一、概述
CMMI模型总共包含八大领域,每个领域是由一组实践域构成的,这组实践域可以适配一个组织的主要能力。下方表格简单列举了八大领域分别代表的方向和主要关注的能力。
| 领域列表 | |
| 领域 | 方向和能力 |
| 数据(DATA) | 用来评估组织的数据治理能力,包括数据管理和数据质量两部分。组织需要定义一套用来管理数据的方法,以确保数据是有用的,准确的,提高组织内数据的价值。 |
| 开发(DEV) | 用来评估组织生产产品或开发服务方案的能力,包括软件和硬件的生产、集成能力。组织需要有标准的流程规范来保障生产活动有序、高效,为客户提供优质的产品和服务。 |
| 人员(PPL) | 用来评估组织在育人、留人、用人方面的成熟度。组织要使员工个人目标和组织业务目标保持一致,帮助且赋能员工高效完成工作。 |
| 安全(SAF) | 用来评估组织在安全风险管理方面的成熟度。组织要有在有限的资源约束下尽可能地减少和缓解安全风险,确保工作场所和提供的产品或服务不存在重大安全隐患,不会造成重大人身安全和财产损失问题。 |
| 安保(SEC) | 用来评估组织对外来威胁的防御能力,包括产品漏洞管理、产品开发过程中面临的恶意攻击、数据泄露等。组织通过渗透测试、静态扫描、威胁建模、第三方组件漏洞监控、安全培训、攻防演练等方式充分识别威胁并采取有效的抵御措施。 |
| 服务(SVC) | 用来评估组织对外提供服务的成熟度。组织通过制定标准化服务体系和应急处置流程,减小服务交付过程中的风险,并尽可能提供超出客户预期的服务来提高客户满意度。 |
| 供应商(SPM) | 用来评估组织对提供产品、服务或资源的第三方供应商进行管理的成熟度。组织要通过选择合格供应商、签订合作协议、供应商评价等活动来提高和供应商共同实现目标的可能性。 |
| 虚拟(VRT) | 用来评估组织远程交付产品或服务的能力。组织要建立虚拟化工作标准或要求,指导远程团队实现高效的虚拟沟通和合作,最大限度的提高虚拟工作的效率。 |
其中 SEC领域和SAF领域乍一看有些相似性,但各有不同侧重点,SAF更加强调人身安全、财产安全等物理安全,SEC更加强调的是信息安全、网络安全、数据安全。本文重点分析SEC领域的实践域要求和需要实施的活动以及对应的交付物。
二、SEC(安保)领域实践解读
安保领域包含两个实践域 ,分别是赋能安保 (ESEC)和管理安保威胁和漏洞 (MST)。
(注:以下具体实践条款引用自CMMI官方研究院发布的CMMI V3.0模型,CMMI研究院官网:CMMI Institute - Resources)
1)赋能安保(ESEC)
第 1 级 初始级
ESEC 1.1 识别并记录安保需求和问题。
ESEC 1.2 处理优先的安保需求和问题。
解读:初始级共有2条实践,这里强调了组织要先将当前需要关注的安保问题收集起来,持续主动识别可能存在的安保问题并记录在案。针对这些安保问题进行初步分析后结合组织当前的资源、能力、所处环境等方面因素选出需要优先处理的安保问题并采取措施。对应的交付物可以是:问题清单、问题记录、问题处理日志等。
第 2 级 管理级
ESEC 2.1 识别并记录安保需求,持续对其更新,并使用其来确立安保方法和目标。
ESEC 2.2 开发、持续更新并遵循满足物理安保需求的方法。
ESEC 2.3 开发、持续更新并遵循满足使命、人员和过程相关安保需求的方法。
ESEC 2.4 开发、持续更新并遵循满足网络安保需求的方法。
解读:管理级共有4条实践,到了管理级就要求组织活动有规划、有监控,因此在此处强调了组织除了记录安保问题之外,还要规划出如何解决这些安保问题的方案以及想要达到的目标,包括谁去执行、何时执行、怎么执行、执行之后如何确认是否达成目标等,这些步骤要形成项目组内解决安保问题的一套工作指南,大家都可以遵循这套方法开展工作,确保安保需求被完整闭环。对应的交付物可以是:安保问题清单、安保工作计划、安保方案/策略、问题跟踪记录表、安保问题解决情况度量数据等。
第 3 级 定义级
ESEC 3.1 建立和部署组织安保运营能力。
ESEC 3.2 制定、遵循和实施组织安保策略、方法和架构,并持续对其进行更新。
ESEC 3.3 在整个组织中定期执行安保评审和评价,并对结果采取措施。
解读:定义级共有3条实践,到了定义级就要求组织要有标准流程规范,不再是仅限于项目组内部,而且是整个组织有统一的流程制度模板,组织过程是稳定的。因此,强调组织要有负责安保运营的组织,有统一的安保问题管理制度和运营制度,并周期性进行组织内安保风险审计和评估。类似于部分公司可能会成立网络安全部或信息安全办公室之类的部门,该部门有专职的信息安全人员负责处理公司的安全问题,有时候还会组织网络攻防对抗、安全意识培训、钓鱼邮件演练等,负责办公网的安全维护和访问控制。对应的交付物可以是:安保管理制度/指南/流程/模板、安保风险评估报告、安保风险审计报告、安保运营数据、培训记录、安保演练记录、安保工作记录等
2)管理安保威胁和漏洞 (MST)
第 1 级 初始级
MST 1.1 识别并记录安保威胁和漏洞。
MST 1.2 采取行动解决安保威胁和漏洞。
解读:初始级共有2条实践,与ESEC的两条实践类似,此处强调的是对安保威胁和漏洞进行识别和记录并采取解决措施。这里要注意的是,安保威胁和安保需求略有不同,前者是指可能会面临的安保风险,当前还没有发生,但未来有一定概率会发生,后者指客户提出的或产品自身出于安全性考虑需要满足的安全要求或者已经发现的安全问题需要处理。漏洞主要是指产品或环境的安全漏洞。对应的交付物可以是:安保威胁和漏洞列表、风险问题跟踪记录、威胁和漏洞处理日志、威胁和漏洞解决措施等。
第 2 级 管理级
MST 2.1 开发、持续更新并遵循安保威胁和漏洞处理方法。
MST 2.2 制定和持续更新安保威胁和漏洞评估标准。
MST 2.3 利用所记录的标准确定运营期间出现的最关键安保威胁和漏洞的优先级, 并监控和解决这些威胁和漏洞。
MST 2.4 评估和报告为处理解决方案的关键安保威胁和漏洞而采取的方法和行动的有效性。
解读:管理级共有4条实践,强调组织对威胁和漏洞的管理需要有一定的规划和监控,在项目组内要形成一套尽可能复用的方法和流程,比如常见漏洞的处理方式、安保威胁/漏洞的严重等级定义、统计安保威胁和漏洞的按时解决率、评估安保威胁或漏洞是否根本解决的原则等。常见的交付物可以是:威胁和漏洞的管理流程、评审记录、威胁和漏洞的处理记录、威胁和漏洞的有优先级排序、威胁和漏洞的严重程度定义、威胁和漏洞解决情况报告等。
第 3 级 定义级
MST 3.1 制定、持续更新并遵循组织安保策略、方法和架构,以评估、管理和验证 威胁和漏洞。
MST 3.2 分析安保验证和确认结果,以便在整个组织中确保准确性、可比性、一致 性和有效性。
MST 3.3 评估用于解决安保威胁和漏洞的组织安保策略、方法和架构的有效性。
解读:定义级共有3条实践,强调组织对威胁和漏洞的管理要有统一的流程标准,包括威胁和漏洞的识别、记录、分析、处理、验证、关闭。定期对这套流程进行有效性评估,看是否需要根据组织当前所处的环境调整流程或人员结构。与管理级不同的是,这里更强调有组织级的流程规范,也就是说整个组织内不管哪个部门遇到威胁和漏洞都是采用这套流程进行管理,对应信息化程度较高的企业可能会有统一的漏洞管理平台、威胁建模系统等等,可以帮助组织对威胁和漏洞进行统一管理和运营。同样的,这些组织级的工作应该由专门的部门或人员负责。对应的交付物可以是:威胁和漏洞管理流程/指南/方针/策略、威胁和漏洞库、常见漏洞解决措施、安保工作记录、威胁和漏洞报告、安保审计报告等
第 4 级 量化级
MST 4.1 使用统计与其他量化技术执行威胁情报分析,以开发和改进解决方案的安保方法和架构,并选择安保解决方案以解决威胁和漏洞
解读:量化级只有1条实践,到了量化级,说明组织过程已经很稳定了,且积累了大量的过程数据,因此,此处强调的是需要使用数据度量的方式对威胁和漏洞的态势进行分析,通过大量数据分析对可能要发生的威胁进行预测,通常由专业的威胁情报分析师对收集到的威胁信息或已经了解到的对手信息从战术、战略等层面进行深度分析,从而识别出面临的安全风险,推动组织及时作处响应,提前应对避免造成资产损失,威胁情报分析常见于网络安全行业。对应的交付物可以是:威胁情报数据、威胁情报分析报告、威胁情报分析记录等
三、SEC领域认证关注的内容
上面描述了SEC领域的实践要求以及我们在真实组织中应该做什么,那么企业想要通过CMMI-SEC领域认证需要准备哪些文件?认证评估组关注哪些内容呢?这里做一个就简单的归纳。任何单一领域的认证都需要在核心实践域要求满足的基础上增加特定领域实践域要求,关于核心实践域和特定领域实践域的详细内容见企业申请CMMI评估认证流程_cmmi中级评估师-CSDN博客 此处重点描述SEC领域实践域的关注点。
| 活动 | 需提供的文件类型 | 评估关注点 |
| 组织建立安保工作相关规范、流程、制度等 | 流程制度类文件 | 组织是否定义包括了研发阶段和运营阶段需要采取的安保策略、方法和措施等。安保工作通常围绕以下几个安保要素,包括:保密性、完整性和可用性 |
| 识别和记录安全需求/问题 | 安保需求清单/列表 | 关注研发、运营过程中的安保需求获取和识别。此处与实践域RDM 有重叠的部分。 对于安保需求,可能有以下分类:1.物理安保和环境需求;2.组织使 命、人员和过程安保需求;3.网络安保、技术和相关信息需求。 |
| 实施安保策略 | 安保工作记录 | 组织是否通过实施定义的安保策略解决了安保问题 |
| 安保审计/评价 | 安保审计报告 安保工作记录等 | 组织是否定期对安保策略、措施、方法、工具等等进行评审和评价,确认安保策略的有效性。 |
| 活动 | 需提供的文件类型 | 评估关注点 |
| 组织建立威胁和漏洞管理相关规范、流程、制度等 | 流程制度类文件 | 组织是否对安保威胁和漏洞管理有标准化的定义,包含:威胁和漏洞的识别、监控和处理;威胁和漏洞的评价标准;评价和持续改进策略等。 |
| 识别并记录威胁和漏洞 | 威胁和漏洞清单 | 是否覆盖研发阶段和运营阶段所识别到的安保威胁和漏洞。比如在研发阶段使用的第三方组件可能存在的潜在威胁和漏洞;在运营阶段所遭受的恶意攻击等。 |
| 确认威胁和漏洞的优先级 | 威胁和漏洞清单 | 是否根据威胁和漏洞对业务运营影响对其进行优先级排序,并对其持续进行跟踪解决。 |
| 解决威胁和漏洞 | 威胁和漏洞解决记录 | 解决威胁与漏洞的过程是否遵循组织的标准化定义 |
| 评价威胁和漏洞的管理措施 | 评价记录/报告 | 是否阶段性对现有策略、措施和方法进行评价,以确保所采取的措施是效的。 |
| 威胁情报分析 | 威胁情报分析记录 | 关注威胁情报分析阶段的统计分析技术应用 |
以上就是CMMI SEC领域的相关内容啦,希望对您有帮助~
扫一扫
794
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
