iThome 1106期封面故事主題是網路安全成熟度模型認證(CMMC),讓我想到去年封面故事《2021資安大預測》,我們將資安成熟度列入年度重大資安趨勢,因為這已升格為產業落實資安的重要議題,資安主編羅正漢那時提到的多個資安框架,都採用這個概念,像是NIST Cybersecurity Framework(CSF)、BS 31111:2018、ACSC Essential Eight、Cyber Defense Matrix(CDM),以及我們這次介紹的CMMC;除此之外,資安業界還有CIS Critical Security Controls、CISA Zero Trust Maturity Model、Cybersecurity Capability Maturity Model(C2M2)、Cybersecurity Capacity Maturity Model for Nations(CMM)等框架或模型,都以「成熟度」作為評估與持續推動資安的指標。

談到CMMC,很多在IT領域工作多年的人,可能會馬上聯想到能力成熟度模型(Capability Maturity Model,CMM),以及能力成熟度模型整合(Capability Maturity Model Integration,CMMI)。而在軟體開發工程、資訊軟體品質的領域,CMMI評鑑曾蔚為風潮,有許多企業、組織、公部門將其用於評估軟體的能力。

基本上,CMM與CMMI都分為5種等級,前者依序為:初始(Initial)、可重複執行(Repeatable)、已定義(Defined)、已管理(Managed)、最佳化(Optimizing),後者依序為:初始(Initial)、已管理(Managed)、已定義(Defined)、量化管理(Quantitatively Managed)、最佳化(Optimizing)。

在網路上尋找成熟度評估論述時,我發現有些專家將其與能力(Capability)對比,探討兩者各自適用的情境。

以能力評估而言,是針對每個流程各種現行實務的顯現方式,可套用在個別領域的流程改善,能使產品、服務滿足特定的品質與流程績效目標,導入可行的流程,以便在規格內部持續產生輸出,執行這類流程往往能產生符合預期的結果。

成熟度評估則是針對組織內部多組流程的展現,是指在多個領域的流程改善,組織面對正在做的任何事情,能夠透過妥善的文件記錄,促使每個人知道自己該做的事情與該有的表現,所執行的決策都是基於適當的狀況分析而來,而非單靠傑出者來創造績效。

在IT治理領域相當知名的COBIT(Control Objectives for Information and Related Technology)框架,也有能力等級與成熟度等級的區分。回顧一路以來的發展,COBIT初期是以流程的能力為主,中期延伸為「成熟度包含能力」的形式,之後再將這樣的評估概念擴展至其他治理與管理元件中。

究竟該用能力或成熟度來評估?有些領域已有共識。關於資安防護的強化,成熟度評估是目前較多人認可且積極推動的,而在企業與組織的數位轉型工作上,同樣有許多研究機構與專家運用成熟度來進行評估,不過,也有人認為應該關注能力,而非成熟度——他們提出幾個質疑,例如,組織可能會聚焦在如何達到成熟的狀態,一旦完成目標,工作就結束了;假設所有組織的數位轉型過程,都採取線性路徑的方式進行;並非基於成果輸出的方式進行;在達成目標等級的定義上,會是靜態而非動態的。

然而,若對照過去整個業界發展的評估概念而言,成熟度的實際應用應該不會如此僵化,其實會是動態、靈活、持續進行的,但這些面向還是值得大家反思,因為這些狀況的確很有可能發生,導致相關的強化或轉型工程趨於僵化。

 相關報導 

 

專欄作者

熱門新聞

Advertisement