中文

Powertime共享课堂 | 系统安全工程能力成熟度模型

文章发布日期:2020-08-13

image.png
系统安全工程能力成熟度模型与上图标准ISO/IEC 21827:2008息息相关。我国目前修改采用的标准为GB/T 20261-2006 信息技术  系统安全工程能力成熟度模型。


SSE-CMM和ISO/IEC21827

ISO/IEC21827的“范围”  

  • 规定了系统安全工程-能力成熟度模型(SSE-CMM)。
  • SSE-CMM是一个关注信息技术安全领域一个或一系列相关系统的安全要求实现的过程参考模型。
  • SSE-CMM主要关注信息技术安全实现的过程,特别是这些过程的成熟度。
  • 系统安全工程覆盖一个安全产品或一个系统的全生命周期的活动,包括概念定义、需求分析、设计、开发、集成、安装、操作、维护和废弃。
  • 对产品开发者、安全系统开发和集成者,以及从事计算机安全服务和计算机安全工程的组织提出要求。
  • 适用于各种类型和大小的安全工程组织。


什么是系统安全工程(SSE)?
系统安全工程:发展中,尚未形成广泛一致的定义,可以从以下方面描述:

  • 理解和掌握企业安全风险。
  • 建立与企业已识别的风险相对应的系列安全要求。
  • 将安全需求转化为安全指南,并将其融入到项目实施和系统配置或操作活动中。
  • 建立安全机制的正确性和有效性的信心和保证。
  • 确定系统或系统运行中的残余风险的影响是可接受的。
  • 整合各种措施和努力综合实现系统的可信。


什么是CMM - 能力成熟度模型?  

  • 描述了过程的定义、实现和改进的各个阶段。
  • 通过确定特定过程的当前能力和特定领域质量和过程改进的关键问题,为选择过程改进策略提供指南。
  • 可以作为指导发展和改进成熟度和已定义过程的参考模型。
  • 用来评估组织是否有定义的过程及其成熟度。
  • CMM分为5个等级


进一步了解CMM
image.png
image.png

一个能力成熟度高的组织的特点
01

  • 建立并管理组织范围内的过程
  • 应将这些过程形成文件,并在现有员工和新员工中得到沟通和传达
  • 按照形成文件的流程和过程开展工作
  • 所有定义的过程要适用,与实际工作执行保持一致

02

  • 必要时对定义的过程进行更新,通过可控的实验或成本/效益分析进行改进
  • 整个组织和项目中,角色和职责应该是明确的
  • 应该监视产品质量和客户满意度
  • 基于客观地、定量的标准来衡量产品质量和分析产品和过程的问题

03

  • 计划和预算要参考历史数据
  • 产品的成本、进度、功能和质量等,通常都能达到预期的目标
  • 一个过程能够被遵守执行,是因为每个人都认可执行它的好处,并且有基础设施等资源支持过程的执行


对“能力成熟度”等级的理解 
image.png
01
等级一:非正式执行级, Performed informally

  • 临时性安排,没有秩序的工作环境
  • 成功,主要依赖于关键人物的努力
  • 少有定义的过程,少有形成文件的过程和流程
  • 在进度压力下,流程经常被忽视
  • 经常逾期,糟糕的质量
  • 多数组织处在这个级别

02
等级二:计划跟踪级, Planned and traced

  • 能够根据以前的经验,重现成功
  • 建立基本的项目管理流程
  • 能够执行基本的业务过程
  • 过程是项目导向的

03
等级三:充分定义级, Well defined

  • 整个组织建立了标准化的、形成文件的各种管理和工程过程
  • 全部项目使用经过批准的、标准化的、裁剪过的过程
  • 有教育培训计划
  • 等级三关注整个组织范围的问题

04
等级四:量化控制级, Qualitatively controlled

  • 利用统计措施管理过程
  • 建立量化的产品质量目标,并能够实现目标
  • 整个组织对度量标准和统计技术有较强的知识和应用能力
  • 进度和质量绩效是可预期的

05
时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部