如何实现ISO27001与CMMI-SW的整合实施.pdfVIP

如何实现ISO27001与CMMI-SW的整合实施 Trendsetting 北京趋势引领信息咨询有限公司 咨询顾问 汪明 2010- 10-29 研讨内容 1 基本概念 2 理解PDCA模型在ISO27001和CMMI-SW 中的运用 3 两套体系的相互渗透 4 软件公司的信息安全管理 “移动的舞台” 专业能力再强， 表演再精彩， 无法掌控周边环境， 结果很可能就是失败。 1 基本概念 •信息安全的关注点 •关于CMMI-SW 的来龙去脉 •CMMI 的成熟度级别 2 理解PDCA模型在ISO27001和CMMI-SW 中的运用 3 两套体系的相互渗透 4 软件公司的信息安全管理 信息安全的关注点 任何信息资产都具备 保密性 任何安全风险都有 C、I、A三种特性 Confidentiality 可能造成这些特性 中的1 ～3种被侵害 信息安全 完整性 可用性 Integrity Availability 软件开发项目管理 过程中，如何关注 CIA ？ CMMI的发展历程 时间 事件 1994年 SEI正式发布软件工程领域的CMM ，又称SW-CMM 为寻求跨专业领域的企业流程整合以及全面改善，SW-CMM与另一 2000年 些模型被整合，CMMI v1.02版发布 2002年 CMMI-SW v1.1版发布，作为对软件工程科目的模型描述 2006年 原CMMI-SE/SW被升级为CMMI-DEV v1.2 （开发模式） 2007年 CMMI-SS升级为CMMI-ACQ v1.2 （采购模式） 新发布CMMI-SVC v1.2 （服务模式，强调组织服务交付能力的改进， 2009年 覆盖了大部分ISO20000 的要求） 2010年11月 计划发布CMMI 1.3版（模型内部变化，整体架构无变动） 本讲题只涉及软件工程领域CMMI ，所以仍用旧称CMMI-SW 来表示，这样并不影 响对具体流程的描述 CMMI的两种表述 连续式表述的能力度等级 阶段式表述的成熟度等级 应用于特定流程领域的组织流程改 应用于跨流程领域的组织流程改善 说明 善的达成 的达成 等级0 不完整级 无 等级1