这篇文章是阐明CSF层和成熟度水平之间的不同。

 安全成熟度模型是一组特征或指标,表示组织安全计划中的能力和进展。

网络安全框架实现层并非旨在是成熟程度。这些层旨在为网络安全风险管理和运营风险管理之间的互动和协调提供指导。允许组织从组织的广泛观点允许组织允许组织从组织的目前的活动储备,并确定当前的网络安全风险管理实践的整合是否足够,因为他们的使命,监管要求和风险偏好是足够的。当这种变化会降低网络安全风险并具有成本效益,鼓励进展到更高层次的进展。

nist csf层

NIST CSF层代表组织观看网络安全风险的良好程度,以减轻风险的过程。这有助于为组织提供关于其当前操作的基准。
  • 1 - 部分: 组织网络安全风险不会以临时和有时的反应方式正式化和管理。还有有限的网络安全风险管理意识。
  • 第2层 - 风险信息: 可能没有组织范围的安全风险管理政策。管理处理网络安全风险管理根据风险。
  • 第3层 - 可重复: 正式的组织风险管理程序后面是一个定义的安全策略。
  • 第4层 - 适应性: 此阶段的一个组织将根据经验教训和分析驱动的经验教训,为提供见解和最佳实践来调整其网络安全政策。该组织不断从组织中发生的安全事件中学习,并将与更大的网络共享该信息。
您可以使用NIST CSF基准测试您当前的安全姿势。核心功能中的每个类别和子类别都可以帮助您确定您在NIST CSF层中的位置。

到期水平

1级: Initial 
在此级别,没有有组织的过程。流程是临时和非正式的。安全过程是无功而不是可重复的,可衡量的,可释放的。 
2级: Repeatable 
在成熟期的这个阶段,一些过程变得可重复。虽然缺乏纪律,但虽然纪律,但一定程度的正式计划已经开始。已经建立,定义和记录了一些进程。 
第3级: Defined 
这里,进程已成为正式,标准化和定义。这有助于在整个组织中创建一致性。 
4级: Managed 
在此阶段,该组织开始衡量,完善和调整其安全流程,以使其更有效和高效地根据他们的计划收到的信息。 
5级: Optimizing 
在5级运行的组织具有自动化,记录和不断分析的流程以进行优化。在这个阶段,网络安全是整体文化的一部分。 
然而,到达5级并不意味着组织的成熟度已达到顶峰。这意味着他们不断监控和发展他们的流程,使它们更好。 
成熟度标准化定义(人,过程,技术)

免费评估工具:

参考

来自Blogger. //blog.fabiandinkins.com/2020/07/csf-security-tiers-vs-security-maturity.html

经过 jonny.

发表评论