因此,安全过程域与公共特征的交汇点体现了一个组织执行脆弱性评估的能力。图中的每一方框都代表了组织实施特定安全工程过程的能力。
公共特性2.4:追踪PAO5的实施情况,即评估编弱性域维/安全过程区,通过这种方法收集到的信息可以帮助建立安全工程能力的轮廓。
SSE-CMM模型包含六个基本实践,这些被组织为11个安全工程过程域,涵盖了所有主要的安全保障领域。这样的设计旨在满足广泛的安全工程需求。构建安全工程过程的方法多样,其中一种是将实际的安全服务建模,也就是原型法,从而创建符合安全服务要求的过程域。
其他方法包括识别概念域,将这些域转化为基础的构建模块。当前的SSE-CMM过程域集合是各种实施目标权衡的结果。每个过程域都包含了一组目标,代表组织成功实施该过程域的标准。
此外,每个过程域还包含了随时可以集成的基本实践(BP)。
基本实践定义了实现过程域目标的必要步骤,并包括以下几个特点:
(1) 聚合相关活动以便使用;
(2) 提供有价值的安全服务;
(3) 在整个组织生命周期中适用;
(4) 可以在不同组织和产品间实施;
(5) 可作为一个独立流程进行改进;
(6) 能由具有共同兴趣的团体进行优化;
(7) 包括达成过程域目标所需的所有基本实践。由于一些本质上相似的活动可能有不同的名称,因此识别安全工程的基本实践变得复杂。
这些活动的识别是在生命周期的不同阶段或由不同角色的人员在不同抽象层次上进行的。
SSE-CMM忽略这些差异,只识别出必要的、优质的安全工程基本实践集。因此,如果一个组织仅在设计阶段或单一抽象层上工作,则不“执行”所有这些基本实践。
CCRC-CISAW-SI安全集成方向认证马老师135~2173~0416/133~9150~9126
基本实践的特性包括:
(1)适用于整个企业生命周期;
(2)与其他基本实践互不重叠;
(3)代表安全行业的“最佳实践”
热门跟贴