信息系统安全工程通用实践项目与组织基本实践能力成熟度模型概念过程域对应表Word文档格式.docx
- 文档编号:21780698
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:72
- 大小:72.93KB
信息系统安全工程通用实践项目与组织基本实践能力成熟度模型概念过程域对应表Word文档格式.docx
《信息系统安全工程通用实践项目与组织基本实践能力成熟度模型概念过程域对应表Word文档格式.docx》由会员分享,可在线阅读,更多相关《信息系统安全工程通用实践项目与组织基本实践能力成熟度模型概念过程域对应表Word文档格式.docx(72页珍藏版)》请在冰豆网上搜索。
该过程中存在可识别的工作产品。
A.2.1.1.2公共特征列表
能力等级由下列公共特征组成:
公共特征1.1——执行基本实践。
A.2.2公共特征1.1——执行基本实践
A.2.2.1公共特征通用实践
A.2.2.1.1概要描述
该公共特征的通用实践仅仅确保该过程域的基本实践按某种方法执行。
然而,由于缺乏控制,产生的工作产品的一致性或性能、以及质量可能波动很大。
A.2.2.1.2通用实践列表
该公共特征由下列通用实践组成:
GP1.1.1——执行过程。
A.2.2.2GP1.1.1——执行过程
A.2.2.2.1描述
执行实现该过程域的基本实践的过程,以便向需求方提供工作产品和/或服务。
A.2.2.2.2注释
这个过程可以称为“基本过程”。
该过程域的需求方可以是组织内部的或外部的。
A.3能力等级2——计划跟踪
本实践的执行。
验证是否按照规定的规程执行。
验证是否按规定的规程执行。
工作产品符合规定的标准和要求。
采取测量来跟踪过程域的执行,因此组织能够根据实际执行情况管理其活动。
与等级1“基本执行”的主要区别在于,该过程的执行是经过计划的和受到管理的。
A.3.1能力等级公共特征
A.3.1.1公共特征通用实践
A.3.1.1.1概要描述
该能力等级由下列公共特征组成:
●公共特征2.1——计划执行;
●公共特征2.2——规范地执行
●公共特征2.3——验证执行;
●公共特征2.4——跟踪执行。
A.3.2公共特征2.1——计划执行
A.3.2.1公共特征通用实践
A.3.2.1.1概要描述
这个公共特征的通用实践关注的是执行该过程域及其相应的基本实践进行的计划内容。
因此,过程文档复制、执行过程的合适工具的供给、过程执行的计划、过程执行中的培训、过程资源的分配和过程执行责任的指派等都要涉及。
对于过程的规范地执行,这些通用实践形成了一个至关重要的基础。
A.3.2.1.2通用实践列表
●GP2.1.1——分配资源;
●GP2.1.2——指派责任;
●GP2.1.3——编制过程文档;
●GP2.1.4——提供工具;
●GP2.1.5——确保培训;
●GP2.1.6——计划过程。
A.3.2.2GP2.1.1分配资源
A.3.2.2.1描述
为执行该过程域分配足够的资源(包括人员)。
A.3.2.2.2注释
无。
A.3.2.2.3关系
关键资源的识别在过程域PA16“计划/规划技术工作”中完成。
A.3.2.3GP2.1.2——指派责任
A.3.2.3.1描述
为开发该过程域的工作产品和/或提供服务指派责任。
A.3.2.3.2注释
A.3.2.3.3关系
该实践与“计划/规划技术工作”关系密切。
A.3.2.4GP2.1.3——编制过程文档
A.3.2.4.1描述
把执行该过程域的方法编制成标准和/或规程。
A.3.2.4.2注释
执行过程的人(该过程的拥有者)参与编制过程文档,对于创建有用的过程描述非常重要。
某个组织或项目的过程不必与本模型中的过程域——对应。
因此,覆盖某个过程域的过程可以用不止一种方法来描述(例如,方针、标准和/或规程),为了覆盖某个过程域,以及某个过程描述,可能横跨不止一个过程域。
A.3.2.4.3关系
与其他通用实践的关系:
这是等级2过程描述。
该过程描述将随着过程能力的提高而演变(见GP3.1.1,GP3.1.2,GP5.1.2,GP5.2.3中该过程的描述)。
在这个等级上描述过程的标准和规程可能包括测量,因此可以用测量来跟踪执行(见公共特征2.4)。
这个实践与PA17“定义组织系统工程过程”和PA18“改进组织系统工程过程”有关。
A.3.2.5GP2.1.4——提供工具
A.3.2.5.1描述
提供合适的工具以支持过程域的执行。
A.3.2.5.2注释
所要求的工具随所执行的过程而变。
执行该过程的个人可能很清楚执行该过程需要什么工具。
A.3.2.5.3关系
工具变更可能是过程改进的一部分(见有关过程改进的实践GP5.1.2,GP5.2.3)。
关于工具的管理,见PA20“管理安全工程支持环境”。
A.3.2.6GP2.1.5——确保培训
A.3.2.6.1描述
确保执行该过程域的个人在如何执行过程方面得到合适的培训。
A.3.2.6.2注释
由于如何执行和管理过程的变化,培训及其实施方式将随过程能力而改变。
A.3.2.6.3关系
培训和培训管理的描述见PA21“提供持续发展的技能和知识”。
A.3.2.7GP2.1.6——计划过程
A.3.2.7.1描述
计划该过程域的执行。
A.3.2.7.2注释
工程化类和项目类过程域的策划可以构成项目计划,而组织类过程域的计划可能是组织级的。
A.3.2.7.3关系
项目策划在PA16“计划/规划技术工作”中描述。
A.3.3公共特征2.2——规范地执行
A.3.3.1公共特征通用实践
A.3.3.1.1概要描述
这个公共特征的通用实践关注的是在过程上投入的总量控制。
因此,过程执行计划的使用、过程按照标准和规程的执行以及对过程产生的工作产品的配置管理都要涉及。
这些通用实践形成一个验证过程执行的重要基础。
A.3.3.1.2通用实践列表
●GP2.2.1——使用计划、标准和规程;
●GP2.2.2——实施配置管理。
A.3.3.2GP2.2.1——使用计划、标准和规程。
A.3.3.2.1描述
在实施过程域的过程中使用文档化的计划、标准和/或规程。
A.3.3.2.2注释
按过程描述执行的过程称为“已描述的过程”。
应该在标准、规程和计划中定义过程测量项。
A.3.3.2.3关系
使用的标准和规程在GP2.1.3中形成文档,使用的计划在GP2.1.6中形成文档。
这个实践是GP1.1.1的进化并将演化到GP3.2.1。
A.3.3.3GP2.2.2——实施配置管理
A.3.3.3.1描述
合适时,将过程域的工作产品置于版本控制或配置管理下。
A.3.3.3.2注释
A.3.3.3.3关系
在过程域PA13“管理配置”中描述了配置管理学科中支持系统工程所需的典型实践。
过程域PA13“管理配置”关注的是配置管理的通用实践,这个通用实践关注与正在调查研究的过程域的工作产品有关的这些实践的部署。
A.3.4公共特征2.3——验证执行
A.3.4.1公共特征通用实践
A.3.4.1.1概要描述
这个公共特征的通用实践关注的是证实过程是否已按预期目标执行。
因此验证过程的执行是否符合适用的标准和规程以及工作产品的审核都要涉及。
这些通用实践形成跟踪过程执行情况能力的一个重要基础。
A.3.4.1.2通用实践列表
●GP2.3.1——验证过程符合性;
●GP2.3.2——审核工作产品。
A.3.4.2GP2.3.1——验证过程符合性
A.3.4.2.1描述
验证过程是否符合适用的标准和/或规程。
A.3.4.2.2注释
A.3.4.2.3关系
适用的标准和规程在GP2.1.3中形成文档,在GP2.2.1中使用。
质量管理和/或保障过程在PA12“确保质量”中描述。
A.3.4.3GP2.3.2——审核工作产品
A.3.4.3.1描述
验证工作产品是否符合适用的标准和/或要求。
A.3.4.3.2注释
A.3.4.3.3关系
产品要求在过程域PA10“确定安全需要”中得到提出和管理。
在PA11“验证和确认安全”中进一步讨论验证和确认。
A.3.5公共特征2.4——跟踪执行
A.3.5.1公共特征通用实践
A.3.5.1.1概要描述
这个公共特征的通用实践关注的是项目执行进展的控制能力。
因此涉及到根据度量计划跟踪过程执行情况,并且当过程的执行严重偏离计划时采取纠正措施。
这些通用实践形成具备达到充分定义程的能力的一个重要基础。
A.3.5.1.2通用实践列
●GP2.4.1——根据测量跟踪;
●GP2.4.2——采取纠正措施。
A.3.5.2GP2.4.1——根据测量跟踪
A.3.5.2.1描述
根据实施测量的计划来跟踪过程域的状态,包括时间表、费用或其他项目执行相关事项。
A.3.5.2.2注释
建立测量历史是实施基于数据管理的基础,并且由此开始。
跟踪测量为生成能力级别3的充分定义数据提供基础。
整个项目可使用过程改进测量和信息安全测量。
需要计入测量的数据必须是可靠的,列入考虑的过程应是可测量的。
只有持续的并可重复的过程才能考虑测量。
A.3.5.2.3关系
使用测量就意味着已在GP2.1.3和GP2.1.6中定义和选择了测量项,并且已在GP2.2.1中收集了数据。
信息安全测量在过程域PA06中描述。
项目追踪在过程域PA15“监督和控制技术工作”中描述。
A.3.5.3GP2.4.2——采取纠正措施
A.3.5.3.1描述
当进展严重偏离计划时采取纠正措施。
A.3.5.3.2注释
进展可能由于估计不准确而变化,执行情况受外部因素影响,或者作为计划基础的要求已改变。
纠正措施可能涉及到更改过程和/或计划。
A.3.5.3.3关系
项目控制在过程域PA15“监督和控制技术工作”中描述。
A.4能力等级3——充分定义
A.4.1能力等级公共特征
A.4.1.1公共特征通用实践
A.4.1.1.1概要描述
根据已批准的充分定义过程、标准的裁剪版本和文档化过程执行基本管理。
与等级2“计划跟踪”的主要区别在于,在这个等级是使用组织级的标准过程来计划和管理过程。
A.4.1.1.2公共特征列表
该能力等级组成了下列公共特征:
●公共特征3.1——定义标准过程;
●公共特征3.2——执行已定义过程;
●公共特征3.3——协调实践。
A.4.2公共特征3.1——定义标准过程
A.4.2.1公共特征通用实践
A.4.2.1.1概要描述
这个公共特征的通用实践关注的是组织标准过程的制度化。
已制度化的过程的起源或基础可能是在某些特定项目中成功运用的类似的一个或多个过程。
组织标准过程可能需要经过裁剪才适用于特定用途,所以也要考虑各种钱鶉需要的开发。
因此涉及到编制组织标准过程文档和针对特定用途的标准过程的裁剪。
这些通用过程形成执行已定义过程的一个至关重要的基础。
A.4.2.1.2通用实践列表
•GP3.1.1——使过程标准化;
•GP3.1.2——裁剪标准过程。
A.4.2.2GP3.1.1——使过程标准化
A.4.2.2.1描述
编制本组织的标准过程或过程集合文档;
这些文件描述如何实施该过程域的基本实践。
A.4.2.2.2注释
通用实践GP2.1.3和GP3.1.1(等级2和等级3的过程描述)间的关键区别在于方针、标准和规程的应用范围。
在GP2.1.3中,标准和规程可能仅用于过程的某种特定情况(如某个具体项目)。
在GP3.1.1中,方针、标准和规程是在组织级建立,供共同使用的,称为“标准过程定义”。
由于不要求组织里的过程与能力成熟度模型的过程域一一对应,因此,为了覆盖某个过程域可以定义不止一个标准过程描述;
同理,某个已定义过程可能横跨多个过程域。
SSE-CMM
没有规定过程描述的组织或结构。
因此,为了提出各个应用领域之间、需求方约束条件之间的差异,可以定义不止一个标准过程。
这些标准过程合在一起称为“标准过程集合”。
A.4.2.2.3关系
等级2过程描述在GP2.1.3中文档化。
等级3过程描述在GP3.1.2中裁剪。
开发过程描述的过程在过程域PA17“定义组织的安全工程过程”中描述。
A.4.2.3GP3.1.2——裁剪标准过程
A.4.2.3.1描述
裁剪组织的标准过程集合,以创建提出某特定用途的具体需要的已定义过程。
A.4.2.3.2注释
裁剪组织的标准过程创建“等级3”过程定义。
对于项目级的已定义过程,裁剪提出该项目的具体需要。
A.4.2.3.3关系
与其他通用实践的关系:
组织的标准过程在GP3.1.1中文档化。
裁剪的过程定义在GP3.2.1中使用。
裁剪指南在过程域PA17“定义组织的安全工程过程”中定义。
A.4.3公共特征3.2执行已定义过程
A.4.3.1公共特征通用实践
A.4.3.1.1概要描述
这个公共特征的通用实践关注的是充分定义过程的可重复执行。
因此,涉及到制度化过程的使用、过程的结果(即,工作产品)的缺陷评审、以及过程的执行数据和结果数据的使用。
这些通用实践形成安全实践协调的一个重要基础。
A.4.3.1.2通用实践列表
●GP3.2.1——使用充分定义过程;
●GP3.2.2——执行缺陷评审;
●GP3.2.3——使用充分定义数据。
A.4.3.2GP3.2.1——使用充分定义过程
A.4.3.2.1描述
在实施过程域的过程中使用充分定义过程。
A.4.3.2.2注释
一般是根据组织的标准过程定义裁剪“已定义过程”。
充分定义过程是一种具有文档化的、一致的和完整的方针、标准、输入、准入准则、活动、规程、特定角色、测量项、确认、模板、输出和准出准则的过程。
A.4.3.2.3关系
组织的标准过程定义在GP3.1.1中描述。
已定义过程在GP3.1.2中通过裁剪而建立。
A.4.3.3GP3.2.2——执行缺陷评审
A.4.3.3.1描述
对该过程域相应的工作产品执行缺陷评审。
A.4.3.3.2注释
A.4.3.3.3关系
A.4.3.4GP3.2.3——使用充分定义数据
A.4.3.4.1描述
使用在执行已定义过程的过程中产生的数据来管理该过程。
A.4.3.4.2注释
在该点积极使用最初在等级2收集到的测量数据,将为下一个等级的定量管理奠定基础。
为了有助于跟踪效果和管理过程,测量需要提供随着时间变化的相关效果趋势,并指出可应用于问题领域的改进措施。
测量必须使用充分定义的数据。
分析多个项目的测量标准可以识别趋势,并为组织提供更多关于业务影响的信息。
A.4.3.4.3关系
这是GP2.4.2的演化;
这里采取的纠正措施是基于充分定义过程的,该过程具备确定进展的客观准则(见GP3.2.1)。
A.4.4公共特征3.3——协调实践
A.4.4.1公共特征通用实践
A.4.4.1.1概要描述
这个公共特征的通用实践关注的是项目和组织中活动的协调。
许多重要活动由项目中不同的组和代表项目的组织服务组执行。
协调不足可能造成延误或者所得到的结果没有可比性。
因此涉及到组内、组间和外部活动的协调。
这些通用实践形成具备量化控制过程能力的一个至关重要的基础。
A.4.4.1.2通用实践列表
●GP3.3.1执行组内协调;
●GP3.3.2执行组间协调;
●GP3.3.3执行外部协调。
A.4.4.2GP3.3.1——执行组内协调
A.4.4.2.1描述
在工程学科内协调交流。
A.4.4.2.2注释
这种类型的协调提出针对某个工程学科的需要,该工程学科通过意见一致的方式来确保有关技术问题(例如访问控制、安全测试)的决策都能实现。
将相应的工程师的承诺、期望和责任形成文档并且在所涉及的人员之间达成一致。
跟踪并解决工程问题。
A.4.4.2.3关系
这个通用实践与GP3.2.1关系密切,在GP3.2.1中各个过程要充分定义,才能实现有效协调。
协调对象和途径在PA07“协调安全”中提出。
A.4.4.3GP3.3.2——执行组间协调
A.4.4.3.1描述
在本组织内不同的组间协调交流。
A.4.4.3.2注释
这种类型的协调提出工程师的需要,以确保在受影响的工程领域中提出技术领域(例如风险评估、设计输入、安全测试)之间的关系。
其目的是验证在GP3.3.1中的数据收集工作与其他工程领域协调一致。
通过对组织内每个工程活动的承诺、期望和责任的共识,确立工程组之间的关系。
这些活动和共识形成文档并且在整个组织内达成一致,并且提出在某个项目/组织内各个组之间的相互作用。
在项目/组织里所有受到影响的工程组之间跟踪并解决工程问题。
A.4.4.3.3关系
确保及时而准确地向其他工程组提供输入的特定安全工程实践在PA09“提供安全输入”中提出。
A.4.4.4GP3.3.3——执行外部协调
A.4.4.4.1描述
与外部群体的协调交流。
A.4.4.4.2注释
这种类型的协调提出请求或要求工程结果的外部组织(例如,消费者、认证活动、评价者)。
通过对组织内每个工程活动的承诺、期望和职责的共识,确立外部组(例如,需求方、系统安全认证师、用户)之间的关系。
各个工程组要识别、跟踪并解决外部技术问题。
A.4.4.4.3关系
需求方的安全需要在PA10“确定安全需要”中定义。
需求方的保障需要在PA06“建立保障论据”中提出。
A.5能力等级4——量化控制
A.5.1能力等级公共特征
A.5.1.1公共特征通用实践
A.5.1.1.1概要描述
收集并分析性能的详细测量项。
由此可以做到量化理解过程能力,并且具备预测性能的、已提高的能力。
客观地管理性能和量化地理解工作产品的质量。
与充分定义级的主要区别在于对已定义过程的量化了解和控制。
A.5.1.1.2公共特征列表
●公共特征4.1——建立可度量的质量目标;
●公共特征4.2——客观管理性能。
A.5.2公共特征4.1——建立可度量的质量目标
A.5.2.1公共特征通用实践
A.5.2.1.1概要描述
这个公共特征的通用实践关注的是针对使用组织级的过程开发的工作产品所建立的可度量目标。
因此涉及质量目标的建立。
这些通用实践形成客观管理过程性能的一个重要基础。
A.5.2.1.2通用实践列表
GP4.1.1——建立质量目标。
A.5.2.2GP4.1.1——建立质量目标
A.5.2.2.1描述
针对组织的标准过程集合的工作产品建立可度量的质量目标。
A.5.2.2.2注释
可以把这些质量目标与组织的战略质量目标、需求方的具体需要以及优先顺序、或项目的战术需要联系在一起。
这里提到的测量不只是传统的最终产品测量。
实际上其目的还在于充分了解那些可以用于设定和使用工作产品质量中间目标的过程。
A.5.2.2.3关系
在缺陷评审(GP3.2.2)中收集的数据在设定工作产品质量目标时特别重要。
A.5.3公共特征4.2——客观管理性能
A.5.3.1公共特征通用实践
A.5.3.1.1概要描述
这个公共特征的通用实践关注的是确定过程能力的量化测量项,并且在过程管理中充分利用这些量化测量项。
提出量化地确定过程能力和使用量化测量项作为纠正措施的基础。
这些通用实践形成建立持续改进能力的一个至关重要的基础。
A.5.3.1.2通用实践列表
●GP4.2.1——确定过程能力;
●GP4.2.2——使用过程能力。
A.5.3.2GP4.2.1——确定过程能力
A.5.3.2.1描述
量化地确定已定义过程的过程能力。
A.5.3.2.2注释
这是基于充分定义(GP3.1.1和GP3.2.3)和测量过程(GP2.4.1)的一个量化过程能力。
测量项存在于过程中,并且应该随着过程的执行而收集。
A.5.3.2.3关系
已定义过程通过GP3.1.2中的裁剪来建立,并且在GP3.2.1中执行。
A.5.3.3GP4.2.2——使用过程能力
A.5.3.3.1描述
在过程的执行没有达到其过程能力的情况下采取适当的纠正措施。
A.5.3.3.2注释
根据对过程能力的了解,已识别的特殊变化原因用户理解在何时、采取何种纠正措施是适当的。
A.5.3.3.3关系
这个实践是GP3.2.3的演化,它给已定义过程补充了量化过程能力。
A.6能力等级5——持续改进
A.6.1能力等级公共特征
A.6.1.1公共特征通用实践
A.6.1.1.1概要描述
在组织的业务目标基础上建立关于过程有效性和效率的量化性能目标。
通过执行已定义过程和指导运用创新的思想与技术得到量化反馈,能够做到按照这些目标的持续过程改进。
与量化量化控制级的主要区别是,已定义过程和标准过程将在量化了解变更对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 工程 通用 实践 项目 组织 基本 能力 成熟度 模型 概念 过程 对应