「ネットワークの安全性は今日のコーポレートガバナンスの主要な課題であり、上級幹部や取締役の約87%が自社のネットワークの安全性能力に自信を持っていません。多くの最高情報セキュリティ責任者やコンピューティングサービスオフィスは標準とフレームワークの実装に重点を置いていますが、コンプライアンスによって全体的なサイバーセキュリティの回復力が向上しないのであれば、コンプライアンスの意味がありません。」 – CMMI研究所
多くの組織には情報セキュリティ プログラムがありますが、多くの経営幹部や取締役会は、これらのプログラムの進捗状況を測定する方法を知りません。そのため、テクノロジーへの投資によって、認識されているリスクや未知のリスクが軽減されるとは信じたがりません。一部の組織では、規制されたコンプライアンス標準を使用しています。ただし、これらの標準は、特定のリスク領域または一般的なセキュリティ原則にのみ焦点を当てているため、企業のリスク環境を完全にはカバーしていません。
多くの組織は、情報セキュリティと情報テクノロジを混同しています。新しいソリューションのリクエストは、機能拡張またはウィッシュリストの項目と見なされます。たとえば、フルタイム従業員の追加リクエストは、ISP の機能強化ではなく、運営費のコストとみなされます。違いは、これらのリクエストにはリスクが関連付けられており、最終的に CMMI に反映されることです。人材、プロセス、テクノロジと CMMI の間には直接的なつながりがあります。
Information Systems Audit and Control Association (ISACA) は、経営陣に提示できる形式でビジネスの成熟度とパフォーマンスを測定するために CMMI を作成しました。しかし近年、目に見える違反とその違反の影響により、取締役会は組織の ISP の成熟度を理解し始めています。
CMMI はこのニーズを満たします。CMMI Institute (ISACA の子会社) によると、CMMI は「主要な機能を構築およびベンチマークすることでビジネス パフォーマンスを向上させる、実証済みの世界的なベスト プラクティスのセット」です。もともと、米国国防総省がソフトウェア請負業者の品質と能力を評価するために作成されました。現在、CMMI モデルは、あらゆる業界が能力とパフォーマンスを構築、改善、測定するのに役立ちます。
CMMI モデルは人気が高まっています。CMMI モデルは、情報セキュリティ チームが ISP のサポートとメンテナンスについて経営幹部チームをトレーニングするのに役立ちます。さらに、内部および外部の脅威に対して効果的な保護を提供し続けることができます。
要約すると、CMMI モデルは、将来のリスクを特定、伝達、予測し、将来のソリューションへの資金を申請する際に包括的で実証済みの理論的根拠を開発する責任を負う情報セキュリティ チームを組織が理解するための橋渡しとなります。
投稿時間: 2022-02-28 00:00:00
