 프레임워크 구현에 중점을 두고 있지만, 규정 준수가 전반적인 사이버 보안 탄력성을 향상시키지 못한다면 규정 준수가 무슨 소용이 있습니까?" – CMMI 연구소
많은 조직에 정보 보안 프로그램이 있지만 많은 경영진과 이사회는 이러한 프로그램의 진행 상황을 측정하는 방법을 모릅니다. 따라서 기술에 대한 투자가 인식되거나 알려지지 않은 위험을 완화할 수 있다고 믿기를 꺼립니다. 일부 조직에서는 규제된 규정 준수 표준을 사용합니다. 그러나 이러한 표준은 특정 위험 영역 또는 일반적인 보안 원칙에만 초점을 맞추기 때문에 기업 위험 환경을 완전히 포괄하지 않습니다.
많은 조직이 정보 보안과 정보 기술을 혼동합니다. 새로운 솔루션 요청은 개선 사항 또는 위시리스트 항목으로 간주됩니다. 예를 들어 정규직 직원 추가 요청은 ISP 개선이 아닌 운영 비용으로 간주됩니다. 차이점은 위험이 이러한 요청과 연관되어 궁극적으로 CMMI에 반영된다는 점입니다. 사람, 프로세스, 기술과 CMMI 간에는 직접적인 연결이 있습니다.
ISACA(정보 시스템 감사 및 통제 협회)는 경영진에게 제시할 수 있는 형식으로 비즈니스 성숙도와 성과를 측정하기 위해 CMMI를 만들었습니다. 그러나 최근 몇 년간 눈에 띄는 위반 사례와 이러한 위반의 영향으로 인해 이사회는 조직 ISP의 성숙도를 이해하기 시작했습니다.
CMMI는 이러한 요구를 충족합니다. CMMI 연구소(ISACA 자회사)에 따르면 이는 "핵심 역량을 구축하고 벤치마킹하여 비즈니스 성과를 촉진하는 입증된 글로벌 모범 사례 세트"입니다. 원래는 미국 국방부가 소프트웨어 계약업체의 품질과 역량을 평가하기 위해 만들어졌습니다. CMMI 모델은 이제 모든 산업에서 역량과 성과를 구축, 개선 및 측정하는 데 도움이 될 수 있습니다.
CMMI 모델은 인기를 얻고 있습니다. 정보 보안 팀이 ISP 지원 및 유지 관리에 대해 경영진을 교육하는 데 도움이 됩니다. 또한 내부 및 외부 위협에 대해 효과적인 보호를 계속 제공할 수 있습니다.
요약하면, CMMI 모델은 조직이 미래 솔루션을 위한 자금을 신청할 때 미래 위험을 식별, 전달, 예측하고 포괄적이고 입증된 근거를 개발하는 책임이 있는 정보 보안 팀을 이해할 수 있는 다리를 제공합니다.
게시 시간: 2022-02-28 00:00:00
