2015版-CISP0401信息安全工程_v3.0讲解.ppt

能力级别-3级 充分定义级 该级别包括三个公共特征： 定义标准化过程：制定标准化过程，从组织标准化过程中裁剪出针对特定需求的过程 执行已定义过程：PA的实施使用充分定义的过程，对执行结果进行缺陷评审，使用充分定义的数据 协调安全实施：执行组内协调、执行组间协调、执行外部协调 * 能力级别-4级 量化控制级 该级别包括两个公共特征： 建立可测量的质量目标：为工作产品建立可测度的目标 对执行情况实施客观管理：为工作过程能力建立量化测量和改进的标准 * 能力级别-5级 持续改进级 该级别包括两个特征 改进组织能力：建立过程有效性目标，持续改进标准过程 改进过程有效性：进行因果分析，消除缺陷根源，持续改进已定义过程 * 能力级别—示例 以“评估风险”为例 〇级：没做 一级：只要开展了评估风险的相关工作（保障评估、等保、检查、AVT） 二级：在开展评估风险工作的过程中能够做到“事前有计划、事中有跟踪、事后有审计” 三级：同一个组织，不同的人员均使用同样的“方案\模板\标准”来执行评估 四级：同一个组织，不同的人员评估的效果\结果是一致的 五级：组织还能够不断改进评估效能（如选用保障评估） * SSE-CMM的使用 SSE-CMM Appraisal Method（SSAM） 是一种组织或项目级的评估方法，通过多种数据采集方法来或区域待评估组织或项目相关的实践过程的信息，目的在于取得一个真实实践的基线（Baseline）或基准（Benchmark），创建并支持用于改进的要素； 数据采集方法：问卷、访谈、证据复审； 评估阶段：规划（Planning），准备（Preparation），现场（On-site），报告（Reporting）； * SSE-CMM评估方法（SSAM） 规划阶段 范围评定 计划评定 准备阶段 准备评定组 分发调查表 合并证物 分析证物 和调查表 查表 现场阶段 领导简报 / 开幕式 采访领导 / 专业人员 分析数据 确定 调查结果 产生排等 级的轮廓 管理记录 工作结束 报告阶段 产生最终 报告 向发起者报 告评定结果 管理评定 实物 报告取得的 经验教训 * 谢谢，请提问题！ * * 什么是SSE-CMM 系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model） 描述了一个组织的系统安全工程过程必须包含的基本特征 这些特征是完善的安全工程保证 也是系统安全工程实施的度量标准 还是一个易于理解的评估系统安全工程实施的框架 * SSE-CMM的作用 帮助获取组织（系统、产品的采购方）选择合格的投标者，以统一的标准对安全工程过程进行监管提高工程实施质量，减少争议 帮助工程组织（系统开发和集成商）通过可重复、可预测的过程减少返工、提高质量、降低成本；改进安全工程实施能力；获得证明安全工程实施能力的资质 帮助认证评估组织获得独立于系统和产品的可重用的过程评估标准用来确定被评估者将安全工程集成在系统工程之中，并且其系统安全工程是可信的 * SSE-CMM覆盖范围 SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。 覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动； 它不是孤立了工程，而是与其它工程并行且相互作用，包括企业工程、软件工程、硬件工程、基建工程、人力资源工程、通信工程、测试工程、系统管理等； 与其它组织的相互作用，涉及开发者、产品供应商、集成商、采购者、安全评估组织、资质评估认证组织、咨询服务商等； SSE-CMM可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。 * SSE-CMM发展历史 1993年4月美国国家安全局（NSA）开始酝量 1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 从1996年6月到1997年6月进行许多实验项目 1999年4月出版了第二版。 2002年，ISO/IEC IS 21827 目前，SSE-CMM V3.0 与其配套的评估方法，SSAM,《系统安全工程能力成熟度模型评估方法》 * SSE-CMM体系结构 能力维（Capability Dimension） 域维（Domain Dimension） 公共特征2.4 跟踪执行 PA 05 评估脆弱性 两维模型： “域维” 由所有定义的安全工程过程区构成。 “能力维”代表组织实施这一过程的能力。 * 域维 过程类 域维 Base Practices Base Practices Base Practices Base Practices Base Practices