Genuine Parts使用ISACA CMMI®网络成熟度平台提升网络成熟度

Genuine Parts公司决定使用一个通用框架来完成其网络成熟度的首次评估,以便设立基准。这个通用框架必须与NIST网络安全框架(CSF)和ISO 27001控制措施保持一致。公司需要评估多个单元,要求成熟度与NIST CSF一致,不仅要合规、更特别聚焦于风险管理成熟度。为此,公司定制了CMMI网络安全平台,在评估中有针对性地改进以下领域:
  • 治理要素的应用
  • 风险战略的应用
  • 实施风险管理
  • 实施风险识别
  • 保证访问控制管理
  • 应用数据安全保护
  • 组织培训的应用
  • 保证值得信赖的系统
  • 操作保护规定的应用
  • 保护规划的应用
  • 保护性技术规定的应用
  • 网络安全事故检测的应用
  • 持续监测的应用
  • 事故响应的应用
  • 事故处理的应用
  • 事故恢复的应用
解决方案

Genuine Parts选择CMMI网络安全平台的一大原因是CMMI已经成为基于风险控制的行业基准,与全球公认的标准、特别是NIST网络安全框架(CSF)相一致。此外,CMMI的信息参考和与20个CIS(网络安全中心®)网络安全控制、COBIT控制、ISA-62443-2-1-2009(工业自动化和控制系统安全)、ISO/IEC 27001 INFOSEC控制和联邦控制NIST SP 800-53 Rev.4-1一致,非常实用。Genuine Parts将其首次CMMI网络安全平台成熟度评估模型定为:
  • 数字化
  • 基于风险
  • 提供风险概况/地图
  • 易于使用
  • 可定制
  • 自定进度
  • 与NIST网络安全框架(CSF)一致
  • 与ISO 27001控制措施一致,便于自我评估和改进
  • 生成一个改进路线图
Genuine Parts开发其定制化的风险档案时,高层之间就每个发生频率值的描述符进行了重要的讨论。他们最后确定下来的定义对校准当前状态、确定改进目标至关重要。

此外,公司在每个实践域评估中使用CMMI网络安全平台成熟度记分卡,使员工能够评估和理解每个成熟度等级的人员、流程和技术(PPT)目标,以及按成熟度等级划分的相应ISO 27001信息参考。这种做法提供了对比测量成熟度与目标成熟度水平的新思路,兼具启发性与鼓舞性,推动公司实现持续改进。
 
达成关键绩效目标

虽然Genuine Parts企业安全团队控制不了收到多少安全事件任务,但它可以控制如何更有效、更及时地解决问题。

自2020年1月CMMI网络安全平台自评开始以来,他们已经:
 
  • 将完成任务的平均时间(MTTR)从前三个季度的近24天(23.9)减少到2020年前两个季度的平均6.5天。
  • 将任务积压天数从前三个季度的最高117天减少到2020年前两个季度的6天。