今日頭條
官方微信
官方抖音
資訊頻道摘要:信息安全風(fēng)險評估服務(wù)是我國信息安全保障工作的重要環(huán)節(jié)之一,信息安全風(fēng)險評估技術(shù)手段一直為行業(yè)內(nèi)所推崇。目前,因多方面因素影響,信息安全風(fēng)險評估服務(wù)能力的水平在地區(qū)、行業(yè)間等呈現(xiàn)參差不齊的現(xiàn)象。結(jié)合SSE-CMM理論及信息安全風(fēng)險評估服務(wù)的最優(yōu)實(shí)踐,提出風(fēng)險評估服務(wù)能力成熟度模型概念,即RAS-CMM。RAS-CMM圍繞資源配置、技術(shù)過程、項(xiàng)目管理等能力因素對風(fēng)險評估服務(wù)能力等級提出理論評價框架。
信息安全風(fēng)險評估是信息安全保障工作的基礎(chǔ)和重要環(huán)節(jié),我國信息安全風(fēng)險評估工作得到國家一系列政策的支持。《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)[2003]27號)》,《關(guān)于開展信息安全風(fēng)險評估工作的意見(國信辦[2006]5號)》,《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險評估工作的通知(發(fā)改高技)[2008]2071號》等這些政策都明確提出信息安全風(fēng)險評估的必要性,及對信息安全風(fēng)險評估工作的重視。
同時,我國在標(biāo)準(zhǔn)化方面也做了大量工作。2007年6月14日,我國正式發(fā)布了國家標(biāo)準(zhǔn)GB/T20984─2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》,標(biāo)志著我國開展信息安全風(fēng)險評估工作有了正式的參考標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提出了風(fēng)險評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評估方法,以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式,適用于規(guī)范組織開展風(fēng)險評估工作。后續(xù)的發(fā)布的還有GB/Z24364─2009《信息安全風(fēng)險管理指南》, GB/T31509─2015《信息安全技術(shù) 信息安全風(fēng)險評估實(shí)施指南》等標(biāo)準(zhǔn)。
新時期,國家對于風(fēng)險評估工作空前重視。習(xí)主席在網(wǎng)絡(luò)安全和信息化工作座談會上的講話上指出“維護(hù)網(wǎng)絡(luò)安全,首先要知道風(fēng)險在哪里,是什么樣的風(fēng)險,什么時候發(fā)生風(fēng)險”,“準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律、動向、趨勢”。足見國家對網(wǎng)絡(luò)安全風(fēng)險的重視,開展信息安全風(fēng)險評估工作的重要性。特別是,2016年11月7日發(fā)布,2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》中明確將信息安全安全風(fēng)險評估服務(wù)工作上升為國家法律層面,為信息安全風(fēng)險評估工作的推動發(fā)揮巨大作用。
本文結(jié)合一線風(fēng)險評估測評經(jīng)驗(yàn)與國際通用的能力成熟度的理論,提出了風(fēng)險評估服務(wù)能力成熟度模型的概念。本文意在闡述信息安全風(fēng)險評估服務(wù)能力成熟度模型的框架研究,為風(fēng)險評估服務(wù)能力水平的評價提供參考依據(jù)。
1、信息安全風(fēng)險評估服務(wù)能力成熟度模型概述
1.1 信息安全風(fēng)險評估服務(wù)過程描述
信息安全風(fēng)險評估服務(wù)能力成熟度模型是依據(jù)風(fēng)險評估服務(wù)生命過程, 風(fēng)險評估服務(wù)提供方向風(fēng)險評估服務(wù)需求方提供包括業(yè)務(wù)識別、資產(chǎn)識別、威脅識別、脆弱性識別、現(xiàn)有安全措施有效性分析和風(fēng)險分析等為主線,對整個風(fēng)險評估服務(wù)過程及過程中的多個過程域的服務(wù)能力等級進(jìn)行測評的評估模型。信息安全風(fēng)險評估服務(wù)生命周期框架流程圖如圖1所示:
圖1 風(fēng)險評估實(shí)施流程圖
目前風(fēng)險評估服務(wù)的形式因行業(yè)和地區(qū)的不同呈現(xiàn)多樣化,本文意在闡述基于GB/T20984的完整風(fēng)險評估服務(wù)過程為主線,對能提供單個、多個過程域及整個風(fēng)險評估服務(wù)的提供方從其服務(wù)過程中的資源配置、技術(shù)服務(wù)過程和項(xiàng)目管理過程等服務(wù)能力要素對風(fēng)險評估服務(wù)提供方的服務(wù)能力成熟度進(jìn)行等級評估。對于在具體風(fēng)險評估服務(wù)的過程中不是針對整個生命周期進(jìn)行服務(wù)的情況,可以對具體的服務(wù)過程域進(jìn)行風(fēng)險評估服務(wù)的能力等級進(jìn)行評估。
1.2 信息安全風(fēng)險評估服務(wù)能力要素
信息安全風(fēng)險評估服務(wù)能力包括風(fēng)險評估服務(wù)技術(shù)過程能力,信息安全風(fēng)險評估服務(wù)的項(xiàng)目管理過程能力及風(fēng)險評估服務(wù)資源配置能力等方面。這些服務(wù)能力也是信息安全風(fēng)險評估服務(wù)的基本活動,這些活動能力的評估需信息系統(tǒng)服務(wù)的需求方、提供方和評估方配置相應(yīng)的人力、設(shè)備、環(huán)境等資源和服務(wù)過程的管理才能構(gòu)成完整的風(fēng)險評估服務(wù)能力。
因此,信息安全風(fēng)險評估服務(wù)能力應(yīng)由以下要素構(gòu)成,如圖2所示:
圖2 風(fēng)險評估服務(wù)能力構(gòu)成要素
1)風(fēng)險評估服務(wù)資源配置
在資源配置方面包括風(fēng)險評估服務(wù)人員的專業(yè)技術(shù)能力和知識面、實(shí)施風(fēng)險評估服務(wù)所需的工具設(shè)備、設(shè)施和環(huán)境。
2)風(fēng)險評估服務(wù)技術(shù)過程
根據(jù)風(fēng)險評估服務(wù)技術(shù)過程的各個過程域,包括業(yè)務(wù)識別、資產(chǎn)識別、威脅識別、脆弱性識別、現(xiàn)有安全措施有效性分析和風(fēng)險分析等。
3)風(fēng)險評估服務(wù)項(xiàng)目管理過程
實(shí)施風(fēng)險評估服務(wù)需要進(jìn)行項(xiàng)目管理過程。項(xiàng)目管理過程應(yīng)覆蓋到風(fēng)險評估服務(wù)的服務(wù)過程活動中。
1.3 風(fēng)險評估服務(wù)能力成熟度模型
信息安全風(fēng)險評估服務(wù)能力成熟度模型(RAS-CMM)是在系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的基礎(chǔ)上,結(jié)合信息安全風(fēng)險評估服務(wù)的最佳實(shí)踐,所形成的對風(fēng)險評估服務(wù)能力成熟度進(jìn)行度量的模型。
信息安全風(fēng)險評估服務(wù)能力成熟度由能力維和域維構(gòu)成(如圖3所示)。
風(fēng)險評估服務(wù)能力級別分為5級:1級是基本執(zhí)行級;,2級是計(jì)劃跟蹤級;3級是充分定義級;4級是量化控制級;5級是持續(xù)改進(jìn)級。風(fēng)險評估服務(wù)能力級別示意圖(如圖4所示)。
能力級別從1~5級逐級提高,標(biāo)志著風(fēng)險評估恢復(fù)服務(wù)能力成熟度的不斷提升。每個級別規(guī)定了對應(yīng)的公共特征和通用實(shí)施。在本文中,高級別需要涵蓋低級別成熟度要求的所有內(nèi)容。但該級別只是規(guī)定了增加的內(nèi)容。
能力維由公共特征構(gòu)成,公共特征由通用實(shí)施(GP)構(gòu)成。對于某級別的所有通用實(shí)施滿足了該級別的公共特征,從而形成了此級別的能力。
圖3 風(fēng)險評估服務(wù)能力成熟度模型
域維由過程域(PA)和資源配置組成。風(fēng)險評估服務(wù)的過程域(PA)包括風(fēng)險評估服務(wù)技術(shù)過程域、項(xiàng)目管理過程域。過程域由基本實(shí)施(BP)構(gòu)成,每個過程域的基本實(shí)施(BP)是構(gòu)成該過程域的基本要素,是該完成該過程活動的基本單元。對于不同級別的能力維,風(fēng)險評估服務(wù)過程域的各個基本實(shí)施(BP)都是必須的。資源配置是完成風(fēng)險評估服務(wù)活動的基本條件,針對不同能力級別,可能需要特定的資源配置條件。風(fēng)險評估服務(wù)能力等級示意圖如圖4所示:
圖4 風(fēng)險評估服務(wù)能力等級示意圖
1.4 風(fēng)險評估服務(wù)能力要素
1.4.1 風(fēng)險評估服務(wù)資源配置能力
風(fēng)險評估服務(wù)的開展要具備資源配置能力,風(fēng)險評估項(xiàng)目組要具備足夠支撐風(fēng)險評估服務(wù)的基本資源,例如各類檢查表格、報告模板、漏掃工具、滲透工具、資產(chǎn)識別工具、威脅識別工具、合格的風(fēng)險評估技術(shù)人才等。
1.4.2 風(fēng)險評估服務(wù)技術(shù)過程能力
1.4.2.1 PA01-業(yè)務(wù)識別與分析
在識別組織的業(yè)務(wù)之前要掌握組織的發(fā)展戰(zhàn)略,由戰(zhàn)略推導(dǎo)出各業(yè)務(wù)發(fā)展情況,識別業(yè)務(wù)內(nèi)容,可通過訪談、文檔查閱、資料查閱等方式,針對業(yè)務(wù)屬性進(jìn)行賦值分析,找到關(guān)鍵業(yè)務(wù)。業(yè)務(wù)是組織發(fā)展的核心,業(yè)務(wù)具有價值屬性、多樣性、復(fù)雜性等特點(diǎn)。
本過程域包括以下3個基本實(shí)施:
1) BP.02.01——關(guān)鍵資產(chǎn)識別;
2) BP.02.02——資產(chǎn)影響分析;
3) BP.02.03——監(jiān)視資產(chǎn)影響變化。
1.4.2.2 PA02-資產(chǎn)識別與分析
根據(jù)資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)性或相關(guān)性進(jìn)行資產(chǎn)識別,并根據(jù)資產(chǎn)的業(yè)務(wù)相關(guān)性、保密性、完整性和可用性等屬性對資產(chǎn)的影響進(jìn)行優(yōu)先級排列。風(fēng)險評估中資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度以及其上承載的業(yè)務(wù)安全程度產(chǎn)生影響。當(dāng)承載的業(yè)務(wù)屬性發(fā)生變化時,資產(chǎn)的影響優(yōu)先級將發(fā)生變化。
本過程域包括以下3個基本實(shí)施:
1) BP.02.01——關(guān)鍵資產(chǎn)識別;
2) BP.02.02——資產(chǎn)影響分析;
3) BP.02.03——監(jiān)視資產(chǎn)影響變化。
1.4.2.3 PA03-威脅識別與分析
業(yè)務(wù)及資產(chǎn)面臨的威脅是風(fēng)險的發(fā)起者,如果不存在威脅,風(fēng)險也就隨之不存在了,威脅構(gòu)成了風(fēng)險發(fā)生的必要條件。威脅來源、動機(jī)、能力和頻率是威脅的屬性,威脅的屬性既是對威脅的描述,也構(gòu)成了評價威脅影響優(yōu)先級的必然因素。當(dāng)環(huán)境等因素發(fā)生變化時,威脅的影響也會隨之發(fā)生變化。
本過程域包括以下3個基本實(shí)施:
1) BP.03.01——威脅識別;
2) BP.03.02——威脅影響分析;
3) BP.03.03——監(jiān)視威脅變化。
1.4.2.4 PA04-脆弱性識別與分析
脆弱性是風(fēng)險評估服務(wù)的重要環(huán)節(jié),可從技術(shù)和管理兩個方面進(jìn)行審視。脆弱性識別依據(jù)相關(guān)國際或國家安全標(biāo)準(zhǔn)、行業(yè)規(guī)范等,對應(yīng)用在不同環(huán)境中的相同脆弱性,其嚴(yán)重程度是不同的。根據(jù)脆弱性對業(yè)務(wù)和資產(chǎn)的暴露程度,已有安全措施和脆弱性關(guān)聯(lián)識別分析結(jié)果等,采用優(yōu)先級排列的方式對已識別的脆弱性進(jìn)行賦值。資產(chǎn)所處環(huán)境等因素變化,脆弱性的等級也隨之發(fā)生變化。
本過程域包括以下3個基本實(shí)施:
1) BP.04.01——脆弱性識別;
2) BP.04.02——脆弱性等級分析;
3) BP.04.03——監(jiān)視脆弱性影響變化分析。
1.4.2.5 PA05-現(xiàn)有安全措施有效性識別與分析
對現(xiàn)有安全措施進(jìn)行識別并評估其有效性,即是否真正地抵御了威脅,降低了脆弱性。對有效抵御威脅的安全措施繼續(xù)保持,對確認(rèn)為不適當(dāng)?shù)幕驘o法有效抵御威脅的安全措施應(yīng)被取消或?qū)ζ溥M(jìn)行修正。
本過程域包括以下2個基本實(shí)施:
1) BP.05.01——現(xiàn)有安全措施識別;
2) BP.05.02——現(xiàn)有安全措施有效性分析。
1.4.2.6 PA06-風(fēng)險分析
在完成了業(yè)務(wù)識別、資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定風(fēng)險等級。
本過程域包括以下4個基本實(shí)施:
1) BP.04.01——選擇風(fēng)險分析方法;
2) BP.04.02——對暴露(指威脅、脆弱性和影響的組合)的標(biāo)識與分析;
3) BP.04.03——排列風(fēng)險優(yōu)先級;
4) BP.04.04——監(jiān)視風(fēng)險變化。
1.4.2.7 PA07-質(zhì)量保證
這個過程域的潛在目的是:只有整個服務(wù)過程都在持續(xù)測量和改進(jìn)質(zhì)量的情況下才能產(chǎn)生高質(zhì)量的風(fēng)險評估服務(wù)。在整個風(fēng)險評估服務(wù)的過程中,為保證高質(zhì)量的服務(wù),關(guān)鍵內(nèi)容就是測量、分析和修正措施,保證相關(guān)內(nèi)容的保密性等。該過程域的目標(biāo)就是,實(shí)現(xiàn)預(yù)期的服務(wù)質(zhì)量。
本過程域包括以下3個基本實(shí)施:
1) BP.09.01——測量產(chǎn)品質(zhì)量;
2) BP.09.02——測量過程質(zhì)量;
3) BP.09.03——質(zhì)量分析與修正。
1.4.2.8 PA08-配置管理
“管理配置”的目的是維持已標(biāo)識的配置單元的數(shù)據(jù)和狀況,并對風(fēng)險評估服務(wù)及其配置單元的變化進(jìn)行分析和控制。
本過程域包括以下2個基本實(shí)施:
BP.10.01——建立配置單元;
2) BP.10.02——維護(hù)工作產(chǎn)品基線。
1.4.2.9 PA09-項(xiàng)目風(fēng)險管理
“管理風(fēng)險”的目的是標(biāo)識、評估、監(jiān)視和降低風(fēng)險評估服務(wù)項(xiàng)目風(fēng)險以便于風(fēng)險評估服務(wù)項(xiàng)目取得成功。
本過程域包括以下3個基本實(shí)施:
1) BP.11.01——項(xiàng)目風(fēng)險的識別和評估;
2) BP.11.02——項(xiàng)目風(fēng)險的控制;
3) BP.11.03——跟蹤風(fēng)險降低效果。
1.4.2.10 PA10-項(xiàng)目規(guī)劃
“項(xiàng)目規(guī)劃”的目的是建立項(xiàng)目計(jì)劃和規(guī)劃項(xiàng)目的技術(shù)過程,為在風(fēng)險評估服務(wù)過程中涉及到的技術(shù)性工作的進(jìn)度、費(fèi)用、控制、跟蹤和商議性質(zhì)和范圍提供基礎(chǔ)。
本過程域包括以下2個基本實(shí)施:
1) BP.12.01——項(xiàng)目計(jì)劃;
2) BP.12.02——項(xiàng)目技術(shù)規(guī)劃。
1.4.2.11 PA11-項(xiàng)目監(jiān)控
“項(xiàng)目監(jiān)控”的目的是為項(xiàng)目計(jì)劃和技術(shù)過程得到有效執(zhí)行,并通過監(jiān)督和指導(dǎo)行為使得項(xiàng)目執(zhí)行過程滿足項(xiàng)目規(guī)劃的效果,對執(zhí)行計(jì)劃發(fā)生嚴(yán)重偏差時可及時進(jìn)行修正。
本過程域包括以下2個基本實(shí)施:
1) BP.13.01——項(xiàng)目監(jiān)督和指導(dǎo);
2) BP.13.02——問題分析與修正。
1.4.2.12 提供不斷發(fā)展的技能
“技能和知識提升”的目的在于確保項(xiàng)目組成員擁有必要的技能來達(dá)到項(xiàng)目的目標(biāo)。所需的技能可以通過內(nèi)部培訓(xùn)和外部來源中獲得。
本過程域包括以下3個基本實(shí)施:
1) BP.15.01——識別技能和知識需求;
2) BP.15.02——實(shí)施培訓(xùn);
BP.15.03——技能和培訓(xùn)評估。
2. 風(fēng)險評估服務(wù)過程能力級別定義
2.1 風(fēng)險評估服務(wù)過程能力概述
風(fēng)險評估服務(wù)過程能力等級分為5級,由1級到5級遞增。每個級別包含了幾個公共特征,每個公共特征又包含若干個通用實(shí)施。通用實(shí)施是適用于所有過程的活動,是過程方面的管理,度量和制度化方面陳述。這些通用實(shí)施可在過程能力的評定中用于確定任何過程的能力。
能力級別具體定義如下所示:
1) 能力級別1——基本執(zhí)行;
2) 能力級別2——計(jì)劃跟蹤;
3) 能力級別3——充分定義;
4) 能力級別4——量化控制;
5) 能力級別5——持續(xù)改進(jìn)。
2.2 能力級別1 — 基本執(zhí)行級
2.2.1 基本執(zhí)行級綜述
在此級別,過程域的基本實(shí)施通常被執(zhí)行。但基本實(shí)施的執(zhí)行可能未經(jīng)嚴(yán)格的計(jì)劃和跟蹤,而是基于個人的知識和努力。
該能力級別包含如下公共特征:
1) 公共特征1.1——執(zhí)行基本實(shí)施。此公共特征的通用實(shí)施只是保證過程域的基本實(shí)施以某種方式執(zhí)行,工作產(chǎn)品的一致性、性能和質(zhì)量會因缺乏適當(dāng)控制而存在極大的差異。
該公共特征包含如下通用實(shí)施:
1) GP1.1.1——執(zhí)行過程。執(zhí)行一個實(shí)現(xiàn)過程域的基本實(shí)施的過程,為服務(wù)需求方提供服務(wù)。
2.3 能力級別2 — 計(jì)劃與跟蹤級
2.3.1 計(jì)劃與跟蹤級綜述
此級別,過程域基本實(shí)施的執(zhí)行是經(jīng)計(jì)劃并被跟蹤的,并對實(shí)施情況進(jìn)行驗(yàn)證。工作產(chǎn)品符合指定的標(biāo)準(zhǔn)。通過測量來跟蹤過程域的執(zhí)行情況,能夠基于實(shí)際實(shí)施活動進(jìn)行管理。與基本執(zhí)行級別間的主要區(qū)別是過程實(shí)施被計(jì)劃和管理。
該能力級別包含如下公共特征:
1) 公共特征2.1 ——規(guī)劃執(zhí)行;
2) 公共特征2.2 ——規(guī)范化執(zhí)行;
3) 公共特征2.3 ——驗(yàn)證執(zhí)行;
4) 公共特征2.4 ——跟蹤執(zhí)行。
2.3.2 公共特征2.1— 規(guī)劃執(zhí)行
該公共特征的基本實(shí)施集中在過程域及相關(guān)的基本實(shí)施執(zhí)行的規(guī)劃方面。涉及到過程文檔的編制,適當(dāng)執(zhí)行過程工具的提供,過程實(shí)施的計(jì)劃,過程執(zhí)行中的培訓(xùn),過程資源的分配以及過程執(zhí)行的責(zé)任分配。這些通用實(shí)施為規(guī)范化的過程執(zhí)行提供了最根本的基礎(chǔ)。
該公共特征包含如下通用實(shí)施:
1) GP2.1.1 ——分配資源。為執(zhí)行過程域基本實(shí)施提供充份的資源,包括人(特別是關(guān)鍵人員)、技術(shù)、工具、設(shè)備等。
2) GP2.1.2 ——分配責(zé)任。為服務(wù)過程分配任務(wù)和責(zé)任,包括內(nèi)部、外部和過程實(shí)施的所有相關(guān)方和個人。
3) GP2.1.3 —— 文檔化過程。將過程域執(zhí)行的方法形成標(biāo)準(zhǔn)化和/或程序化文檔。
4) GP2.1.4——提供工具。為支持過程域的執(zhí)行提供適當(dāng)?shù)墓ぞ摺?/p>
5) GP2.1.5 ——保證培訓(xùn)。保證過程域執(zhí)行人員獲得適當(dāng)?shù)倪^程執(zhí)行方面的培訓(xùn)。
6) GP 2.1.6 ——規(guī)劃過程。對過程域的實(shí)施進(jìn)行規(guī)劃。
2.3.3 公共特征2.2— 規(guī)范化執(zhí)行
該公共特征的通用實(shí)施注重于對過程實(shí)施的控制程度。列出了過程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過程執(zhí)行、配置管理下依照過程產(chǎn)生的工作產(chǎn)品。
該公共特征包含如下通用實(shí)施:
1) GP2.2.1 ——使用計(jì)劃、標(biāo)準(zhǔn)和程序。在執(zhí)行過程域中,使用文檔化的計(jì)劃、標(biāo)準(zhǔn)和/或程序指導(dǎo)實(shí)施。
2) GP2.2.2 —— 進(jìn)行配置管理。 將過程域的輸出適當(dāng)?shù)闹糜谂渲霉芾硐拢M(jìn)行版本控制和/或變更控制。
2.3.4 公共特征2.3— 驗(yàn)證執(zhí)行
該公共特征的通用實(shí)施注重于確認(rèn)過程按預(yù)定的方式執(zhí)行。因此這個通用實(shí)施涉及到驗(yàn)證執(zhí)行過程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致性的,以及對工作產(chǎn)品的審計(jì)。
該公共特征包含如下通用實(shí)施:
1) GP2.3.1 ——驗(yàn)證過程一致性。驗(yàn)證過程與可用標(biāo)準(zhǔn)和/或程序的一致性。
2) GP2.3.2 ——審計(jì)工作產(chǎn)品。驗(yàn)證工作產(chǎn)品與可用標(biāo)準(zhǔn)和/或程序、需求及測量目標(biāo)的一致性。
2.3.5 公共特征2.4— 跟蹤執(zhí)行
該公共特征的通用實(shí)施注重于控制項(xiàng)目進(jìn)展的能力。因此,該過程通過計(jì)劃跟蹤過程執(zhí)行,當(dāng)實(shí)施與計(jì)劃產(chǎn)生重大偏離時采取修正行動。這些通用實(shí)施形成了達(dá)到充分定義過程能力的根本基礎(chǔ)。
該公共特征包含如下通用實(shí)施:
1) GP2.4.1 ——使用測量跟蹤。 根據(jù)計(jì)劃通過測量跟蹤過程域狀態(tài)。
2) GP 2.4.2 ——采取修正措施。 當(dāng)與計(jì)劃間有重大差別時適當(dāng)?shù)夭扇⌒拚胧?/p>
2.4 能力級別3 — 充分定義級
2.4.1 充分定義級綜述
在此級別,基本實(shí)施按照充分定義的過程執(zhí)行。充分定義的過程是依據(jù)對文檔化的標(biāo)準(zhǔn)過程進(jìn)行裁剪并經(jīng)批準(zhǔn)的過程版本。此過程與計(jì)劃和跟蹤級的主要區(qū)別在于利用組織范圍內(nèi)的過程標(biāo)準(zhǔn)來管理和規(guī)劃。
該能力級別包括以下公共特征:
1) 公共特征3.1 ——定義標(biāo)準(zhǔn)過程;
2) 公共特征3.2 ——執(zhí)行已定義的過程;
3) 公共特征3.3 ——協(xié)調(diào)安全實(shí)施。
2.4.2 公共特征3.1— 定義標(biāo)準(zhǔn)過程
該公共特征的通用實(shí)施注重于標(biāo)準(zhǔn)過程的制度化。1個標(biāo)準(zhǔn)過程需要適合特定環(huán)境的使用,所以也應(yīng)考慮到如何進(jìn)行裁剪。定義標(biāo)準(zhǔn)化的過程文檔,滿足特定用途對標(biāo)準(zhǔn)過程進(jìn)行的裁剪。這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ)。
該公共特征包括以下通用實(shí)施:
1) GP3.1.1 ——過程標(biāo)準(zhǔn)化。 為組織定義1個文檔化的標(biāo)準(zhǔn)過程或過程族,描述了如何實(shí)現(xiàn)過程域的基本實(shí)施,建立通用的政策、標(biāo)準(zhǔn)和程序,這稱之為“標(biāo)準(zhǔn)過程定義”。
2) GP3.1.2 ——裁剪標(biāo)準(zhǔn)過程。 裁剪標(biāo)準(zhǔn)過程族以建立1個滿足專門用途特定需要的定義過程。
2.4.3 公共特征3.2— 執(zhí)行已定義過程
該公共特征注重于充分定義過程的可重復(fù)執(zhí)行。提出了已定義過程的使用,針對有缺陷的過程結(jié)果的核查過程執(zhí)行及其結(jié)果數(shù)據(jù)的使用。
該公共特征包括如下通用實(shí)施:
1) GP3.2.1 ——使用充分定義的過程。在過程域的實(shí)施中使用充分定義的過程。一個充分定義的過程應(yīng)包含文檔化的、一致的和完整的政策、標(biāo)準(zhǔn)、輸入、進(jìn)入條件、活動、程序、特定角色、測量、確認(rèn)、模板、輸出及退出條件。
2) GP3.2.2 ——執(zhí)行缺陷復(fù)查。對過程域的適當(dāng)工作產(chǎn)品進(jìn)行缺陷復(fù)查。
3) GP3.2.3 ——使用充分定義的數(shù)據(jù)。: 通過使用執(zhí)行已定義過程的數(shù)據(jù),來管理此過程, 在2級開始收集的測量數(shù)據(jù),在這層得到更積極的應(yīng)用并且為下級別的定量管理奠定了基礎(chǔ)。
2.4.4 公共特征3.3—協(xié)調(diào)實(shí)施
此公共特征側(cè)重于項(xiàng)目活動的協(xié)調(diào)。許多重大活動都是由項(xiàng)目中的不同工作組和代表項(xiàng)目的甲方共同完成的。缺乏協(xié)調(diào)將會導(dǎo)致工期延誤和不可比的結(jié)果。因此應(yīng)確定組內(nèi)、組間、組外活動的協(xié)調(diào)機(jī)制。這些通用實(shí)施是獲得定量控制過程能力的必要基礎(chǔ)。
此公共特征包含以下通用實(shí)施:
1) GP3.3.1 ——執(zhí)行組內(nèi)協(xié)調(diào)。協(xié)調(diào)項(xiàng)目組內(nèi)的溝通,保證了關(guān)于技術(shù)問題的決定是一致的。
2) GP3.3.2 ——執(zhí)行組間協(xié)調(diào)。
3) GP3.3.3 ——執(zhí)行外部協(xié)調(diào)。
2.5 能力級別4 — 量化控制級
2.5.1 量化控制級綜述
這個級別收集、分析執(zhí)行的詳細(xì)測量。這將獲得對過程能力和改進(jìn)能力的量化理解以預(yù)測執(zhí)行情況。這個級別執(zhí)行的管理是客觀的,工作產(chǎn)品的質(zhì)量是量化的。此級別與充分定義級的主要區(qū)別在于定義的過程是定量的理解和控制。
該能力級別包括如下公共特征:
1) 公共特征4.1 —— 建立可測的質(zhì)量目標(biāo);
2) 公共特征4.2 —— 客觀地管理執(zhí)行。
2.5.2 公共特征4.1— 建立可測的質(zhì)量目標(biāo)
該公共特征的通用實(shí)施側(cè)重于為項(xiàng)目過程的工作產(chǎn)品建立可測量目標(biāo)。因此這個公共特征提出了質(zhì)量目標(biāo)的建立,這些通用實(shí)施為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。
該公共特征包括如下通用實(shí)施:
1) GP4.1.1 —— 建立質(zhì)量目標(biāo)。為標(biāo)準(zhǔn)過程族的工作產(chǎn)品建立可測量的質(zhì)量目標(biāo),與服務(wù)需求方的特定要求和優(yōu)先級或項(xiàng)目策略的要求緊密聯(lián)系。測量的意義是對所使用過程得到充分理解,這樣便能夠設(shè)置并使用工作產(chǎn)品測量中間目標(biāo)。
2.5.3 公共特征4.2— 客觀地管理執(zhí)行
該公共特征的通用實(shí)施側(cè)重于確定過程能力的量化測量并使用量化測量來管理這個過程,該公共特征提出量化地確定過程能力和以量化測量作為修正行動的基礎(chǔ)。
該公共特征包括如下通用實(shí)施:
1) GP4.2.1 —— 確定過程能力。 量化地確定已定義過程的過程能力。
2) GP4.2.2 ——使用過程能力。當(dāng)過程未按定義過程能力執(zhí)行時,適當(dāng)?shù)夭扇⌒拚袆印?/p>
2.6 能力級別5 — 持續(xù)改進(jìn)級
2.6.1 持續(xù)改進(jìn)級綜述
在這個級別上,基于項(xiàng)目的商務(wù)目標(biāo)并針對過程的有效性和執(zhí)行效率建立量化執(zhí)行目標(biāo)。通過執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來保證對這些目標(biāo)進(jìn)行持續(xù)過程改進(jìn)。這級別與定量控制級的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對這些過程變化效果的量化理解,進(jìn)行連續(xù)調(diào)整和改進(jìn)。
該能力級別包括如下公共特征:
1) 公共特征5.1 ——改進(jìn)組織能力;
2) 公共特征5.2 ——改進(jìn)過程有效性。
2.6.2 公共特征5.1— 改進(jìn)組織能力
該公共特征的通用實(shí)施注重于在標(biāo)準(zhǔn)過程的使用進(jìn)行比較和在這些不同使用之間進(jìn)行比較。當(dāng)這些過程被使用時,尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會,分析產(chǎn)生的缺陷以標(biāo)識對標(biāo)準(zhǔn)過程的其它可能改進(jìn)。因此,這個公共特征對過程的有效性建立了目標(biāo)、標(biāo)識對標(biāo)準(zhǔn)過程的改進(jìn)以及分析對標(biāo)準(zhǔn)過程的可能變更。
該公共特征包括如下通用實(shí)施:
1) GP5.1.1 ——建立過程有效性目標(biāo)。 為改進(jìn)過程有效性,根據(jù)組織的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。
2) GP5.1.2 ——持續(xù)改進(jìn)標(biāo)準(zhǔn)過程。 通過改變標(biāo)準(zhǔn)過程族連續(xù)地改進(jìn)過程,從而提高過程有效性。
2.6.3 公共特征5.2— 改進(jìn)過程有效性
該公共特征的通用實(shí)施注重于制定連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。因此這個公共特征提出消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。
該公共特征包括如下通用實(shí)施:
1) GP5.2.1——執(zhí)行因果分析。 執(zhí)行缺陷的因果分析。
2) GP5.2.2 ——消除缺陷原因。有選擇的消除已定義過程中缺陷產(chǎn)生的。;
3) GP5.2.3—— 持續(xù)改進(jìn)已定義過程。通過改變已定義過程來連續(xù)地改進(jìn)過程實(shí)施,以提高其。有效性。
3、總結(jié)
目前,我國各行業(yè)、地區(qū)在依據(jù)國家法律、法規(guī)、標(biāo)準(zhǔn)等要求,結(jié)合行業(yè)和地區(qū)特點(diǎn)分析建立各行業(yè)、地區(qū)的行業(yè)與地區(qū)風(fēng)險評估標(biāo)準(zhǔn),開展風(fēng)險評估工作。但是各行業(yè)、地區(qū)在開展信息安全風(fēng)險評估工作的同時,因?yàn)樾袠I(yè)發(fā)展的不同步、地區(qū)經(jīng)濟(jì)發(fā)展的不平衡,信息安全風(fēng)險評估服務(wù)的水平參差不齊。無統(tǒng)一的對風(fēng)險評估服務(wù)水平進(jìn)行評價的可參考的依據(jù),本文意在提出一個對風(fēng)險評估服務(wù)能力水平進(jìn)行評價的參考方法。
來源:《信息安全研究》
北京市公安局海淀分局備案號:11010802023656號