第六章 衡量安全架构的投资回报（6.5- 6.11）---------基于业务驱动的企业安全架构（翻译，原作者John Sherwood）----仅学习使用

6.5 业务属性和指标（接上篇）

表6.2注释

1. “红色团队评审”是由独立专家团队进行的客观评估，该专家团队已被告知要像用户一样思考或像对手或攻击者，以适合评审目标的为准。
2. 所提到的体系结构能力成熟度模型的类型是基于后面描述的能力成熟度模式的思想本章的部分。
3. MTBF：平均无故障时间
4. MTTR：平均修复时间
5. 作者认为，本SSE-CMM模型中使用的“风险”和“风险敞口”术语非常混乱，且思维清晰。读者在试图将本书中使用的术语与本书中其他地方使用的术语进行协调时要小心。

您需要定义自己的度量方法和适合您特定业务的相关指标。为了帮助您，在表6-2中，有一些建议的方法可以用来构建度量和进行度量。当您进入安全架构生命周期中反馈控制循环的管理和测量阶段时，这将是需要的，您将在第7章中遇到。

硬度量与软度量之间存在区别，硬度量是良好的实数，测量是客观的，软度量是定性的、主观的。并非所有的业务属性都适合进行硬量化测量。

图6-5：定义度量框架

表6-3：映射到业务属性的IBFS RTSS业务驱动因素示例

表6-4：映射到IBFS RTSS业务驱动因素的业务属性示例

6.6 建立度量框架

一旦定义了业务驱动因素并选择了与之相关的业务属性，下一步就是定义衡量方法和每个业务属性要使用的绩效目标，以便收集和评估的指标。

参考表6-2中的信息，基于需求可定制化地将该技术应用于自己的业务，注选择的绩效目标必须针对您的组织和业务。然后，需定义收集的指标和评估方法，旨在指引企业在实现这些绩效目标的方向。

在表6-5中，还有一些示例可以帮助您。这些示例还参考了表6-1中IBFS RTSS案例研究的业务驱动因素。此外，其中一个案例研究示例（业务属性“私有”）已在图6-5中的详细流程图中列出，以帮助您了解建立度量框架的过程，包括衡量方法和绩效目标。

您收集的指标将持续用于衡量安全管理计划与本阶段制定的绩效标准的一致性。它们成为安全体系结构生命周期的管理和度量阶段中使用的重要工具，您将在第7章中遇到它。

对于指标的聚焦性这里可能需要考虑一个问题——应该向谁提供这些指标？例如，如果这些指标显示了某个特定经理的失误，那么将这些指标提供给该经理可能不是一个好主意，然后该经理可能有机会掩盖这些失误。你需要仔细考虑报告线的独立性，类似于内部审计报告。

表6-5:IBFS RTSS的示例度量框架

6.7 应用于安全体系结构的成熟度模型

能力成熟度模型（CMM®）的概念是在卡内基梅隆软件工程研究所开发的。其理念是，一个组织在任何特定专业知识领域的发展都始于不成熟的状态，并随着组织积累经验而经历几个成熟阶段。该模型的一般成熟度水平如表6-6所示。

表6-6：卡内基梅隆能力成熟度模型

在将模型应用于特定的活动领域时，每个成熟度级别或阶段通常被分解为几个关键过程领域（PA）。因此，在软件CMM（SW-CMM®）中，第二级有以下过程领域：

1. 需求管理；
2. 软件项目规划；
3. 软件项目跟踪和监督；
4. 软件分包管理；
5. 软件质量保证；
6. 软件配置管理。

在SW-CMM的其他级别上，流程领域是不同的，随着成熟度的提高，变得更加复杂。

CMM模型在特定的测量领域有多种应用。目前由卡内基梅隆SEI支持的CMM版本（不同的开发阶段）包括：

1. 软件能力成熟度模型；
2. P-CMM：人的能力成熟度模型；
3. SA-CMM：软件采办能力成熟度模型；
4. SE-CMM：系统工程能力成熟度模型；
5. IPD-MM:集成产品开发能力成熟度模型。

6.8 系统安全工程能力成熟度模型

这些观点在安全管理和安全体系结构方面有应用。国际系统安全工程协会（ISSEA）已经对系统安全工程能力成熟度模型（SSE-CMM）进行了研究。这项工作现在是ISO/IEC标准（ISO/IEC 21827）。

SSE-CMM模型描述文件共描述了22个过程领域，分为两组——安全工程PA和项目与组织PA，如表6-7所示。这里的处置方法与SW-CMM中的方法略有不同。在SSE-CMM中，工艺领域被细分为基本实践组，表6-8中显示了一个小例子。过程领域适用于所有能力（成熟度）级别，但每个能力级别被细分为跨越整个过程领域的通用特征，每个通用特征被进一步细分为通用实践（见表6-9），再次跨越整个领域空间。

表6-7:SSE-CMM工艺区域

表6-8：SSE-CMM工艺领域/基础实践示例

这提供了一个细粒度的二维单元矩阵，在该矩阵中，可以评估组织在每个能力级别/通用特征/通用实践（矩阵的能力维度）是否符合每个过程领域/基本实践（矩阵域维度）。该矩阵可用于直观地跟踪走向成熟的进度（见表6-10）。

表6-9:SSSE-CMM通用规程

表6-10:SSE-CMM矩阵

此图表用于跟踪组织安全能力发展的进展
流程领域：

1. 将相关活动集中在一个区域以便于使用；
2. 与有价值的安全工程服务相关；
3. 适用于整个企业生命周期；
4. 可以在多个组织和产品环境中实现；
5. 可以作为一个独特的过程进行改进；
6. 在这个过程中可以由具有相似兴趣的群体来改进；
7. 包括实现流程领域目标所需的所有基本实践。

基本实践具有以下属性：

1. 适用于整个企业生命周期；
2. 与其他基本做法不重叠；
3. 代表了安全界的最佳做法；
4. 不只是反映最先进的技术；
5. 适用于在多个业务环境中使用多种方法；
6. 没有指定特定的方法或工具。

表6-9显示了一般做法。表6-7提供了工艺领域的详细列表。过程领域到基本实践的完整分解非常详细，此处省略，但可以在SSE-CMM网站16上找到。表6-8中给出了一个小示例。表6-10显示了通用实践和过程领域之间的矩阵映射。

有关SSE-CMM的更多信息，请参阅SSE-CMM网站上的材料9。你可能会发现这个方法有点过于沉重。标题为SSE-CMM模型描述的可下载PDF文档有336页，它为您提供了详细级别的指导。然而，CMM的概念是一个很好的概念，你可以很容易地创建自己的简化版本供内部使用——这是作者不时帮助客户组织做的事情。

6.9 CobiTTM能力成熟度模型

CobiT框架是一个信息技术控制的开放标准，由信息技术治理研究所在ISACA的主持下开发和推广。该框架确定了34个信息和通信技术流程、对这些流程的高级别控制方法，以及318个详细的控制目标和审计准则，以评估34个信息通信技术流程。

表6-11:CobiT CMM中的成熟度级别

IT治理研究所也在此框架的基础上制定了CobiT管理指南，包括：

1. 成熟度模型；
2. 关键成功因素；
3. 关键目标指标；
4. 关键绩效指标（KPI）

关键目标指标和关键绩效指标已使用平衡记分卡方法（如上所述，在本章前面）。

CobiT成熟度模型基于卡内基梅隆软件工程研究所模型并定义了六个能力成熟度级别，如表6-11所示。

CobiT CMM的应用旨在对ICT管理进行基准测试组织的绩效&这将在下一节中进行更详细的讨论。为了实现这一点，CobiT框架针对CMM水平提出了四种测量方法：

1. 组织的现状——组织目前的状况；
2. 行业（同类最佳）的现状——比较基准；
3. 国际标准指南的现状——附加比较基准；
4. 组织的改进战略——组织想要达到的目标。

这些都是在CobiT框架中定义的34个过程领域中的每一个下进行评估的，结果可以制成表格或以视觉表示形式呈现，如图6-6所示。
CobiT的34个过程领域分为四个领域标题：

1. 规划和组织；
2. 收购和实施；
3. 交付和支持；
4. 监控。

有关CobiT框架的更多详细信息，建议您访问ISACA或IT治理研究所的网站。

图6-6：CobiT基准量表

6.10 应用CMM衡量投资回报率

上述类型的能力成熟度模型可以是解决安全架构中衡量投资回报问题的另一种有效方法。虽然这种方法通常只适用于管理过程，但作者也有将其应用于衡量体系结构中包括的技术安全机制（代替过程领域）的强度（代替成熟度）的个人经验。

然而，使用能力成熟度模型确实意味着高级管理团队具有一定的成熟度和教育水平，他们必须首先接受成熟度模型是有效的衡量工具，并且必须了解各种能力水平的含义，以便能够解释有关组织能力改进程度的报告。它还要求高级管理团队接受并认识到，在给定的领域或流程领域达到给定的成熟度代表了一个有效的业务目标，因此是衡量投资回报的有用指标。这可能不适合所有组织。

同样重要的是要认识到，达到最高成熟度可能不是企业的正确目标。成功应用这些技术的关键是使用成熟度水平来确定你想要在规模上的目标和原因。这一主题将在下一节的基准测试中进行探讨，其中使用客观的测量量表来确定你现在的位置和你想要达到的目标，而这并不总是最重要的。

6.11 基准安全体系结构

上一节介绍了基准测试的概念。基准是根据一些外部标准来衡量组织绩效的做法。问题是“与其他人相比，我们做得怎么样？”后续问题通常是“现在我们知道了天平的位置，我们想去哪里？”因此，企业衡量外部基准及其当前位置，并设定目标。图6-7对此进行了图解说明。

图6-7：企业基准

您应该使用什么作为外部基准？有几种可能性：

1. 外部最佳实践或良好实践基准标准，例如：
    ISO/IEC 17799：信息安全管理实施规范14；
    ISO/IEC 21827：系统安全工程能力成熟度模型（在上一节中详细讨论）；
    CobiTTM：信息和相关技术的控制目标15。
2. 遵守法律或监管要求，例如：
    《政府信息安全改革法》（美国）；
    数据保护指令和一致的国家立法（欧盟）；
    《隐私和电子通信指令》和一致的国家立法（欧盟）；
    1996年《健康保险便携性和责任法案》（美国）；
    Gramm-Leach-Bliley Act16（美国）；
    Sarbanes-Oxley法案17（美国）；
    巴塞尔协议II：
    新巴塞尔资本协议18（银行业）。
3. 最近的调查和其他出版物，如为专业组织成员提供的调查和出版物：
    ISF（信息安全论坛）调查19；
    I-4（国际信息完整性研究所）出版物和报告20；
    CSI（计算机安全研究所21）年度调查以及IPAK自我评估工具包。

无论您选择哪一种，基准方法都取决于您根据自己选择的标准对组织进行自我评估。

衡量和基准测试安全架构和安全管理流程的好处与您提供评估投资回报的方法的目标密切相关：

1. 展示附加值；
2. 构建商业案例；
3. 支出合理性；
4. 设定激励团队的目标；
5. 帮助您了解自己正在取得的成就。

6.12总结：衡量安全架构的投资回报率？

投资回报率或价值回报率是高级管理层常用的衡量标准，用于评估特定投资提案的商业案例。对于要进行此评估的安全架构投资，需要一些客观的测量技术。

平衡记分卡方法是一种可能的方法。它在企业的四个视角之间提供了一个平衡的视角：

1. 财务视角；
2. 客户视角；
3. 内部过程视角；
4. 创新和学习视角。

对于这些观点中的每一个，都会构建一个记分卡，列出企业的目标（意图）以及如何实现这些目标（结果）的客观衡量标准。

另一种方法是基于SABSA®业务属性，这些属性在属性分类法中分为七个标题。目前，分类法中定义了85个属性，每个属性都有关于测量方法和可以定义的度量的建议。一些建议的度量是硬的和定量的，而另一些是软的和定性的。在SABSA®方法中，业务属性的使用实现了业务安全驱动因素与在组件和操作级别构建企业安全架构的方式之间的双向可追溯性。

另一种方法是应用能力成熟度模型，类似于卡内基梅隆大学为衡量软件工程实践而设计的模型。这些提供了能力与领域的二维分析。系统安全工程能力成熟度模型和CobiT能力成熟度模式都是潜在的候选模型。

最后，企业可以选择采用其中一种或多种技术，通过对外部基准的评估对企业当前职位的评估，以及对企业期望职位的目标，所有这些都是在概念基准量表上衡量的。

所有或任何这些技术都可以用来衡量安全架构投资对企业的好处，因此可以用作衡量投资回报或价值回报的指标。