BSIMM(构建安全成熟度模型) 模型介绍.pdf

BSIMM(构建安全成熟度模型)模型介绍

一、背景

构建安全成熟度模型(BSIMM)是一种数据驱动的模型，采用一套面对面

访谈技术开展BSIMM评估，唯一目标就是观察和报告。企业通过参与BSIMM

的评估，不仅可以更加具体的了解自身SSI的执行情况，还可以从行业视角明

确所处的具体位置。

BISMM模型，是一把衡量企业在软件开发阶段构建软件安全能力的标尺。

BSIMM软件安全框架（SSF）包含四个领域—治理、情报、SSDL触点和

部署。反过来，这四个领域又包括12个实践模块，这12个实践模块中又包含

119项BSIMM活动。

二、目标

BSIMM的最重要的用途是作为一个标尺来确定您目前采用的方法相对于

其他企业处于何种位置。您只需要搞清楚您已经开展了哪些活动，然后在SSF

中找到这些活动，然后再构建您的记分卡。针对全部119项活动开展直接比较

也许是BSIMM最显而易见的用途。如想开展此类比较，您可以构建您的记分

卡，然后再将其与BSIMM10进行比较。

一旦确定了您的活动处于什么地位，您就可以制定出一套计划，利用

BSIMM中包含的其他活动来增强相关实践,或者可能将现有活动扩展到更多

的软件组合。通过提供来自实地的实际评估数据，BSIMM能够让您针对软件

安全计划（SSI）做出长期规划，并根据该规划来跟踪进展情况。

请注意，没有什么必然的理由一定要采用每个实践模块中各个级别的全部活

动。只需要采用对您的组织机构有意义的活动即可，可以忽略那些没有意义的活

动，但应当定期重新审查这些选择。一旦采用了活动集，大多数组织就会根据他

们对相关风险的看法，开始研究每项活动的深度、广度和成本效益。

一项有意义的比较是，画出您自己企业的高水位标记，然后与我们发布的平

均值进行比较，看看您的企业相比之下到底如何。

三、BSIMM10的框架

四、BSIMM10的轮廓