ISACA新发布的电子书《如何利用CMMI网络成熟度平台建立成功的零信任战略（How to Build a Successful Zero Trust Strategy With the CMMI Cybermaturity Platform）》现已可以免费下载。该书可作为旨在通过ISACA的CMMI网络成熟度平台（CCP）简化组织中零信任安全战略的实施或改进的指南。 

什么是零信任？  

零信任不是一个单一的产品，而是一个安全模型，它假设每个用户、设备和应用程序都是不被信任的，并且在授予对资源的访问权限之前需要进行身份验证和授权。零信任是基于最小特权的原则，这意味着用户和设备只能访问他们工作所需的资源，仅此而已。为了正确实施零信任，组织必须：

1.识别和分类所有资源：您需要识别并确定您的组织想要保护的所有资源，如服务器、应用程序和数据库，并根据它们的敏感性和重要性进行分类。

2.实施访问控制：您应该实施访问控制，根据用户的身份、设备、位置和其他因素限制对资源的访问。这包括使用多因素身份验证、基于角色的访问控制和网络分段。

3.监控和记录：您应该监控所有的访问请求并记录所有的访问尝试，这样您就可以识别可疑的活动并实时应对安全事件。

4.利用安全技术：您应该使用安全技术，如防火墙、入侵防御系统和安全信息与事件管理（SIEM）工具，以保护您的网络并检测潜在的威胁。

5.教育员工：您需要对员工进行零信任模式及其对组织安全的重要性的教育。这包括培训他们如何识别和报告可疑的活动，以及如何使用现有的安全技术。

实施零信任可能是一个复杂的过程，但它对于保护您组织的资产免受网络威胁至关重要。组织应该考虑专门为支持零信任而设计的较新技术，但零信任的意义远不止于此。CMMI网络成熟度平台可以成为一个全面的框架，可以帮助组织评估其网络安全的成熟度，确定其需求，并建立一个零信任战略。

什么是CMMI网络成熟度平台（CCP）？

CMMI网络成熟度平台是一个强大的工具，可以帮助组织建立一个成功的网络安全计划。以下是该平台的一些最大优势：

1.整体方法：CMMI网络成熟度平台对网络安全采取整体方法，这意味着它考虑了组织网络安全计划的各个方面，包括政策、程序、培训和技术。这确保了该计划的所有领域都是一致的，并共同致力于实现理想的网络弹性水平。

2.可定制的框架：该平台提供了一个可定制的框架，可以根据组织的具体需求进行定制。这意味着组织可以专注于对其最重要的领域，并相应地确定其工作的优先次序。

3.持续改进：该平台旨在支持持续改进，这意味着组织可以使用该平台来确定需要改进的领域，并随着时间的推移跟踪其进展。这使组织能够适应不断变化的网络威胁，并保持领先地位。

4.专业指导：该平台提供关于网络安全最佳实践的专业指导，这对于刚刚开始建立网络安全计划的组织来说是非常宝贵的。该平台提供了丰富的资源，包括模板、检查表和指南，可以帮助组织制定一个全面的网络安全计划。

5.可衡量的结果：该平台提供了一套指标和基准，可用于衡量一个组织的网络成熟度。这使得组织能够跟踪其进展，并向利益相关者展示其网络安全计划的有效性。

总的来说，CMMI网络成熟度平台是一个强大的工具，可以帮助组织建立一个成功的网络安全计划。它的整体方法、可定制的框架、对持续改进的关注、专业指导和可衡量的结果，使它成为任何希望加强其网络弹性的组织的宝贵资产。

CMMI网络成熟度平台将如何帮助您的组织实施零信任？

CMMI网络成熟度平台可以为组织提供一个路线图，以确定其当前的网络安全态势，定义其期望状态，并制定计划，以弥补组织当前安全态势与其零信任实施之间的差距。

利用CMMI网络成熟度平台成功构建零信任战略的步骤

步骤一：建立一个成功的零信任战略的第一步是确定您的目标和目的。您想通过零信任实现什么？您是想改善您的安全态势，降低风险，还是满足合规性要求？CMMI网络成熟度平台可以帮助您确定您的目标和目的，并制定一个计划来实现它们。

步骤二：第二步是评估您目前的网络安全态势。CMMI网络成熟度平台提供了一个全面的评估工具，可以帮助您确定组织当前网络安全方面的优势和劣势，并创建一个改进的路线图。

步骤三：第三步是定义您的期望状态。一个成功的零信任战略对您的组织来说是什么样子的？CMMI网络成熟度平台可以帮助您定义您的理想状态，并制定一个计划来实现它。

步骤四：第四步是制定一个计划，以弥补您的当前状态和期望状态之间的差距。CMMI网络成熟度平台提供了一个改进的路线图，包括具体的行动和建议，以帮助您实现目标。

步骤五：最后一步是实施您的计划。CMMI网络成熟度平台提供了一系列工具和资源来帮助您实施您的计划，包括最佳实践、模板和培训材料。

一个成功的零信任战略可以提供一系列的好处，包括：

改善安全态势

缓解关键威胁，如勒索软件和内部威胁

降低数据泄露风险

更好地了解和控制网络活动

加强对监管要求的遵守

为远程工作者提供更大的灵活性

CMMI网络成熟度平台为建立一个成功的零信任战略提供了一个全面的框架，并与您的组织的具体需求和目标保持一致。通过遵循本文所述的步骤，您可以制定一个计划来改善您的网络安全态势，降低风险，并实现您的理想状态。CMMI网络成熟度平台可以帮助您的组织奠定基础，确保成功实施零信任战略，并实现您组织的业务目标和目的。

本文转载自CMMI研究院

作者：Brian Fletcher，ISACA网络评估实务咨询顾问