Jak przeprowadzić benchmarking dojrzałości względem NIST CSF
Przygotowanie do benchmarkingu
Przed rozpoczęciem benchmarkingu warto ustalić zakres organizacyjny oceny — czy obejmuje całą firmę, czy tylko wybrane jednostki biznesowe lub systemy o krytycznym znaczeniu.
Zbieranie danych wejściowych
Dane wejściowe zbierane są zwykle poprzez wywiady z zespołami technicznymi, przegląd dokumentacji polityk bezpieczeństwa oraz analizę konfiguracji wybranych systemów.
Ocena luk względem modelu referencyjnego
Na podstawie zebranych danych porównuje się bieżący stan z opisem poszczególnych poziomów dojrzałości, identyfikując konkretne luki wymagające uzupełnienia.
Pytania i odpowiedzi
Jak długo trwa typowy benchmarking?
W zależności od wielkości organizacji proces może trwać od kilku tygodni do kilku miesięcy, szczególnie przy szerokim zakresie objętych systemów.
Czy benchmarking wymaga zewnętrznego audytora?
Nie jest to konieczne — część organizacji przeprowadza ocenę wewnętrznie, choć zewnętrzna perspektywa bywa pomocna przy identyfikacji obszarów pominiętych w wewnętrznej ocenie.