能力與成熟度評估

iThome 1106期封面故事主題是網路安全成熟度模型認證（CMMC），讓我想到去年封面故事《2021資安大預測》，我們將資安成熟度列入年度重大資安趨勢，因為這已升格為產業落實資安的重要議題，資安主編羅正漢那時提到的多個資安框架，都採用這個概念，像是NIST Cybersecurity Framework（CSF）、BS 31111:2018、ACSC Essential Eight、Cyber Defense Matrix（CDM），以及我們這次介紹的CMMC；除此之外，資安業界還有CIS Critical Security Controls、CISA Zero Trust Maturity Model、Cybersecurity Capability Maturity Model（C2M2）、Cybersecurity Capacity Maturity Model for Nations（CMM）等框架或模型，都以「成熟度」作為評估與持續推動資安的指標。

談到CMMC，很多在IT領域工作多年的人，可能會馬上聯想到能力成熟度模型（Capability Maturity Model，CMM），以及能力成熟度模型整合（Capability Maturity Model Integration，CMMI）。而在軟體開發工程、資訊軟體品質的領域，CMMI評鑑曾蔚為風潮，有許多企業、組織、公部門將其用於評估軟體的能力。

基本上，CMM與CMMI都分為5種等級，前者依序為：初始（Initial）、可重複執行（Repeatable）、已定義（Defined）、已管理（Managed）、最佳化（Optimizing），後者依序為：初始（Initial）、已管理（Managed）、已定義（Defined）、量化管理（Quantitatively Managed）、最佳化（Optimizing）。

在網路上尋找成熟度評估論述時，我發現有些專家將其與能力（Capability）對比，探討兩者各自適用的情境。

以能力評估而言，是針對每個流程各種現行實務的顯現方式，可套用在個別領域的流程改善，能使產品、服務滿足特定的品質與流程績效目標，導入可行的流程，以便在規格內部持續產生輸出，執行這類流程往往能產生符合預期的結果。

成熟度評估則是針對組織內部多組流程的展現，是指在多個領域的流程改善，組織面對正在做的任何事情，能夠透過妥善的文件記錄，促使每個人知道自己該做的事情與該有的表現，所執行的決策都是基於適當的狀況分析而來，而非單靠傑出者來創造績效。

在IT治理領域相當知名的COBIT（Control Objectives for Information and Related Technology）框架，也有能力等級與成熟度等級的區分。回顧一路以來的發展，COBIT初期是以流程的能力為主，中期延伸為「成熟度包含能力」的形式，之後再將這樣的評估概念擴展至其他治理與管理元件中。

究竟該用能力或成熟度來評估？有些領域已有共識。關於資安防護的強化，成熟度評估是目前較多人認可且積極推動的，而在企業與組織的數位轉型工作上，同樣有許多研究機構與專家運用成熟度來進行評估，不過，也有人認為應該關注能力，而非成熟度——他們提出幾個質疑，例如，組織可能會聚焦在如何達到成熟的狀態，一旦完成目標，工作就結束了；假設所有組織的數位轉型過程，都採取線性路徑的方式進行；並非基於成果輸出的方式進行；在達成目標等級的定義上，會是靜態而非動態的。

然而，若對照過去整個業界發展的評估概念而言，成熟度的實際應用應該不會如此僵化，其實會是動態、靈活、持續進行的，但這些面向還是值得大家反思，因為這些狀況的確很有可能發生，導致相關的強化或轉型工程趨於僵化。

 相關報導