【文章內(nèi)容簡(jiǎn)介】 單位的相關(guān)規(guī)定，滿足需求，合理可行； ?促使用戶單位、承建單位所簽定合同在技術(shù)、經(jīng)濟(jì)上的合理性。 52 設(shè)計(jì)階段各方責(zé)任及目標(biāo) ?加強(qiáng)工程實(shí)施方案的合法性、合理性、與安全工程需求和設(shè)計(jì)方案的符合性； ?促使工程計(jì)劃、設(shè)計(jì)方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，并與工程建設(shè)合同相符，具有可驗(yàn)證性； ?協(xié)助業(yè)主單位、承建單位消除設(shè)計(jì)文檔在進(jìn)入工程實(shí)施前可預(yù)見的缺陷。 53 實(shí)施階段各方責(zé)任及目標(biāo) ?加強(qiáng)工程實(shí)施方案的合法性、合理性、與設(shè)計(jì)方案的符合性； ?促使工程中所使用的產(chǎn)品和服務(wù)符合承建合同及國(guó)家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)； ?明確工程實(shí)施計(jì)劃，對(duì)于計(jì)劃的調(diào)整必須合理、受控； ?促使工程實(shí)施過程滿足承建合同的要求，并與工程設(shè)計(jì)方案、工程計(jì)劃相符。 54 驗(yàn)收階段各方責(zé)任及目標(biāo) ?明確工程項(xiàng)目測(cè)試驗(yàn)收方案的符合性（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）及可行性； ?促使工程的最終功能和性能符合承建合同、法律、法規(guī)和標(biāo)準(zhǔn)的要求； ?推動(dòng)承建單位所提供的工程各階段形成的技術(shù)、管理文檔的內(nèi)容和種類符合相關(guān)標(biāo)準(zhǔn)。 55 課程內(nèi)容 56 信息安全工程能力評(píng)估 知識(shí)體 知識(shí)域 SSECMM 概述 SSECMM的體系結(jié)構(gòu) SSECMM概念及作用 知識(shí)子域 信息安全 工程實(shí)施 風(fēng)險(xiǎn)過程領(lǐng)域 工程過程領(lǐng)域 保證過程領(lǐng)域 計(jì)劃和跟蹤級(jí) 充分定義級(jí) 信息安全 工程能力 量化控制級(jí) 持續(xù)改進(jìn)級(jí) 未實(shí)施級(jí) 非正式執(zhí)行級(jí) 知識(shí)體： 信息安全工程能力評(píng)估 ? 知識(shí)域： SSECMM概述 ? 知識(shí)子域： SSECMM概念及作用 ? 理解 SSECMM的概念及作用 ? 了解 SSECMM的適用范圍 ? 知識(shí)子域： SSECMM的體系結(jié)構(gòu) ? 理解 SSECMM的二維體系結(jié)構(gòu) ? 了解域維的組織結(jié)構(gòu)，理解基本實(shí)施、過程區(qū)域、過程類的概念 ? 了解能力維的組織結(jié)構(gòu)，理解通用實(shí)施、公共特征、能力級(jí)別的概念 57 知識(shí)體： 信息安全工程能力評(píng)估 ? 知識(shí)域：信息安全工程過程 ? 知識(shí)子域：風(fēng)險(xiǎn)過程領(lǐng)域 ? 理解風(fēng)險(xiǎn)過程領(lǐng)域相關(guān)活動(dòng)的目的 ? 掌握風(fēng)險(xiǎn)過程領(lǐng)域的相關(guān)活動(dòng)和工作內(nèi)容 ? 知識(shí)子域：工程過程領(lǐng)域 ? 理解工程過程領(lǐng)域相關(guān)活動(dòng)的目的 ? 掌握工程過程領(lǐng)域應(yīng)實(shí)施的過程區(qū)域及其基本實(shí)施 ? 知識(shí)子域：保證過程領(lǐng)域 ? 理解保證過程領(lǐng)域相關(guān)活動(dòng)的目的 ? 掌握保證過程領(lǐng)域應(yīng)實(shí)施的過程區(qū)域及其基本實(shí)施 58 知識(shí)體： 信息安全工程能力評(píng)估 ? 知識(shí)域：信息安全工程能力 ? 知識(shí)子域：未實(shí)施級(jí) ? 理解能力成熟度為未實(shí)施級(jí)（ 0級(jí)）的信息安全工程組織和工程過程的含義 ? 知識(shí)子域：非正式執(zhí)行級(jí) ? 理解非正式執(zhí)行級(jí)（ 1級(jí)）的設(shè)計(jì)思想 ? 掌握能力成熟度達(dá)到 1級(jí)應(yīng)具有的公共特征 ? 知識(shí)子域：計(jì)劃和跟蹤級(jí) ? 理解計(jì)劃和跟蹤級(jí)（ 2級(jí)）的設(shè)計(jì)思想 ? 掌握能力成熟度達(dá)到 2級(jí)應(yīng)具有的公共特征 59 知識(shí)體： 信息安全工程能力評(píng)估 ? 知識(shí)域：信息安全工程能力 (續(xù) ) ? 知識(shí)子域：充分定義級(jí) ? 理解充分定義級(jí)（ 3級(jí)）的設(shè)計(jì)思想 ? 掌握能力成熟度達(dá)到 3級(jí)應(yīng)具有的公共特征 ? 知識(shí)子域：量化控制級(jí) ? 了解量化控制級(jí)（ 4級(jí)）的設(shè)計(jì)思想 ? 了解能力成熟度達(dá)到 4級(jí)應(yīng)具有的公共特征 ? 知識(shí)子域：持續(xù)改進(jìn)級(jí) ? 了解持續(xù)改進(jìn)級(jí)（ 5級(jí)）的設(shè)計(jì)思想 ? 了解能力成熟度達(dá)到 5級(jí)應(yīng)具有的公共特征 60 安全工程能力成熟度模型的價(jià)值 ?SSECMM為信息安全工程過程改進(jìn)建立一個(gè)框架模型 ?通過 SSECMM的學(xué)習(xí)了解 ? 信息安全工程通常要實(shí)施哪些活動(dòng)？ ? 評(píng)價(jià)和改進(jìn)這些過程指標(biāo)是什么？ 61 什么是 SSECMM ? 系統(tǒng)安全工程能力成熟模型（ Systems Security Engineering Capability Maturity Model） ? 描述了一個(gè) 組織 的 系統(tǒng)安全工程過程 必須包含的 基本特征 ? 這些特征是完善的安全工程 保證 ? 也是系統(tǒng)安全工程實(shí)施的 度量標(biāo)準(zhǔn) ? 還是一個(gè)易于理解的評(píng)估系統(tǒng)安全工程實(shí)施的 框架 62 SSECMM的作用 ?幫助 獲取組織 （系統(tǒng)、產(chǎn)品的采購方）選擇合格的投標(biāo)者，以統(tǒng)一的標(biāo)準(zhǔn)對(duì)安全工程過程進(jìn)行監(jiān)管提高工程實(shí)施質(zhì)量，減少爭(zhēng)議 ?幫助 工程組織 （系統(tǒng)開發(fā)和集成商）通過可重復(fù)、可預(yù)測(cè)的過程減少返工、提高質(zhì)量、降低成本；改進(jìn)安全工程實(shí)施能力；獲得證明安全工程實(shí)施能力的資質(zhì) ?幫助 認(rèn)證評(píng)估組織 獲得獨(dú)立于系統(tǒng)和產(chǎn)品的可重用的過程評(píng)估標(biāo)準(zhǔn)用來確定被評(píng)估者將安全工程集成在系統(tǒng)工程之中，并且其系統(tǒng)安全工程是可信的 63 SSECMM覆蓋范圍 ?SSECMM涉及到可信產(chǎn)品或者系統(tǒng) 整個(gè)生命周期 的安全工程活動(dòng)，其中包括概念定義、需求分析、設(shè)計(jì)、開發(fā)、集成、安裝、運(yùn)行、維護(hù)和終止。 ? 覆蓋整個(gè)組織的活動(dòng) ，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)； ? 它 不是孤立了工程 ，而是與其它工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測(cè)試工程、系統(tǒng)管理等； ? 與其它組織的相互作用 ，涉及開發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購者、安全評(píng)估組織、資質(zhì)評(píng)估認(rèn)證組織、咨詢服務(wù)商等； ?SSECMM可應(yīng)用于 所有類型和大小 的安全工程機(jī)構(gòu)，如商務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。 64 SSECMM發(fā)展歷史 ?1993年 4月美國(guó)國(guó)家安全局（ NSA）開始醞量 ?1996年 10月出版了 SSECMM模型的第一個(gè)版本， 1997年 4月出版了評(píng)定方法的第一個(gè)版本 。 ? 從 1996年 6月到 1997年 6月進(jìn)行許多實(shí)驗(yàn)項(xiàng)目 ?1999年 4月 出版了第二版。 ?2023年， ISO/IEC IS 21827 ? 目前， SSECMM ? 與其配套的評(píng)估方法， SSAM,《 系統(tǒng)安全工程能力成熟度模型評(píng)估方法 》 65 SSECMM體系結(jié)構(gòu) 能力維（Capability Dimension） 域維（ Domain Dimension） 公共特征 跟蹤執(zhí)行 PA 05 評(píng)估脆弱性 兩維模型： “域維” 由所有定義的安全工程過程區(qū)構(gòu)成。 “能力維”代表組織實(shí)施這一過程的能力。 66 域維 過程類 域維 Base Practices Base Practices Base Practices Base Practices Base Practices 基本實(shí)施 Process Areas Process Areas Process Areas 過程區(qū) BP,Base Practice。域維的最小單位。如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它。共 129個(gè) PA， Process Area由一些基本實(shí)施構(gòu)成，這些 BP共同實(shí)施以達(dá)到該 PA的目標(biāo)。共 22個(gè) PA被分為安全工程類、組織管理類和項(xiàng)目管理類 。 67 能力維 能力維 能力級(jí)別 GP， Generic Practice 管理、度量和制度方面的活動(dòng)，可用于決定所有活動(dòng)的能力水平 CF， Common Feature由 GP組成的邏輯域 由公共特征組成的過程能力水平的級(jí)別劃分。 05共 6個(gè)級(jí)別 公共特征 通用實(shí)踐 68 SSECMM能力成熟度評(píng)價(jià) ?通過設(shè)置這兩個(gè)相互依賴的維， SSECMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。 ?給每個(gè) PA賦予一個(gè)能力級(jí)別評(píng)分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。 5 4 3 2 1 0 PA01 PA02 PA03 PA04 PA05 能力 級(jí)別 安全過程區(qū)域 69 域維