| 能力成熟度模型(简称CMM)是对一个组织机构的能力进行成熟度评估的模型。成熟度级别一般分成五级:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。其中,级别越大,表示能力成熟度越高,各级别定义如下:
|
|
|
| . 1级-非正式执行:具备随机、无序、被动的过程;
|
|
|
|
|
|
|
|
|
|
|
| 目前,网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。
|
|
|
|
|
| SSE-CMM(Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM包括工程过程类(Engineering)、组织过程类(Organization)、项目过程类(Project)。各过程类包括的过程内容如下表所示。
|
|
|
|
|
|
|
| SSE-CMM的工程过程、风险过程、保证过程的相互关系如下图所示。
|
|
|
|
|
| SSE-CMM的工程过程、风险过程、保证过程关联图
|
|
|
|
|
|
|
|
|
| SSE-CMM的工程质量来自保证过程,如下图所示。
|
|
|
|
|
|
|
|
|
| 根据《信息安全技术数据安全能力成熟度模型》,数据安全能力成熟度模型架构如下图所示。
|
|
|
|
|
|
|
| 数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
|
|
|
| .组织建设——数据安全组织机构的架构建立、职责分配和沟通协作;
|
|
|
| .制度流程——组织机构关键数据安全领域的制度规范和流程落地建设;
|
|
|
| .技术工具——通过技术手段和产品工具固化安全要求或自动化实现安全工作;
|
|
|
| .人员能力——执行数据安全工作的人员的意识及专业能力。
|
|
|
|
|
|
|
| 软件安全能力成熟度模型分成五级,各级别的主要过程如下:
|
|
|
|
|
|
|
| . CMM3级——漏洞评估、代码分析、安全编码标准;
|
|
|
| . CMM4级——软件安全风险识别、SDLC实施不同安全检查点;
|
|
|
| . CMM5级——改进软件安全风险覆盖率、评估安全差距。
|
|
|
