Genuine Parts Company确定其初始网络成熟度评估需要根据与NIST CSF和ISO 27001控制相一致的通用框架创建基线. 需要评估多个单元的正品部件, 展示了与NIST CSF一致的成熟度, and specifically focus on demonstrating maturity performance in managing risk; not just compliance-based.
Genuine Parts customized the CMMI Cybermaturity Platform 针对这些具体领域,在评估中加以改进.
- Apply governance elements
- Apply risk strategy
- Implement risk management
- Implement risk identification
- 确保访问控制管理
- Apply data security protection
- Apply organizational training
- Ensure trustworthy systems
- 应用操作保护条款
- Apply protection planning
- 应用防护技术条款
- 应用网络安全事件检测
- Apply continuous monitoring
- Apply incident response
- Apply incident handling
- Apply incident recovery
The Solution
Genuine Parts之所以选择CMMI网络成熟度平台,是因为它符合全球公认的标准, 特别是NIST网络安全框架(CSF), 因为它已经是一个基于风险控制的行业基准, 以及它的信息参考和跨20个CIS(互联网安全中心)的对齐®) Cyber Security Controls, COBIT Controls, ISA-62443-2-1-2009工业自动化和控制系统安全, ISO/IEC 27001 INFOSEC Controls, 联邦政府控制NIST SP 800-53 Rev. 4 -1 provide additional utility. To succeed, 原厂零件确定其初始CMMI网络成熟度平台成熟度评估模型为:
- Digital
- Risk-based
- Provide a risk profile/map
- Easy to use
- Customizable
- Self-paced
- 符合NIST网络安全框架(CSF)
- 符合ISO 27001控制标准,便于自我评估和改进
- 制定改进路线图
正品配件公司开发了定制的风险配置文件, 每个发生频率值的描述符导致了Genuine Parts高级领导之间的宝贵讨论. Without these definitions, 校准它们的当前状态,然后定义改进目标几乎是不可能的.
In addition, 在每个实践领域评估中使用CMMI网络成熟度平台成熟度记分卡允许员工审查和理解人员, Process, 每个成熟度级别的技术(PPT)目标, 及其相关的ISO 27001成熟度级别信息参考. 这个视图为测量vs提供了具体的见解. 有针对性的成熟度级别——一次令人大开眼界的经历,也是实现持续改进的战斗口号.
Key Performance Goals Achieved
而正版零件公司澳门赌场官方下载安全团队无法控制其收到的安全事件任务的数量, 它可以控制如何以更有效和及时的方式处理它们的决议.
自2020年1月CMMI网络成熟度平台自我评估以来,他们已经:
- 减少平均任务解决时间(MTTR)从近24天(23.9)与前三个季度相比,平均为6.2020年前两个季度为5天
- 减少了任务的待处理天数范围,从前三个季度的117天, 2020年前两个季度降至6天的低点
Editor’s note: Read the full Genuine Parts case study. For additional resources on cyber maturity, 包括一个关于ISACA的CMMI的视频® 网络成熟度平台帮助ciso、cio和大型澳门赌场官方下载组织构建网络成熟度; 访问ISACA的网络成熟度页面.
