当前位置:
文档之家› CISP-信息安全工程能力评估
CISP-信息安全工程能力评估
SSE-CMM Appraisal Method(SSAM) 是一一种组织或项⺫目目级的评估方方法,通过多种数据 采集方方法来或区域待评估组织或项⺫目目相关的实践 过程的信息, ⺫目目的在于取得一一个真实实践的基线 (Baseline)或基准(Benchmark),创建 并支支持用用于改进的要素; 数据采集方方法:问卷、访谈、证据复审; 评估阶段:规划(Planning),准备 (Preparation),现场(On-site),报告 (Reporting);
2008.10
修订为ISO/IEC 21827:2008 ⺫目目前为V3.0
是一一种衡量系统安全工工程实施能力力的方方法 主要用用于指导SSE的完善和改进 使SSE成为一一个清晰定义、可管理和可度量的学科 概念 SSE-CMM描述了一一个组织的系统安全工工程过 程必须包含的基本特征 是完善的安全工工程保证
信息安全工工程能力力
这些特征 SSE-CMM概述
是系统Байду номын сангаас全工工程实施的度量标准 是易于理解的评估系统安全工工程实施的框架
帮助获取组织(系统、产品的采购方方)选择合格的投标者,以统 一一的标准对安全工工程过程进行行监管提高高工工程实施质量,减少争议 帮助工工程组织(系统开发和集成商)通过可重复、可 预测的过程减少返工工、提高高 质量、降低成本;改进安全工工程实施能力力;获得证明 安全工工程实施能力力的资质 帮助认证评估组织获得独立立于系统和产品的可重用用的 过程评估标准用用来确 定被评估者将安全工工程集成在系统工工程之中,并且其 系统安全工工程是可信的 SSE-CMM涉及到可信产品或者系统整个生生命周期的安全工工程活动,其中 包 括概念定义、需求分析、设计、开发、集成、安装、运行行、维护和终止止。
保证是指安全需要得到满足足的信任程度 SSE-CMM的信任程度来自自于安全工工程过程可重复性的结果质量。
SSE-CMM可应用用于所有类型和大大小小的安全工工程机 构,如商务机构、政府机构和学术机构。
由所有定义的安全工工程过程区构成
129
基本实施(BP) ⻛风险过程 “域”维
工工程过程 22
安全工工程与其它科⺫目目一一样,它是一一个包括概念、设 计、 实现、测试、部署、运行行、维护、退出的完整过程。 SSE-CMM强调安全工工程是一一个大大的项⺫目目队伍中的 一一部分,需要与其它科⺫目目工工程师的活动相互协调。
前11个
安全工工程过程类 项⺫目目管理过程类 组织管理过程类 过程区域(PA)
代表组织实施这一一过程的能力力
工工程过程 保证过程
体系结构 能力力级别0-5
不可越级
外因
威胁客观存在
“能力力”维
⻛风险过程 内因
脆弱性可保护
1996
SSE-CMM V1.0 1997 相应评估办法SSAM V1.0
SSAM
标准相关 2002.3
正式成为国际标准ISO/IEC 21827:2002 2006 我国在ISO/IEC21827:2002基础上发布 国家标准GB/T 20261-2006《信息技术系 统安全工工程能力力成熟度模型》
作用用
保证过程
覆盖整个组织的活动,包括管理、组织和工工程活动 等,而而不仅仅是系统安全的工工程活动;
信息安全工工程能力力评估
覆盖范围
它不是孤立立的工工程,而而是与其它工工程并行行且相互作 用用,包括企业工工程、软件工工 程、硬件工工程、基建工工程、人人力力资源工工程、通信工工 程、测试工工程、系统管理等; 与其它组织的相互作用用,涉及开发者、产品供应商、集成商、 采购者、安全评估组织、资质评估认证组织、咨询服务商等;