PowerPoint簡報-ISACA國際電腦稽核協會.pptVIP

「資訊安全國家標準草案之研擬」計畫 之 軟體處理評估分項計畫 主講者：吳林全 先生 E-mail : lcwu@.tw 簡報大綱 簡介 ISO 12207 — 軟體生命週期之程序 ISO 15504 — 軟體程序評鑑 結語與討論 簡介 IT 安全之階層化示意 「資訊安全國家標準草案之研擬」計畫 軟體程序評鑑分項計畫(計畫主持人：劉燦雄 博士) 資訊安全產品驗證分項計畫 資訊安全管理驗證分項計畫 資訊安全管理認證程序分項計畫 資訊安全機制標準規範實作研擬分項計畫 軟體程序評估分項計畫成果 軟體生命週期之程序 符合 IEEE/EIA P12207.0 之我國國家標準草案 符合 IEEE/EIA P12207.1 之我國國家標準草案 符合 IEEE/EIA P12207.2 之我國國家標準草案 軟體程序評鑑 符合 ISO/IEC TR 15504-1 之我國國家標準草案 符合 ISO/IEC TR 15504-2 之我國國家標準草案 符合 ISO/IEC TR 15504-3 之我國國家標準草案 符合 ISO/IEC TR 15504-4 之我國國家標準草案 符合 ISO/IEC TR 15504-5 之我國國家標準草案 符合 ISO/IEC TR 15504-6 之我國國家標準草案 符合 ISO/IEC TR 15504-7 之我國國家標準草案 符合 ISO/IEC TR 15504-8 之我國國家標準草案 符合 ISO/IEC TR 15504-9 之我國國家標準草案 系統及軟體完整性等級 符合 ISO/IEC 15026 之我國國家標準草案 緣由 軟體開發工作的複雜性甚高，大部分情況會發生錯誤而只有少許的機會能正確運作無誤 瞭解軟體開發時所涉及的程序種類，以及根據某些指標來評估所使用程序的成熟度，可利用評估後的結果來改善軟體的品質，以提昇系統和產品的安全性及可靠度。 若能遵循某種程序、規則或綱要指引，則： 吾人可使用相似的方法來解決類似的問題 吾人總是能知道下一步如何進行 吾人能累積經驗以改進方法 軟體開發工作將是可確定 軟體開發工作能被控管 ISO/IEEE 12207 軟體生命週期之程序 程序的種類 主要生命週期程序(Primary) 支援生命週期程序(Supporting) 組織生命週期程序(Organizational) ISO 12207 定義的所有程序 範例：程序定義 ISO 15504 軟體程序評鑑 ISO 15504 歷史沿革 1987~1989 美國 SEI 開始相關的計畫 1991 美國 SEI 公布能力成熟度模型(CMM) 1.0 版 ISO 成立程序評鑑的工作小組 1993 ISO 著手制訂程序評鑑的國際標準 美國 SEI 公布能力成熟度模型(CMM) 1.1 版 1995 ISO 公布 SPICE 草案標準 1996 ISO 公布 SPICE 2.0 版 1998 ISO 公布 15504 技術報告 2001 ISO 預計定案及公布 15504 標準(?) SPICE 計畫 計畫目標： 滿足軟對評鑑軟體程序能力日益增加的要求 提供組織良好的程序評鑑架構 統合現有的軟體程序評鑑及改善之模型與方法 ISO/IEC TR 15504 標準由來： 1998 年由 ISO/IEC/JTC1 SC7 WG10 負責將 SPICE V2 轉換成軟體程序評鑑的國際標準 內容： 程序評鑑 勝任評鑑員的培訓 程序能力判定 持續程序改善 特性： 牽涉廣泛 包括軟體的獲取、供應、發展、操作、維護及支援等工作程序 模組化 允許選取個別的程序來進行評鑑 每個評鑑後的程序會獲得一個能力的標度(scale) 實施 ISO 15504 的好處 對需用者而言能提供： 判定軟體供應者程序之現有或潛在的能力 對供應者而言能提供： 判定本身軟體程序之現有或潛在的能力 定義軟體程序改善之範圍及優先次序 定義軟體程序改善之準則及架構 對評鑑員而言能提供： 實施程序評鑑的一致性架構 ISO 15504 各冊的內容 軟體程序評鑑各組成元件之關係 參考模型與評鑑模型之關連性 評鑑模型 vs. 參考模型 程序之參考模型 程序之評鑑模型 利用二維圖形來表示程序及程序能力 程序(Process) 面向 程序種類 (Process Categories) 程序 (P1, …, Pn) 能力(Capability) 面向 能力等級 (CL1, …, CL5) 程序之能力屬性 (Attributes) 程序經評鑑後會獲得一個能力等級之評估結果 軟體程序評鑑 程序評鑑之流程 Level 0 : 未完成程序(Incomplete) Level 1 : 已執行程序(Perform