【正文】 執(zhí)行 2 計劃與跟蹤 3 充分定義 4 量化控制 5 連續(xù)改進 ?執(zhí)行 基本 實施 ?改進組織能力 ?改進過程的有效性 能力級別 代表安全工程組織的成熟級別 公共特征 未實施 0 能力級別 75 能力級別 0級 ?未執(zhí)行 ?未執(zhí)行級別沒有公共特征。 ?這個級別中通常不能成功執(zhí)行過程區(qū)域中的基本實施，此過程的工作產(chǎn)品不易辨別或使用。 76 能力級別 1級 ?非正規(guī)執(zhí)行級 — 必須首先做它，然后才能管理它 ?在這一級別，過程區(qū)域的基本實施通常被執(zhí)行，但未經(jīng)過嚴格的計劃和跟蹤，而是基于個人的知識和努力。 ?該級別包括一個公共特征 —— 執(zhí)行基本實施 ? 執(zhí)行了一個過程區(qū)域的基本實施，從而為用戶提供工作產(chǎn)品或服務(wù) ? 然而工作產(chǎn)品的一致性、性能和質(zhì)量會因為缺乏適當(dāng)控制而存在極大的差異 77 能力級別 2級 ?規(guī)劃和跟蹤級 — 在定義組織層面的過程之前，先要弄清楚與項目相關(guān)的事項 ?在這一級別著重于項目層面的定義、規(guī)劃和執(zhí)行問題， PA中 BP的執(zhí)行是經(jīng)過規(guī)劃并跟蹤的。 ?包括四個公共特征： ? 規(guī)劃執(zhí)行：分配資源、指定責(zé)任、提供工具、將規(guī)劃形成文檔 ? 規(guī)范化執(zhí)行：使用標準和規(guī)程、進行配置管理 ? 驗證執(zhí)行：驗證工作過程、驗證工作產(chǎn)品 ? 跟蹤執(zhí)行：跟蹤過程實施、采取修正措施 78 能力級別 3級 ?充分定義級 用項目中學(xué)到的最好的東西來定義組織層面的過程 ?這個級別著重于規(guī)范化地制定和裁剪組織范圍內(nèi)的標準過程 ?包括三個公共特征： ? 定義標準化過程：制定標準化過程，從組織標準化過程中裁剪出針對特定需求的過程 ? 執(zhí)行已定義過程： PA的實施使用充分定義的過程，對執(zhí)行結(jié)果進行缺陷評審，使用充分定義的數(shù)據(jù) ? 協(xié)調(diào)安全實施：執(zhí)行組內(nèi)協(xié)調(diào)、執(zhí)行組間協(xié)調(diào)、執(zhí)行外部協(xié)調(diào) 79 能力級別 4級 ?量化控制級 — 只有知道它是什么才能度量它；當(dāng)被度量的對象是正確的，基于度量的管理才有意義 ?這一級別注重于通過度量來促進組織目標的實現(xiàn)，盡管前面的級別也涉及度量的問題，但是到這一級，度量數(shù)據(jù)在組織層面上被應(yīng)用。 ?包括兩個公共特征： ? 建立可測度的質(zhì)量目標：為工作產(chǎn)品建立可測度的目標 ? 對執(zhí)行情況實施客觀管理：為工作過程能力建立量化測量和改進的標準 80 能力級別 5級 ?持續(xù)改進級 持續(xù)改進的文化需要以完備的管理、清晰定義的過程和可度量的目標為基礎(chǔ)。 ?該級別強調(diào)根據(jù)已定義的過程執(zhí)行情況的反饋和先進創(chuàng)意與技術(shù)的追蹤，改進執(zhí)行過程，提升工作績效，以更好地滿足業(yè)務(wù)目標。 ?包括兩個特征 ? 改進組織能力：建立過程效能目標，持續(xù)改進標準化的過程 ? 改進過程效能：進行因果分析，消除缺陷根源，持續(xù)改進已定義過程 81 SSECMM的使用 ?SSECMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式： ? “ 評定 ”，允許獲取組織了解潛在項目參加者的組織層次上的安全工程過程能力。 ? “ 改進 ”，使安全工程組織獲得自身安全工程過程能力級別的認識，并不斷地改進其能力。 ? “ 保證 ”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。 82 SSECMM的使用 評定 ? 為評定收集數(shù)據(jù)廣泛、嚴格，每個數(shù)據(jù)有充分的證據(jù) ? 決定實施安全工程過程的能力 ? 為評定定義安全工程環(huán)境 ? 在評定中巧妙地使用了 SSECMM體系結(jié)構(gòu)中的兩個方面（域維、能力維） 83 SSECMM的使用 改進 ? SSECMM可以用作改進組織安全工程過程的工具，建議采用 SEI的IDEAL模型進行 ? Initiating（初始化） ? 熟悉項目目標和完成方式，開發(fā)業(yè)務(wù)案例和項目執(zhí)行方法，獲得管理層批準和支持，為成功的改進努力做好鋪墊； ? Diagnosing（診斷） ? 理解組織當(dāng)前和期望的過程成熟度狀態(tài)，這些是形成組織過程改進行動計劃的基礎(chǔ)； ? Establishing（建立） ? 基于努力目標和診斷階段開發(fā)的建議來制定詳細的行動計劃，并考慮到各種約束； ? Acting（操作） ? 即實施階段，無論是資源還是時間，都需要各方面付出最大程度的努力； ? Learning（學(xué)習(xí)） ? 既是本次循環(huán)的終止，又是下一次改進過程的開端。對整個過程改進活動進行評估。 84 SSECMM的使用 保證 ?SSECMM Appraisal Method（ SSAM） ? 是一種組織或項目級的評估方法，通過多種數(shù)據(jù)采集方法來獲得待評估組織或項目相關(guān)的實踐過程的信息，目的在于取得一個真實實踐的基線（ Baseline）或基準（Benchmark），創(chuàng)建并支持用于改進的要素； ? 數(shù)據(jù)采集方法：問卷、訪談、證據(jù)復(fù)審； ? 評估階段：規(guī)劃（ Planning），準備（ Preparation），現(xiàn)場（ Onsite），報告（ Reporting）； 85 SSECMM評估方法（ SSAM） 規(guī)劃階段 范圍評定 計劃評定 準備階段 準備評定組 分發(fā)調(diào)查表 合并證物 分析證物 和調(diào)查表 查表 現(xiàn)場階段 領(lǐng)導(dǎo)簡報 / 開幕式 采訪領(lǐng)導(dǎo) / 專業(yè)人員 分析數(shù)據(jù) 確定 調(diào)查結(jié)果 產(chǎn)生排等 級的輪廓 管理記錄 工作結(jié)束 報告階段 產(chǎn)生最終 報告 向發(fā)起者報 告評定結(jié)果 管理評定 實物 報告取得的 經(jīng)驗教訓(xùn) 86 SSECMM應(yīng)用實例 —— 首先保證該做的事情要做到 ? 首先看域維的 22個 PA是否都做到了，來評判信息安全工程中的工作是否完整 ? 對于信息安全管理人員重點在于工程類的 11個 PA ? 是否進行了完整的風(fēng)險分析 ? 系統(tǒng)開發(fā)集成過程中是否定義了安全需求，是否有明確的安全方案，安全措施是否部署到位、運行是否正常，安全狀態(tài)是否得到監(jiān)控，安全責(zé)任是否落實 ? 是否進行了必要的安全測試驗證，是否可以證明達到了政策法規(guī)和業(yè)務(wù)需求的安全要求 ? 另外組織管理和項目管理的 11個 PA也應(yīng)該予以考慮 ,因為信息安全工程和其它工程一樣需要以良好的管理作為基礎(chǔ) ? 如果哪個 PA沒有完整的實施所有的 BP,那么這個 PA的能力成熟度就是 0級 87 然后在項目中把事情做好 ? 以威脅評估為例，一個信息化建設(shè)中，要對信息系統(tǒng)面臨的各種威脅、威脅的能力、可能性和變化進行評估（現(xiàn)在只是做了，是 1級） ? 如何更進一步？ ? 制定威脅評估的規(guī)劃，規(guī)定資源的分配、責(zé)任人、使用的工具、實施的過程、必要的培訓(xùn) ? 制定威脅評估規(guī)范和威脅評估文檔的本版控制規(guī)范（配置管理），并按照規(guī)范實施威脅評估 ? 有人驗證威脅評估的執(zhí)行是否是按照規(guī)劃和規(guī)范進行的，威脅評估的結(jié)果質(zhì)量如何 ? 如果執(zhí)行過程或執(zhí)行結(jié)果有不合格處可以及時采取糾正措施 ? 威脅評估可以達到這樣的水平那么成熟度就是 2級了 88 項目中的經(jīng)驗應(yīng)用于整個組織 ?組織的所有信息化項目在做威脅評估時 ? 參考該組織定義的一套威脅評估標準規(guī)范 ? 根據(jù)該信息化項目的特點對標準規(guī)范進行裁剪，形成這一項目的已定義過程，嚴格執(zhí)行并及時發(fā)現(xiàn)問題和偏差 ? 實施威脅評估時項目組內(nèi)部，項目組與其它有關(guān)部門可以進行良好的協(xié)調(diào)溝通 ?威脅評估可以達到這樣的水平那么成熟度就是 3級了 89 可以度量對組織作出的績效貢獻，并對實施過程進行客觀管理 ?組織級別的威脅評估標準規(guī)范是正確的嗎？需要用可度量的質(zhì)量目標作為衡量標準。例如威脅評估工作可以為組織減少多少潛在損失，威脅評估工作可以將用戶滿意度提高到什么水平？ ?如果評估規(guī)范是正確的，需要對項目中的實際實施情況進行客觀的管理，為實施過程提出量化的指標要求。例如完成威脅評估的時間要求，發(fā)現(xiàn)威脅的全面性，對威脅描述的準確性等 ?威脅評估可以達到這樣的水平那么成熟度就是 4級了 90 建立對實施能力不斷改進的組織文化 ?組織實施威脅評估的標準規(guī)范不能是僵化不變的，找到目前威脅評估工作與組織績效目標的差距，持續(xù)性地改進標準化的威脅評估過程。 ?如果標準化過程有問題，需要有能力發(fā)現(xiàn)并消除產(chǎn)生問題的根本原因（例如人員對威脅評估重視不夠流于形式，威脅分析工具不夠先進，某一評估流程是多余的等），避免問題重復(fù)發(fā)生，以提高威脅評估的效能。 ?威脅評估可以達到這樣的水平那么成熟度就是 5級了 91 總結(jié) ?信息安全工程的基礎(chǔ) ?能力成熟度模型 ?SSECMM 92 謝謝，請?zhí)釂栴}！ 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAIT