今日頭條
官方微信
官方抖音
資訊頻道摘要:信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)是我國(guó)信息安全保障工作的重要環(huán)節(jié)之一,信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)手段一直為行業(yè)內(nèi)所推崇。目前,因多方面因素影響,信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力的水平在地區(qū)、行業(yè)間等呈現(xiàn)參差不齊的現(xiàn)象。結(jié)合SSE-CMM理論及信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的最優(yōu)實(shí)踐,提出風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型概念,即RAS-CMM。RAS-CMM圍繞資源配置、技術(shù)過(guò)程、項(xiàng)目管理等能力因素對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)能力等級(jí)提出理論評(píng)價(jià)框架。
信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障工作的基礎(chǔ)和重要環(huán)節(jié),我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作得到國(guó)家一系列政策的支持。《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)(中辦發(fā)[2003]27號(hào))》,《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)(國(guó)信辦[2006]5號(hào))》,《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知(發(fā)改高技)[2008]2071號(hào)》等這些政策都明確提出信息安全風(fēng)險(xiǎn)評(píng)估的必要性,及對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的重視。
同時(shí),我國(guó)在標(biāo)準(zhǔn)化方面也做了大量工作。2007年6月14日,我國(guó)正式發(fā)布了國(guó)家標(biāo)準(zhǔn)GB/T20984─2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,標(biāo)志著我國(guó)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作有了正式的參考標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法,以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式,適用于規(guī)范組織開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。后續(xù)的發(fā)布的還有GB/Z24364─2009《信息安全風(fēng)險(xiǎn)管理指南》, GB/T31509─2015《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》等標(biāo)準(zhǔn)。
新時(shí)期,國(guó)家對(duì)于風(fēng)險(xiǎn)評(píng)估工作空前重視。習(xí)主席在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話上指出“維護(hù)網(wǎng)絡(luò)安全,首先要知道風(fēng)險(xiǎn)在哪里,是什么樣的風(fēng)險(xiǎn),什么時(shí)候發(fā)生風(fēng)險(xiǎn)”,“準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)”。足見(jiàn)國(guó)家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重視,開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的重要性。特別是,2016年11月7日發(fā)布,2017年6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確將信息安全安全風(fēng)險(xiǎn)評(píng)估服務(wù)工作上升為國(guó)家法律層面,為信息安全風(fēng)險(xiǎn)評(píng)估工作的推動(dòng)發(fā)揮巨大作用。
本文結(jié)合一線風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)經(jīng)驗(yàn)與國(guó)際通用的能力成熟度的理論,提出了風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型的概念。本文意在闡述信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型的框架研究,為風(fēng)險(xiǎn)評(píng)估服務(wù)能力水平的評(píng)價(jià)提供參考依據(jù)。
1、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型概述
1.1 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程描述
信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型是依據(jù)風(fēng)險(xiǎn)評(píng)估服務(wù)生命過(guò)程, 風(fēng)險(xiǎn)評(píng)估服務(wù)提供方向風(fēng)險(xiǎn)評(píng)估服務(wù)需求方提供包括業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、現(xiàn)有安全措施有效性分析和風(fēng)險(xiǎn)分析等為主線,對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程及過(guò)程中的多個(gè)過(guò)程域的服務(wù)能力等級(jí)進(jìn)行測(cè)評(píng)的評(píng)估模型。信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)生命周期框架流程圖如圖1所示:
圖1 風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖
目前風(fēng)險(xiǎn)評(píng)估服務(wù)的形式因行業(yè)和地區(qū)的不同呈現(xiàn)多樣化,本文意在闡述基于GB/T20984的完整風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程為主線,對(duì)能提供單個(gè)、多個(gè)過(guò)程域及整個(gè)風(fēng)險(xiǎn)評(píng)估服務(wù)的提供方從其服務(wù)過(guò)程中的資源配置、技術(shù)服務(wù)過(guò)程和項(xiàng)目管理過(guò)程等服務(wù)能力要素對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力成熟度進(jìn)行等級(jí)評(píng)估。對(duì)于在具體風(fēng)險(xiǎn)評(píng)估服務(wù)的過(guò)程中不是針對(duì)整個(gè)生命周期進(jìn)行服務(wù)的情況,可以對(duì)具體的服務(wù)過(guò)程域進(jìn)行風(fēng)險(xiǎn)評(píng)估服務(wù)的能力等級(jí)進(jìn)行評(píng)估。
1.2 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力要素
信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力包括風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過(guò)程能力,信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的項(xiàng)目管理過(guò)程能力及風(fēng)險(xiǎn)評(píng)估服務(wù)資源配置能力等方面。這些服務(wù)能力也是信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的基本活動(dòng),這些活動(dòng)能力的評(píng)估需信息系統(tǒng)服務(wù)的需求方、提供方和評(píng)估方配置相應(yīng)的人力、設(shè)備、環(huán)境等資源和服務(wù)過(guò)程的管理才能構(gòu)成完整的風(fēng)險(xiǎn)評(píng)估服務(wù)能力。
因此,信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力應(yīng)由以下要素構(gòu)成,如圖2所示:
圖2 風(fēng)險(xiǎn)評(píng)估服務(wù)能力構(gòu)成要素
1)風(fēng)險(xiǎn)評(píng)估服務(wù)資源配置
在資源配置方面包括風(fēng)險(xiǎn)評(píng)估服務(wù)人員的專業(yè)技術(shù)能力和知識(shí)面、實(shí)施風(fēng)險(xiǎn)評(píng)估服務(wù)所需的工具設(shè)備、設(shè)施和環(huán)境。
2)風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過(guò)程
根據(jù)風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過(guò)程的各個(gè)過(guò)程域,包括業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、現(xiàn)有安全措施有效性分析和風(fēng)險(xiǎn)分析等。
3)風(fēng)險(xiǎn)評(píng)估服務(wù)項(xiàng)目管理過(guò)程
實(shí)施風(fēng)險(xiǎn)評(píng)估服務(wù)需要進(jìn)行項(xiàng)目管理過(guò)程。項(xiàng)目管理過(guò)程應(yīng)覆蓋到風(fēng)險(xiǎn)評(píng)估服務(wù)的服務(wù)過(guò)程活動(dòng)中。
1.3 風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型
信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型(RAS-CMM)是在系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的基礎(chǔ)上,結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的最佳實(shí)踐,所形成的對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度進(jìn)行度量的模型。
信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度由能力維和域維構(gòu)成(如圖3所示)。
風(fēng)險(xiǎn)評(píng)估服務(wù)能力級(jí)別分為5級(jí):1級(jí)是基本執(zhí)行級(jí);,2級(jí)是計(jì)劃跟蹤級(jí);3級(jí)是充分定義級(jí);4級(jí)是量化控制級(jí);5級(jí)是持續(xù)改進(jìn)級(jí)。風(fēng)險(xiǎn)評(píng)估服務(wù)能力級(jí)別示意圖(如圖4所示)。
能力級(jí)別從1~5級(jí)逐級(jí)提高,標(biāo)志著風(fēng)險(xiǎn)評(píng)估恢復(fù)服務(wù)能力成熟度的不斷提升。每個(gè)級(jí)別規(guī)定了對(duì)應(yīng)的公共特征和通用實(shí)施。在本文中,高級(jí)別需要涵蓋低級(jí)別成熟度要求的所有內(nèi)容。但該級(jí)別只是規(guī)定了增加的內(nèi)容。
能力維由公共特征構(gòu)成,公共特征由通用實(shí)施(GP)構(gòu)成。對(duì)于某級(jí)別的所有通用實(shí)施滿足了該級(jí)別的公共特征,從而形成了此級(jí)別的能力。
圖3 風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型
域維由過(guò)程域(PA)和資源配置組成。風(fēng)險(xiǎn)評(píng)估服務(wù)的過(guò)程域(PA)包括風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過(guò)程域、項(xiàng)目管理過(guò)程域。過(guò)程域由基本實(shí)施(BP)構(gòu)成,每個(gè)過(guò)程域的基本實(shí)施(BP)是構(gòu)成該過(guò)程域的基本要素,是該完成該過(guò)程活動(dòng)的基本單元。對(duì)于不同級(jí)別的能力維,風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程域的各個(gè)基本實(shí)施(BP)都是必須的。資源配置是完成風(fēng)險(xiǎn)評(píng)估服務(wù)活動(dòng)的基本條件,針對(duì)不同能力級(jí)別,可能需要特定的資源配置條件。風(fēng)險(xiǎn)評(píng)估服務(wù)能力等級(jí)示意圖如圖4所示:
圖4 風(fēng)險(xiǎn)評(píng)估服務(wù)能力等級(jí)示意圖
1.4 風(fēng)險(xiǎn)評(píng)估服務(wù)能力要素
1.4.1 風(fēng)險(xiǎn)評(píng)估服務(wù)資源配置能力
風(fēng)險(xiǎn)評(píng)估服務(wù)的開(kāi)展要具備資源配置能力,風(fēng)險(xiǎn)評(píng)估項(xiàng)目組要具備足夠支撐風(fēng)險(xiǎn)評(píng)估服務(wù)的基本資源,例如各類檢查表格、報(bào)告模板、漏掃工具、滲透工具、資產(chǎn)識(shí)別工具、威脅識(shí)別工具、合格的風(fēng)險(xiǎn)評(píng)估技術(shù)人才等。
1.4.2 風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過(guò)程能力
1.4.2.1 PA01-業(yè)務(wù)識(shí)別與分析
在識(shí)別組織的業(yè)務(wù)之前要掌握組織的發(fā)展戰(zhàn)略,由戰(zhàn)略推導(dǎo)出各業(yè)務(wù)發(fā)展情況,識(shí)別業(yè)務(wù)內(nèi)容,可通過(guò)訪談、文檔查閱、資料查閱等方式,針對(duì)業(yè)務(wù)屬性進(jìn)行賦值分析,找到關(guān)鍵業(yè)務(wù)。業(yè)務(wù)是組織發(fā)展的核心,業(yè)務(wù)具有價(jià)值屬性、多樣性、復(fù)雜性等特點(diǎn)。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.02.01——關(guān)鍵資產(chǎn)識(shí)別;
2) BP.02.02——資產(chǎn)影響分析;
3) BP.02.03——監(jiān)視資產(chǎn)影響變化。
1.4.2.2 PA02-資產(chǎn)識(shí)別與分析
根據(jù)資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)性或相關(guān)性進(jìn)行資產(chǎn)識(shí)別,并根據(jù)資產(chǎn)的業(yè)務(wù)相關(guān)性、保密性、完整性和可用性等屬性對(duì)資產(chǎn)的影響進(jìn)行優(yōu)先級(jí)排列。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度以及其上承載的業(yè)務(wù)安全程度產(chǎn)生影響。當(dāng)承載的業(yè)務(wù)屬性發(fā)生變化時(shí),資產(chǎn)的影響優(yōu)先級(jí)將發(fā)生變化。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.02.01——關(guān)鍵資產(chǎn)識(shí)別;
2) BP.02.02——資產(chǎn)影響分析;
3) BP.02.03——監(jiān)視資產(chǎn)影響變化。
1.4.2.3 PA03-威脅識(shí)別與分析
業(yè)務(wù)及資產(chǎn)面臨的威脅是風(fēng)險(xiǎn)的發(fā)起者,如果不存在威脅,風(fēng)險(xiǎn)也就隨之不存在了,威脅構(gòu)成了風(fēng)險(xiǎn)發(fā)生的必要條件。威脅來(lái)源、動(dòng)機(jī)、能力和頻率是威脅的屬性,威脅的屬性既是對(duì)威脅的描述,也構(gòu)成了評(píng)價(jià)威脅影響優(yōu)先級(jí)的必然因素。當(dāng)環(huán)境等因素發(fā)生變化時(shí),威脅的影響也會(huì)隨之發(fā)生變化。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.03.01——威脅識(shí)別;
2) BP.03.02——威脅影響分析;
3) BP.03.03——監(jiān)視威脅變化。
1.4.2.4 PA04-脆弱性識(shí)別與分析
脆弱性是風(fēng)險(xiǎn)評(píng)估服務(wù)的重要環(huán)節(jié),可從技術(shù)和管理兩個(gè)方面進(jìn)行審視。脆弱性識(shí)別依據(jù)相關(guān)國(guó)際或國(guó)家安全標(biāo)準(zhǔn)、行業(yè)規(guī)范等,對(duì)應(yīng)用在不同環(huán)境中的相同脆弱性,其嚴(yán)重程度是不同的。根據(jù)脆弱性對(duì)業(yè)務(wù)和資產(chǎn)的暴露程度,已有安全措施和脆弱性關(guān)聯(lián)識(shí)別分析結(jié)果等,采用優(yōu)先級(jí)排列的方式對(duì)已識(shí)別的脆弱性進(jìn)行賦值。資產(chǎn)所處環(huán)境等因素變化,脆弱性的等級(jí)也隨之發(fā)生變化。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.04.01——脆弱性識(shí)別;
2) BP.04.02——脆弱性等級(jí)分析;
3) BP.04.03——監(jiān)視脆弱性影響變化分析。
1.4.2.5 PA05-現(xiàn)有安全措施有效性識(shí)別與分析
對(duì)現(xiàn)有安全措施進(jìn)行識(shí)別并評(píng)估其有效性,即是否真正地抵御了威脅,降低了脆弱性。對(duì)有效抵御威脅的安全措施繼續(xù)保持,對(duì)確認(rèn)為不適當(dāng)?shù)幕驘o(wú)法有效抵御威脅的安全措施應(yīng)被取消或?qū)ζ溥M(jìn)行修正。
本過(guò)程域包括以下2個(gè)基本實(shí)施:
1) BP.05.01——現(xiàn)有安全措施識(shí)別;
2) BP.05.02——現(xiàn)有安全措施有效性分析。
1.4.2.6 PA06-風(fēng)險(xiǎn)分析
在完成了業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別,以及對(duì)已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定風(fēng)險(xiǎn)等級(jí)。
本過(guò)程域包括以下4個(gè)基本實(shí)施:
1) BP.04.01——選擇風(fēng)險(xiǎn)分析方法;
2) BP.04.02——對(duì)暴露(指威脅、脆弱性和影響的組合)的標(biāo)識(shí)與分析;
3) BP.04.03——排列風(fēng)險(xiǎn)優(yōu)先級(jí);
4) BP.04.04——監(jiān)視風(fēng)險(xiǎn)變化。
1.4.2.7 PA07-質(zhì)量保證
這個(gè)過(guò)程域的潛在目的是:只有整個(gè)服務(wù)過(guò)程都在持續(xù)測(cè)量和改進(jìn)質(zhì)量的情況下才能產(chǎn)生高質(zhì)量的風(fēng)險(xiǎn)評(píng)估服務(wù)。在整個(gè)風(fēng)險(xiǎn)評(píng)估服務(wù)的過(guò)程中,為保證高質(zhì)量的服務(wù),關(guān)鍵內(nèi)容就是測(cè)量、分析和修正措施,保證相關(guān)內(nèi)容的保密性等。該過(guò)程域的目標(biāo)就是,實(shí)現(xiàn)預(yù)期的服務(wù)質(zhì)量。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.09.01——測(cè)量產(chǎn)品質(zhì)量;
2) BP.09.02——測(cè)量過(guò)程質(zhì)量;
3) BP.09.03——質(zhì)量分析與修正。
1.4.2.8 PA08-配置管理
“管理配置”的目的是維持已標(biāo)識(shí)的配置單元的數(shù)據(jù)和狀況,并對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)及其配置單元的變化進(jìn)行分析和控制。
本過(guò)程域包括以下2個(gè)基本實(shí)施:
BP.10.01——建立配置單元;
2) BP.10.02——維護(hù)工作產(chǎn)品基線。
1.4.2.9 PA09-項(xiàng)目風(fēng)險(xiǎn)管理
“管理風(fēng)險(xiǎn)”的目的是標(biāo)識(shí)、評(píng)估、監(jiān)視和降低風(fēng)險(xiǎn)評(píng)估服務(wù)項(xiàng)目風(fēng)險(xiǎn)以便于風(fēng)險(xiǎn)評(píng)估服務(wù)項(xiàng)目取得成功。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.11.01——項(xiàng)目風(fēng)險(xiǎn)的識(shí)別和評(píng)估;
2) BP.11.02——項(xiàng)目風(fēng)險(xiǎn)的控制;
3) BP.11.03——跟蹤風(fēng)險(xiǎn)降低效果。
1.4.2.10 PA10-項(xiàng)目規(guī)劃
“項(xiàng)目規(guī)劃”的目的是建立項(xiàng)目計(jì)劃和規(guī)劃項(xiàng)目的技術(shù)過(guò)程,為在風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程中涉及到的技術(shù)性工作的進(jìn)度、費(fèi)用、控制、跟蹤和商議性質(zhì)和范圍提供基礎(chǔ)。
本過(guò)程域包括以下2個(gè)基本實(shí)施:
1) BP.12.01——項(xiàng)目計(jì)劃;
2) BP.12.02——項(xiàng)目技術(shù)規(guī)劃。
1.4.2.11 PA11-項(xiàng)目監(jiān)控
“項(xiàng)目監(jiān)控”的目的是為項(xiàng)目計(jì)劃和技術(shù)過(guò)程得到有效執(zhí)行,并通過(guò)監(jiān)督和指導(dǎo)行為使得項(xiàng)目執(zhí)行過(guò)程滿足項(xiàng)目規(guī)劃的效果,對(duì)執(zhí)行計(jì)劃發(fā)生嚴(yán)重偏差時(shí)可及時(shí)進(jìn)行修正。
本過(guò)程域包括以下2個(gè)基本實(shí)施:
1) BP.13.01——項(xiàng)目監(jiān)督和指導(dǎo);
2) BP.13.02——問(wèn)題分析與修正。
1.4.2.12 提供不斷發(fā)展的技能
“技能和知識(shí)提升”的目的在于確保項(xiàng)目組成員擁有必要的技能來(lái)達(dá)到項(xiàng)目的目標(biāo)。所需的技能可以通過(guò)內(nèi)部培訓(xùn)和外部來(lái)源中獲得。
本過(guò)程域包括以下3個(gè)基本實(shí)施:
1) BP.15.01——識(shí)別技能和知識(shí)需求;
2) BP.15.02——實(shí)施培訓(xùn);
BP.15.03——技能和培訓(xùn)評(píng)估。
2. 風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程能力級(jí)別定義
2.1 風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程能力概述
風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程能力等級(jí)分為5級(jí),由1級(jí)到5級(jí)遞增。每個(gè)級(jí)別包含了幾個(gè)公共特征,每個(gè)公共特征又包含若干個(gè)通用實(shí)施。通用實(shí)施是適用于所有過(guò)程的活動(dòng),是過(guò)程方面的管理,度量和制度化方面陳述。這些通用實(shí)施可在過(guò)程能力的評(píng)定中用于確定任何過(guò)程的能力。
能力級(jí)別具體定義如下所示:
1) 能力級(jí)別1——基本執(zhí)行;
2) 能力級(jí)別2——計(jì)劃跟蹤;
3) 能力級(jí)別3——充分定義;
4) 能力級(jí)別4——量化控制;
5) 能力級(jí)別5——持續(xù)改進(jìn)。
2.2 能力級(jí)別1 — 基本執(zhí)行級(jí)
2.2.1 基本執(zhí)行級(jí)綜述
在此級(jí)別,過(guò)程域的基本實(shí)施通常被執(zhí)行。但基本實(shí)施的執(zhí)行可能未經(jīng)嚴(yán)格的計(jì)劃和跟蹤,而是基于個(gè)人的知識(shí)和努力。
該能力級(jí)別包含如下公共特征:
1) 公共特征1.1——執(zhí)行基本實(shí)施。此公共特征的通用實(shí)施只是保證過(guò)程域的基本實(shí)施以某種方式執(zhí)行,工作產(chǎn)品的一致性、性能和質(zhì)量會(huì)因缺乏適當(dāng)控制而存在極大的差異。
該公共特征包含如下通用實(shí)施:
1) GP1.1.1——執(zhí)行過(guò)程。執(zhí)行一個(gè)實(shí)現(xiàn)過(guò)程域的基本實(shí)施的過(guò)程,為服務(wù)需求方提供服務(wù)。
2.3 能力級(jí)別2 — 計(jì)劃與跟蹤級(jí)
2.3.1 計(jì)劃與跟蹤級(jí)綜述
此級(jí)別,過(guò)程域基本實(shí)施的執(zhí)行是經(jīng)計(jì)劃并被跟蹤的,并對(duì)實(shí)施情況進(jìn)行驗(yàn)證。工作產(chǎn)品符合指定的標(biāo)準(zhǔn)。通過(guò)測(cè)量來(lái)跟蹤過(guò)程域的執(zhí)行情況,能夠基于實(shí)際實(shí)施活動(dòng)進(jìn)行管理。與基本執(zhí)行級(jí)別間的主要區(qū)別是過(guò)程實(shí)施被計(jì)劃和管理。
該能力級(jí)別包含如下公共特征:
1) 公共特征2.1 ——規(guī)劃執(zhí)行;
2) 公共特征2.2 ——規(guī)范化執(zhí)行;
3) 公共特征2.3 ——驗(yàn)證執(zhí)行;
4) 公共特征2.4 ——跟蹤執(zhí)行。
2.3.2 公共特征2.1— 規(guī)劃執(zhí)行
該公共特征的基本實(shí)施集中在過(guò)程域及相關(guān)的基本實(shí)施執(zhí)行的規(guī)劃方面。涉及到過(guò)程文檔的編制,適當(dāng)執(zhí)行過(guò)程工具的提供,過(guò)程實(shí)施的計(jì)劃,過(guò)程執(zhí)行中的培訓(xùn),過(guò)程資源的分配以及過(guò)程執(zhí)行的責(zé)任分配。這些通用實(shí)施為規(guī)范化的過(guò)程執(zhí)行提供了最根本的基礎(chǔ)。
該公共特征包含如下通用實(shí)施:
1) GP2.1.1 ——分配資源。為執(zhí)行過(guò)程域基本實(shí)施提供充份的資源,包括人(特別是關(guān)鍵人員)、技術(shù)、工具、設(shè)備等。
2) GP2.1.2 ——分配責(zé)任。為服務(wù)過(guò)程分配任務(wù)和責(zé)任,包括內(nèi)部、外部和過(guò)程實(shí)施的所有相關(guān)方和個(gè)人。
3) GP2.1.3 —— 文檔化過(guò)程。將過(guò)程域執(zhí)行的方法形成標(biāo)準(zhǔn)化和/或程序化文檔。
4) GP2.1.4——提供工具。為支持過(guò)程域的執(zhí)行提供適當(dāng)?shù)墓ぞ摺?/p>
5) GP2.1.5 ——保證培訓(xùn)。保證過(guò)程域執(zhí)行人員獲得適當(dāng)?shù)倪^(guò)程執(zhí)行方面的培訓(xùn)。
6) GP 2.1.6 ——規(guī)劃過(guò)程。對(duì)過(guò)程域的實(shí)施進(jìn)行規(guī)劃。
2.3.3 公共特征2.2— 規(guī)范化執(zhí)行
該公共特征的通用實(shí)施注重于對(duì)過(guò)程實(shí)施的控制程度。列出了過(guò)程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過(guò)程執(zhí)行、配置管理下依照過(guò)程產(chǎn)生的工作產(chǎn)品。
該公共特征包含如下通用實(shí)施:
1) GP2.2.1 ——使用計(jì)劃、標(biāo)準(zhǔn)和程序。在執(zhí)行過(guò)程域中,使用文檔化的計(jì)劃、標(biāo)準(zhǔn)和/或程序指導(dǎo)實(shí)施。
2) GP2.2.2 —— 進(jìn)行配置管理。 將過(guò)程域的輸出適當(dāng)?shù)闹糜谂渲霉芾硐拢M(jìn)行版本控制和/或變更控制。
2.3.4 公共特征2.3— 驗(yàn)證執(zhí)行
該公共特征的通用實(shí)施注重于確認(rèn)過(guò)程按預(yù)定的方式執(zhí)行。因此這個(gè)通用實(shí)施涉及到驗(yàn)證執(zhí)行過(guò)程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致性的,以及對(duì)工作產(chǎn)品的審計(jì)。
該公共特征包含如下通用實(shí)施:
1) GP2.3.1 ——驗(yàn)證過(guò)程一致性。驗(yàn)證過(guò)程與可用標(biāo)準(zhǔn)和/或程序的一致性。
2) GP2.3.2 ——審計(jì)工作產(chǎn)品。驗(yàn)證工作產(chǎn)品與可用標(biāo)準(zhǔn)和/或程序、需求及測(cè)量目標(biāo)的一致性。
2.3.5 公共特征2.4— 跟蹤執(zhí)行
該公共特征的通用實(shí)施注重于控制項(xiàng)目進(jìn)展的能力。因此,該過(guò)程通過(guò)計(jì)劃跟蹤過(guò)程執(zhí)行,當(dāng)實(shí)施與計(jì)劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng)。這些通用實(shí)施形成了達(dá)到充分定義過(guò)程能力的根本基礎(chǔ)。
該公共特征包含如下通用實(shí)施:
1) GP2.4.1 ——使用測(cè)量跟蹤。 根據(jù)計(jì)劃通過(guò)測(cè)量跟蹤過(guò)程域狀態(tài)。
2) GP 2.4.2 ——采取修正措施。 當(dāng)與計(jì)劃間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?/p>
2.4 能力級(jí)別3 — 充分定義級(jí)
2.4.1 充分定義級(jí)綜述
在此級(jí)別,基本實(shí)施按照充分定義的過(guò)程執(zhí)行。充分定義的過(guò)程是依據(jù)對(duì)文檔化的標(biāo)準(zhǔn)過(guò)程進(jìn)行裁剪并經(jīng)批準(zhǔn)的過(guò)程版本。此過(guò)程與計(jì)劃和跟蹤級(jí)的主要區(qū)別在于利用組織范圍內(nèi)的過(guò)程標(biāo)準(zhǔn)來(lái)管理和規(guī)劃。
該能力級(jí)別包括以下公共特征:
1) 公共特征3.1 ——定義標(biāo)準(zhǔn)過(guò)程;
2) 公共特征3.2 ——執(zhí)行已定義的過(guò)程;
3) 公共特征3.3 ——協(xié)調(diào)安全實(shí)施。
2.4.2 公共特征3.1— 定義標(biāo)準(zhǔn)過(guò)程
該公共特征的通用實(shí)施注重于標(biāo)準(zhǔn)過(guò)程的制度化。1個(gè)標(biāo)準(zhǔn)過(guò)程需要適合特定環(huán)境的使用,所以也應(yīng)考慮到如何進(jìn)行裁剪。定義標(biāo)準(zhǔn)化的過(guò)程文檔,滿足特定用途對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行的裁剪。這些通用過(guò)程形成了執(zhí)行已定義過(guò)程必要的基礎(chǔ)。
該公共特征包括以下通用實(shí)施:
1) GP3.1.1 ——過(guò)程標(biāo)準(zhǔn)化。 為組織定義1個(gè)文檔化的標(biāo)準(zhǔn)過(guò)程或過(guò)程族,描述了如何實(shí)現(xiàn)過(guò)程域的基本實(shí)施,建立通用的政策、標(biāo)準(zhǔn)和程序,這稱之為“標(biāo)準(zhǔn)過(guò)程定義”。
2) GP3.1.2 ——裁剪標(biāo)準(zhǔn)過(guò)程。 裁剪標(biāo)準(zhǔn)過(guò)程族以建立1個(gè)滿足專門(mén)用途特定需要的定義過(guò)程。
2.4.3 公共特征3.2— 執(zhí)行已定義過(guò)程
該公共特征注重于充分定義過(guò)程的可重復(fù)執(zhí)行。提出了已定義過(guò)程的使用,針對(duì)有缺陷的過(guò)程結(jié)果的核查過(guò)程執(zhí)行及其結(jié)果數(shù)據(jù)的使用。
該公共特征包括如下通用實(shí)施:
1) GP3.2.1 ——使用充分定義的過(guò)程。在過(guò)程域的實(shí)施中使用充分定義的過(guò)程。一個(gè)充分定義的過(guò)程應(yīng)包含文檔化的、一致的和完整的政策、標(biāo)準(zhǔn)、輸入、進(jìn)入條件、活動(dòng)、程序、特定角色、測(cè)量、確認(rèn)、模板、輸出及退出條件。
2) GP3.2.2 ——執(zhí)行缺陷復(fù)查。對(duì)過(guò)程域的適當(dāng)工作產(chǎn)品進(jìn)行缺陷復(fù)查。
3) GP3.2.3 ——使用充分定義的數(shù)據(jù)。: 通過(guò)使用執(zhí)行已定義過(guò)程的數(shù)據(jù),來(lái)管理此過(guò)程, 在2級(jí)開(kāi)始收集的測(cè)量數(shù)據(jù),在這層得到更積極的應(yīng)用并且為下級(jí)別的定量管理奠定了基礎(chǔ)。
2.4.4 公共特征3.3—協(xié)調(diào)實(shí)施
此公共特征側(cè)重于項(xiàng)目活動(dòng)的協(xié)調(diào)。許多重大活動(dòng)都是由項(xiàng)目中的不同工作組和代表項(xiàng)目的甲方共同完成的。缺乏協(xié)調(diào)將會(huì)導(dǎo)致工期延誤和不可比的結(jié)果。因此應(yīng)確定組內(nèi)、組間、組外活動(dòng)的協(xié)調(diào)機(jī)制。這些通用實(shí)施是獲得定量控制過(guò)程能力的必要基礎(chǔ)。
此公共特征包含以下通用實(shí)施:
1) GP3.3.1 ——執(zhí)行組內(nèi)協(xié)調(diào)。協(xié)調(diào)項(xiàng)目組內(nèi)的溝通,保證了關(guān)于技術(shù)問(wèn)題的決定是一致的。
2) GP3.3.2 ——執(zhí)行組間協(xié)調(diào)。
3) GP3.3.3 ——執(zhí)行外部協(xié)調(diào)。
2.5 能力級(jí)別4 — 量化控制級(jí)
2.5.1 量化控制級(jí)綜述
這個(gè)級(jí)別收集、分析執(zhí)行的詳細(xì)測(cè)量。這將獲得對(duì)過(guò)程能力和改進(jìn)能力的量化理解以預(yù)測(cè)執(zhí)行情況。這個(gè)級(jí)別執(zhí)行的管理是客觀的,工作產(chǎn)品的質(zhì)量是量化的。此級(jí)別與充分定義級(jí)的主要區(qū)別在于定義的過(guò)程是定量的理解和控制。
該能力級(jí)別包括如下公共特征:
1) 公共特征4.1 —— 建立可測(cè)的質(zhì)量目標(biāo);
2) 公共特征4.2 —— 客觀地管理執(zhí)行。
2.5.2 公共特征4.1— 建立可測(cè)的質(zhì)量目標(biāo)
該公共特征的通用實(shí)施側(cè)重于為項(xiàng)目過(guò)程的工作產(chǎn)品建立可測(cè)量目標(biāo)。因此這個(gè)公共特征提出了質(zhì)量目標(biāo)的建立,這些通用實(shí)施為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。
該公共特征包括如下通用實(shí)施:
1) GP4.1.1 —— 建立質(zhì)量目標(biāo)。為標(biāo)準(zhǔn)過(guò)程族的工作產(chǎn)品建立可測(cè)量的質(zhì)量目標(biāo),與服務(wù)需求方的特定要求和優(yōu)先級(jí)或項(xiàng)目策略的要求緊密聯(lián)系。測(cè)量的意義是對(duì)所使用過(guò)程得到充分理解,這樣便能夠設(shè)置并使用工作產(chǎn)品測(cè)量中間目標(biāo)。
2.5.3 公共特征4.2— 客觀地管理執(zhí)行
該公共特征的通用實(shí)施側(cè)重于確定過(guò)程能力的量化測(cè)量并使用量化測(cè)量來(lái)管理這個(gè)過(guò)程,該公共特征提出量化地確定過(guò)程能力和以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)。
該公共特征包括如下通用實(shí)施:
1) GP4.2.1 —— 確定過(guò)程能力。 量化地確定已定義過(guò)程的過(guò)程能力。
2) GP4.2.2 ——使用過(guò)程能力。當(dāng)過(guò)程未按定義過(guò)程能力執(zhí)行時(shí),適當(dāng)?shù)夭扇⌒拚袆?dòng)。
2.6 能力級(jí)別5 — 持續(xù)改進(jìn)級(jí)
2.6.1 持續(xù)改進(jìn)級(jí)綜述
在這個(gè)級(jí)別上,基于項(xiàng)目的商務(wù)目標(biāo)并針對(duì)過(guò)程的有效性和執(zhí)行效率建立量化執(zhí)行目標(biāo)。通過(guò)執(zhí)行已定義過(guò)程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來(lái)保證對(duì)這些目標(biāo)進(jìn)行持續(xù)過(guò)程改進(jìn)。這級(jí)別與定量控制級(jí)的主要區(qū)別在于已定義的過(guò)程和標(biāo)準(zhǔn)過(guò)程基于對(duì)這些過(guò)程變化效果的量化理解,進(jìn)行連續(xù)調(diào)整和改進(jìn)。
該能力級(jí)別包括如下公共特征:
1) 公共特征5.1 ——改進(jìn)組織能力;
2) 公共特征5.2 ——改進(jìn)過(guò)程有效性。
2.6.2 公共特征5.1— 改進(jìn)組織能力
該公共特征的通用實(shí)施注重于在標(biāo)準(zhǔn)過(guò)程的使用進(jìn)行比較和在這些不同使用之間進(jìn)行比較。當(dāng)這些過(guò)程被使用時(shí),尋找改進(jìn)標(biāo)準(zhǔn)過(guò)程的機(jī)會(huì),分析產(chǎn)生的缺陷以標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過(guò)程的其它可能改進(jìn)。因此,這個(gè)公共特征對(duì)過(guò)程的有效性建立了目標(biāo)、標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過(guò)程的改進(jìn)以及分析對(duì)標(biāo)準(zhǔn)過(guò)程的可能變更。
該公共特征包括如下通用實(shí)施:
1) GP5.1.1 ——建立過(guò)程有效性目標(biāo)。 為改進(jìn)過(guò)程有效性,根據(jù)組織的業(yè)務(wù)目標(biāo)和當(dāng)前過(guò)程能力建立量化目標(biāo)。
2) GP5.1.2 ——持續(xù)改進(jìn)標(biāo)準(zhǔn)過(guò)程。 通過(guò)改變標(biāo)準(zhǔn)過(guò)程族連續(xù)地改進(jìn)過(guò)程,從而提高過(guò)程有效性。
2.6.3 公共特征5.2— 改進(jìn)過(guò)程有效性
該公共特征的通用實(shí)施注重于制定連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過(guò)程。因此這個(gè)公共特征提出消除標(biāo)準(zhǔn)過(guò)程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過(guò)程。
該公共特征包括如下通用實(shí)施:
1) GP5.2.1——執(zhí)行因果分析。 執(zhí)行缺陷的因果分析。
2) GP5.2.2 ——消除缺陷原因。有選擇的消除已定義過(guò)程中缺陷產(chǎn)生的。;
3) GP5.2.3—— 持續(xù)改進(jìn)已定義過(guò)程。通過(guò)改變已定義過(guò)程來(lái)連續(xù)地改進(jìn)過(guò)程實(shí)施,以提高其。有效性。
3、總結(jié)
目前,我國(guó)各行業(yè)、地區(qū)在依據(jù)國(guó)家法律、法規(guī)、標(biāo)準(zhǔn)等要求,結(jié)合行業(yè)和地區(qū)特點(diǎn)分析建立各行業(yè)、地區(qū)的行業(yè)與地區(qū)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。但是各行業(yè)、地區(qū)在開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的同時(shí),因?yàn)樾袠I(yè)發(fā)展的不同步、地區(qū)經(jīng)濟(jì)發(fā)展的不平衡,信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的水平參差不齊。無(wú)統(tǒng)一的對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)水平進(jìn)行評(píng)價(jià)的可參考的依據(jù),本文意在提出一個(gè)對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)能力水平進(jìn)行評(píng)價(jià)的參考方法。
來(lái)源:《信息安全研究》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)