111年法務部調查局調查人員三等系統分析與設計
三、請說明能力成熟度模型整合 (Capability MaturityModel Integration;CMMI) 與網宇安全成熟度模型認證 (Cybersecurity Maturity Model Certification;CMMC) 的目的並比較各自成熟度之差異及優缺點。(40分) |
答:
(一)CMMI的目的
1.CMMI 模型的目的是評估組織程式的成熟度,並且提供改善流程的指引,目標是改善產品。
2.CMMI 是風險管理的模型,並且提供方法來測量組織管理風險的能力,讓組織能夠提供高品質的產品。
3.根據研究顯示,導入 CMMI 之後,成熟度每升高一級,大約可以降低5%到10%的開發成本,經過持續改善,最高可以提升60%以上的生產力,也可以讓產品上市時間大幅提前,並且降低90%的錯誤數。
4.在標準化流程的規範下,專案預估和控制力大約可以提升5成,雖然初期導入CMMI 的成本高,但是長遠看來,投資報酬率將會是該成本的5倍左右。
(二)CMMC的目的
1.主要目的是在評估國防部承包商在網路安全領域的能力,適用於與國防部有直接接觸的主要承包商、執行合約的分包商和外國供應商。
2.這將涵蓋國防部30萬家承包商。由於美國每年平均因為網路安全損失超過6千億美金,而且執行國防部合約的分包商通常都是小型企業,大部分沒有完善的網路安全措施。對駭客而言,攻擊第二線承包商比攻擊第一線的更具吸引力。
3.由於承包商數量極多且計畫相當艱鉅,國防部要求由第三方評估組織來執行 CMMC 認證,國防部會對該評估組織進行認證。
(三)CMMI與CMMC成熟度的差異
|
CMMI |
CMMC |
發明者 |
美國卡內基美隆大學的軟體工程學院 |
美國國防部 |
功能 |
可以評估和改進組織的軟體開發、採購,以及維護過程 |
1.評估美國國防部承包商的網路安全能力 2.建立在現有的 CMMI 框架之上,並且增加了特定的網路安全要求 |
層級 |
五個成熟度層級分別是初始級 (Initial)、管理級 (Managed)、定義級 (Defined)、量化管理級 (Quantitatively managed),以及最佳化級 (Optimizing) |
1.CMMC 1.0: 規劃了五個等級,分別是基本防護 (Basic)、中等防護(Intermediate)、良好防護 (Good)、主動防護 (Proactive),以及進階防護(Advanced) 2.CMMC 2.0: 簡化為三個等級,分別是第一級基礎防護 (Foundational)、第二級進階防護 (Advanced),以及第三級專家防護 (Expert) |
主要架構 |
成熟度層級、關鍵程序領域、共同特色,以及關鍵實務 |
具有三個關鍵特性,分別是分層模型、評估要求,以及通過合約實施 |
適用對象 |
投標廠商 |
主要承包商、執行合約的分包商和外國供應商 |
※參考資料:
1.https://redriver.com/security/cmmi-vs-cmmc
2.https://ingsafe.tw/cmmc
3.https://www.egnyte.com/blog/post/3-ways-to-meet-cmmc-self-assessment-requirements
4.https://neuron.csie.ntust.edu.tw/homework/93/csie_introduction/homework3/B9315032/%E5%84%AA%E7%BC%BA%E9%BB%9E.htm
(四)CMMI的優點
1.讓各家業者針對複雜的軟體工程專案,可以進行簡單一致的「對話」。例如外國廠商將專案外包給台灣業者時,會開出其他規格和要求,如果台灣業者在公司制度及軟體工程流程,符合國際規範,雙方就可以很快的達成共識。
2.降低開發軟體的成本,提升專案預估和控制力,以及投資報酬率。
3.提高軟體開發的生產力與品質。
4.軟體開發程序的制度化、透明化與標準化。
5.避免工作的重複。
6.避免錯誤的再犯。
(五)CMMI的缺點
CMM/CMMI 的認證需要有專業評鑑員組成審查小組進行審查,而全球只有三百多名專業評鑑員,國際級評鑑員索價高昂,然而台灣沒有自有的輔導師資,必須請求國外的資源,所以花費很大。
(六)CMMC的優點
透過第三方認證機制,藉以驗證民間承包商是否擁有適當的網路安全控制措施,若不符合要求,就會被取消參與政府標案的資格。
(七)CMMC的缺點
1.評估費用昂貴。
2.如果技術和項目範圍蔓延,則會影響交付時間並增加總體成本。
留言列表