【文章內(nèi)容簡介】 單位的相關(guān)規(guī)定，滿足需求，合理可行； ?促使用戶單位、承建單位所簽定合同在技術(shù)、經(jīng)濟(jì)上的合理性。 52 設(shè)計階段各方責(zé)任及目標(biāo) ?加強工程實施方案的合法性、合理性、與安全工程需求和設(shè)計方案的符合性； ?促使工程計劃、設(shè)計方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，并與工程建設(shè)合同相符，具有可驗證性； ?協(xié)助業(yè)主單位、承建單位消除設(shè)計文檔在進(jìn)入工程實施前可預(yù)見的缺陷。 53 實施階段各方責(zé)任及目標(biāo) ?加強工程實施方案的合法性、合理性、與設(shè)計方案的符合性； ?促使工程中所使用的產(chǎn)品和服務(wù)符合承建合同及國家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)； ?明確工程實施計劃，對于計劃的調(diào)整必須合理、受控； ?促使工程實施過程滿足承建合同的要求，并與工程設(shè)計方案、工程計劃相符。 54 驗收階段各方責(zé)任及目標(biāo) ?明確工程項目測試驗收方案的符合性（驗收目標(biāo)、責(zé)任雙方、驗收提交清單、驗收標(biāo)準(zhǔn)、驗收方式、驗收環(huán)境等）及可行性； ?促使工程的最終功能和性能符合承建合同、法律、法規(guī)和標(biāo)準(zhǔn)的要求； ?推動承建單位所提供的工程各階段形成的技術(shù)、管理文檔的內(nèi)容和種類符合相關(guān)標(biāo)準(zhǔn)。 55 課程內(nèi)容 56 信息安全工程能力評估 知識體 知識域 SSECMM 概述 SSECMM的體系結(jié)構(gòu) SSECMM概念及作用 知識子域 信息安全 工程實施 風(fēng)險過程領(lǐng)域 工程過程領(lǐng)域 保證過程領(lǐng)域 計劃和跟蹤級 充分定義級 信息安全 工程能力 量化控制級 持續(xù)改進(jìn)級 未實施級 非正式執(zhí)行級 知識體： 信息安全工程能力評估 ? 知識域： SSECMM概述 ? 知識子域： SSECMM概念及作用 ? 理解 SSECMM的概念及作用 ? 了解 SSECMM的適用范圍 ? 知識子域： SSECMM的體系結(jié)構(gòu) ? 理解 SSECMM的二維體系結(jié)構(gòu) ? 了解域維的組織結(jié)構(gòu)，理解基本實施、過程區(qū)域、過程類的概念 ? 了解能力維的組織結(jié)構(gòu)，理解通用實施、公共特征、能力級別的概念 57 知識體： 信息安全工程能力評估 ? 知識域：信息安全工程過程 ? 知識子域：風(fēng)險過程領(lǐng)域 ? 理解風(fēng)險過程領(lǐng)域相關(guān)活動的目的 ? 掌握風(fēng)險過程領(lǐng)域的相關(guān)活動和工作內(nèi)容 ? 知識子域：工程過程領(lǐng)域 ? 理解工程過程領(lǐng)域相關(guān)活動的目的 ? 掌握工程過程領(lǐng)域應(yīng)實施的過程區(qū)域及其基本實施 ? 知識子域：保證過程領(lǐng)域 ? 理解保證過程領(lǐng)域相關(guān)活動的目的 ? 掌握保證過程領(lǐng)域應(yīng)實施的過程區(qū)域及其基本實施 58 知識體： 信息安全工程能力評估 ? 知識域：信息安全工程能力 ? 知識子域：未實施級 ? 理解能力成熟度為未實施級（ 0級）的信息安全工程組織和工程過程的含義 ? 知識子域：非正式執(zhí)行級 ? 理解非正式執(zhí)行級（ 1級）的設(shè)計思想 ? 掌握能力成熟度達(dá)到 1級應(yīng)具有的公共特征 ? 知識子域：計劃和跟蹤級 ? 理解計劃和跟蹤級（ 2級）的設(shè)計思想 ? 掌握能力成熟度達(dá)到 2級應(yīng)具有的公共特征 59 知識體： 信息安全工程能力評估 ? 知識域：信息安全工程能力 (續(xù) ) ? 知識子域：充分定義級 ? 理解充分定義級（ 3級）的設(shè)計思想 ? 掌握能力成熟度達(dá)到 3級應(yīng)具有的公共特征 ? 知識子域：量化控制級 ? 了解量化控制級（ 4級）的設(shè)計思想 ? 了解能力成熟度達(dá)到 4級應(yīng)具有的公共特征 ? 知識子域：持續(xù)改進(jìn)級 ? 了解持續(xù)改進(jìn)級（ 5級）的設(shè)計思想 ? 了解能力成熟度達(dá)到 5級應(yīng)具有的公共特征 60 安全工程能力成熟度模型的價值 ?SSECMM為信息安全工程過程改進(jìn)建立一個框架模型 ?通過 SSECMM的學(xué)習(xí)了解 ? 信息安全工程通常要實施哪些活動？ ? 評價和改進(jìn)這些過程指標(biāo)是什么？ 61 什么是 SSECMM ? 系統(tǒng)安全工程能力成熟模型（ Systems Security Engineering Capability Maturity Model） ? 描述了一個 組織 的 系統(tǒng)安全工程過程 必須包含的 基本特征 ? 這些特征是完善的安全工程 保證 ? 也是系統(tǒng)安全工程實施的 度量標(biāo)準(zhǔn) ? 還是一個易于理解的評估系統(tǒng)安全工程實施的 框架 62 SSECMM的作用 ?幫助 獲取組織 （系統(tǒng)、產(chǎn)品的采購方）選擇合格的投標(biāo)者，以統(tǒng)一的標(biāo)準(zhǔn)對安全工程過程進(jìn)行監(jiān)管提高工程實施質(zhì)量，減少爭議 ?幫助 工程組織 （系統(tǒng)開發(fā)和集成商）通過可重復(fù)、可預(yù)測的過程減少返工、提高質(zhì)量、降低成本；改進(jìn)安全工程實施能力；獲得證明安全工程實施能力的資質(zhì) ?幫助 認(rèn)證評估組織 獲得獨立于系統(tǒng)和產(chǎn)品的可重用的過程評估標(biāo)準(zhǔn)用來確定被評估者將安全工程集成在系統(tǒng)工程之中，并且其系統(tǒng)安全工程是可信的 63 SSECMM覆蓋范圍 ?SSECMM涉及到可信產(chǎn)品或者系統(tǒng) 整個生命周期 的安全工程活動，其中包括概念定義、需求分析、設(shè)計、開發(fā)、集成、安裝、運行、維護(hù)和終止。 ? 覆蓋整個組織的活動 ，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動； ? 它 不是孤立了工程 ，而是與其它工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測試工程、系統(tǒng)管理等； ? 與其它組織的相互作用 ，涉及開發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購者、安全評估組織、資質(zhì)評估認(rèn)證組織、咨詢服務(wù)商等； ?SSECMM可應(yīng)用于 所有類型和大小 的安全工程機構(gòu)，如商務(wù)機構(gòu)、政府機構(gòu)和學(xué)術(shù)機構(gòu)。 64 SSECMM發(fā)展歷史 ?1993年 4月美國國家安全局（ NSA）開始醞量 ?1996年 10月出版了 SSECMM模型的第一個版本， 1997年 4月出版了評定方法的第一個版本 。 ? 從 1996年 6月到 1997年 6月進(jìn)行許多實驗項目 ?1999年 4月 出版了第二版。 ?2023年， ISO/IEC IS 21827 ? 目前， SSECMM ? 與其配套的評估方法， SSAM,《 系統(tǒng)安全工程能力成熟度模型評估方法 》 65 SSECMM體系結(jié)構(gòu) 能力維（Capability Dimension） 域維（ Domain Dimension） 公共特征 跟蹤執(zhí)行 PA 05 評估脆弱性 兩維模型： “域維” 由所有定義的安全工程過程區(qū)構(gòu)成。 “能力維”代表組織實施這一過程的能力。 66 域維 過程類 域維 Base Practices Base Practices Base Practices Base Practices Base Practices 基本實施 Process Areas Process Areas Process Areas 過程區(qū) BP,Base Practice。域維的最小單位。如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它。共 129個 PA， Process Area由一些基本實施構(gòu)成，這些 BP共同實施以達(dá)到該 PA的目標(biāo)。共 22個 PA被分為安全工程類、組織管理類和項目管理類 。 67 能力維 能力維 能力級別 GP， Generic Practice 管理、度量和制度方面的活動，可用于決定所有活動的能力水平 CF， Common Feature由 GP組成的邏輯域 由公共特征組成的過程能力水平的級別劃分。 05共 6個級別 公共特征 通用實踐 68 SSECMM能力成熟度評價 ?通過設(shè)置這兩個相互依賴的維， SSECMM在各個能力級別上覆蓋了整個安全活動范圍。 ?給每個 PA賦予一個能力級別評分，所得到的兩維圖形便形象地反映一個工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。 5 4 3 2 1 0 PA01 PA02 PA03 PA04 PA05 能力 級別 安全過程區(qū)域 69 域維