读书频道 > 网站 > 网页设计 > Web商务安全设计与开发宝典——涵盖电子商务与移动商务
9.5 系统安全工程能力成熟度模型
12-09-14    奋斗的小年轻
收藏    我要投稿   
本书共有9章内容和4个附录,各章依次讲述了重要的背景信息和关于移动商务和移动商务安全问题的详细知识。附录提供了支撑各章节内容的重要的技术和合规主题。本书一开始介绍了电子商务时代及它对消费者购买习惯所...立即去当当网订购

评估保证的另一个可用方法是建立能力成熟度模型(capability maturity model,CMM),这是一个成熟度不断提高和持续改进的5级模型。CMM是由美国国防部(Department of Defense,DoD)主持下的卡耐基梅隆软件工程学院(Software Engineering Institute,SEI)创建。

系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Model,SSE-CMM)(即1999年版权所有的[SSE-CMM]项目)基于下面这样一个前提:如果您能保证一个机构所使用的流程的质量,那么就能保证由此流程而产生的产品和服务的质量。它是由政府和业界专家联合开发的,现在在国际系统安全工程协会(International Systems Security Engineering Association,ISSEA)的主持之下。其网址是www.issea.org。SSE-CMM(www. sse-cmm.org/)在下列方面卓有成效:

● 描述那些为保证优质安全工程所需的安全工程流程的特点
● 捕捉行业最佳做法
● 定义做法和改进能力的可接受的方式
● 提供增强应用程序能力的措施

SSE-CMM处理与下列安全领域有关的问题:
● 操作安全
● 信息安全
● 网络安全
● 物理安全
● 人员安全
● 行政安全
● 通信安全
● 放射安全
● 计算机安全

SSE-CMM方法和标准为比较现有系统安全工程的最佳做法和模型中所提到的根本系统安全工程要素提供了一个参考。它定义了两个维度用来测量机构执行特定活动的能力。这两个维度就是域和能力。域维度包含所有全面定义安全工程的做法。这些做法称为基础做法(Base Practice,BP)。相关的BP都被归为进程领域(Process Area,PA)一组。能力维度代表那些表明程序管理和制度化能力的做法。这些做法称为通用做法(Generic Practice,GP),因为它们适用于更宽泛的领域。通用做法体现了应该作为基础做法的一部分被执行的活动。

对于域维度,SSE-CMM制定11个安全工程进程领域和11项与机构项目相关的进程领域,每一个进程领域都包含基础做法。基础做法是强制性特点,必须存在于在机构表示对给定的PA满意之前必须存在于已执行的安全工程程序中。以下22项进程领域及其相应的基础做法纳入了系统安全工程的最佳做法。这些进程领域有:

安全工程

● PA01:管理安全控制
● PA02:评估影响
● PA03:评估安全风险
● PA04:评估威胁
● PA05:评估漏洞
● PA06:建立保证论点
● PA07:协调安全
● PA08:监控安全态势
● PA09:提供安全输入
● PA10:明确安全需求
● PA11:核实并验证安全

项目和机构做法

● PA12:确保质量
● PA13:管理配置
● PA14:管理项目风险
● PA15:监控和控制技术工作
● PA16:计划技术工作
● PA17:定义组织机构的系统工程进程
● PA18:提高组织的系统工程进程
● PA19:管理生产线进展
● PA20:管理系统工程支持环境
● PA21:提供现行技术和知识
● PA22:协调供应商

通用做法按其成熟度区分为5个级别的安全工程成熟度。这5个级别的属性如下:

(1) 1级
1.1执行基础做法
(2) 2级
2.1计划性能
2.2规定性能
2.3核实性能
2.4跟踪性能
(3) 3级
3.1定义一个标准流程
3.2执行已定义流程
3.3协调流程
(4) 4级
4.1建立可测量的质量目标
4.2客观地管理性能
(5) 5级
5.1提高组织能力
5.2提高流程有效性
下面是SSE-CMM v3.0中关于5个级别的详细描述2

● 1级,“被非正式地执行(Performed Informally)”,关注一个组织或项目是否执行了包含基础做法的流程。用一句话描绘这个级别就是,“你必须先做它,然后才能管理它。”
● 2级,“被计划和跟踪(Planned and Tracked)”,关注项目级别的定义、计划和性能问题。用一句话形容这个级别,就是“了解这个项目在发生什么,然后才能定义整个组织的进程”。
● 3级,“被很好地定义(Well Defined)”,关注精心地剪裁已定义好的组织级别的进程。用一句话形容这个级别,就是“用您从项目中学到的最优秀的知识来创建组织进程。”
● 4级,“定量控制(Quantitatively Controlled)”,关注组织业务目标的考量。虽然尽早开始收集和使用基本的项目考量方法很关键,但是往往直到进入较高级别时才进行数据的考量和使用。形容这个级别可以用两句话,“您不能考量它,除非您知道它是什么”和“只有当您考量正确的事情时,考量管理才有意义。”
● 5级,“持续改进(Continuously Improving)”,从前面级别中所有管理做法的改进中获得了收益,然后开始关注文化转变,以保留这种收益。用一句话来形容这个级别的特点是“持续改进的文化需要以完善的管理做法、已定义的流程和可测量的目标为基础。”

______________________________________________________
2 The Systems Security Engineering Capability Maturity Model v3.0, 2003.
 

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站