BSIMM(构建安全成熟度模型 version 10 ) 模型介绍

0x00 背景

        构建安全成熟度模型 (BSIMM) 是一种数据驱动的模型，采用一套面对面访谈技术开展 BSIMM 评估，唯一目标就是观察和报告。企业通过参与 BSIMM 的评估，不仅可以更加具体的了解自身 SSI 的执行情况，还可以从行业视角明确所处的具体位置。

     BISMM 模型，是一把衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM 软件安全框架（SSF）包含四个领域 — 治理、 情报、 SSDL 触点和部署。反过来，这四个领域又包括 12 个实践模块，这 12 个实践模块中又包含 119 项 BSIMM 活动。

 0x01 目标

       BSIMM 的最重要的用途是作为一个标尺来确定您目前采用的方法相对于其他企业处于何种位置。您只需要搞清楚您已经开展了哪些活动，然后在 SSF 中找到这些活动，然后再构建您的记分卡。针对全部 119 项活动开展直接比较也许是 BSIMM 最显而易见的用途。如想开展此类比较，您可以构建您的记分卡，然后再将其与 BSIMM10 进行比较。

        一旦确定了您的活动处于什么地位，您就可以制定出一套计划，利用 BSIMM 中包含的其他活动来增强相关实践, 或者可能将现有活动扩展到更多的软件组合。 通过提供来自实地的实际评估数据， BSIMM 能够让您针对软件安全计划（SSI）做出长期规划，并根据该规划来跟踪进展情况。

        请注意，没有什么必然的理由一定要采用每个实践模块中各个级别的全部活动。只需要采用对您的组织机构有意义的活动即可，可以忽略那些没有意义的活动，但应当定期重新审查这些选择。 一旦采用了活动集，大多数组织就会根据他们对相关风险的看法，开始研究每项活动的深度、广度和成本效益。

       一项有意义的比较是，画出您自己企业的高水位标记，然后与我们发布的平均值进行比较，看看您的企业相比之下到底如何。

 0x02 BSIMM10 的框架

 0x03 BSIMM10 的轮廓

 0x04 参考资料

BSIMM 官方:   https://www.bsimm.com/zh-cn.html

BSIMM资源：https://www.bsimm.com/zh-cn/resources.html

相关的记分卡、框架表格：https://download.csdn.net/download/qq_29277155/12005737