@南馆潇湘
2年前 提问
1个回答

信息安全工程能力成熟度级别有哪些

GQQQy
2年前

信息安全工程能力成熟度级别有以下这些:

  • 未实施级:未实施级没有公共特征。能力成熟度处于未实施级(0级)的组织,通常不能成功执行过程区域中的全部基本实施。能力成熟度为0级的过程区域输出的工作产品不易辨别或使用。能力成熟度为0级的组织,不具有实施信息安全工程的基本能力,不适宜做为工程承建单位来负责实施一项工程。一个过程区域通常与某一有价值的安全工程服务相关。若某一组织在某一过程区域的能力成熟度为0级,则这一组织无法提供某一特定信息安全工程服务,如风险评估服务。

  • 非正式执行级:非正式执行级关注的是一个组织或项目是否执行了包含基本实施的过程。这个级别的设计思想可以描述为“必须首先做它,然后才能管理它”。在这一级别,过程区域的基本实施均被执行。但基本实施的执行可能未经严格的计划和跟踪,即不能控制执行效果,效果取决于个人的能力,能力达到这一级别的工程组织,执行过程区域具备1个公共特征,即“执行基本实施”。此公共特征的GP只是保证过程区域的所有BP以某种方式执行。然而,工作产品的一致性、性能和质量会因缺乏适当控制而存在极大的差异。

  • 计划和跟踪级:计划和跟踪级关注的是在项目层面是否有相应的定义、计划,并按照事先的定义和计划执行。这个级别的设计思想可描述为“在定义组织层面的过程之前,先要理解并做好项目层面应该执行的相关事项”。在这一级别上,项目组先制订计划和规范,再按计划和规范执行过程区域的基本实施并跟踪执行情况;验证过程区域的执行是否符合预期目标,验证工作产品能够符合指定的需求。

  • 充分定义级:充分定义级着重于合理裁剪组织层面的已定义过程。这个级别的设计思想可描述为“用从项目中总结出的良好经验定义组织层面的过程”。在这一级别,基本实施按照充分定义的过程执行。充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。

  • 量化控制级:量化控制级着重于测量。测量是与组织业务目标紧密联系在一起的。尽管以前级别的数据收集和项目测量是基本的活动,但只有达到充分定义级别时,数据才能在组织范围内测量和应用。这个级别的设计思想可以描述为“只有知道它是什么,才能测量它”和“当测量的对象正确时,基于测量的管理才有意义”。收集并分析过程执行的详细测量项,获得对过程能力和能力改进的量化理解,并获得预测过程执行情况的能力。

  • 持续改进级:“没有最好,只有更好”,“完美是追求的一种境界”。这个级别从前面各级所有管理活动的经验中获得发展的力量,并通过加强组织文化来保持这个力量。此方法强调文化的转变,这种转变又将使方法更有效。这个级别的设计思想可以描述为“一种持续改进的文化需要以完备的管理实施、已定义的过程和可测量的目标作为基础”。在这个级别上,基于组织的业务目标并针对过程有效性和效率建立量化执行目标。通过执行已定义过程和运用创新的思想和技术并获得量化反馈来针对这些目标持续改进过程。

  • 评估能力成熟度级:在评估和改进组织过程能力时,公共特征和能力级别都是重要的。当评估组织能力时,如果这个组织在执行特定过程区域时只具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度达不到这一级别。例如,在执行“评估脆弱性”这一过程区域时,具备了2级能力成熟度级别的“规划执行”、“规范化执行”、“跟踪执行”的特征,如果缺乏“验证执行”这一公共特征,那么,组织在“评估脆弱性”这一过程区域的能力成熟度达不到2级。另外,如果组织在实施过程区域时虽然具备了某一较高级别的所有公共特征,但不具备低级别的公共特征时,则这个组织不能获得较高级别的所有收益,此组织的能力成熟度实际上也是达不到这一较高级别。由于上述原因,SSE-CMM的通用实施和公共特征按能力高低进行排序。当一个组织希望改进某个特定过程的能力时,各能力级别的公共特征包含的通用实施活动可为组织机构提供一个“能力改进路线图”。