SSE-CMM的体系结构
SSE-CMM方法学以工程域维和能力维来诠释信息安全工程过程。
SSE-CMM模型是两维的
域维
- 域维包含安全工程的基本特征
- 由所有定义安全工程的工程实施活动组成
- 基本实施BP
- 定义了取得过程域目标的必要步骤
- 本质:工程实施活动,工程中的行为活动
- 与GP的区别:BP针对具体安全工作
- 过程域PA
- 一组相关的基本实施
- 当一个过程域中的所有基本实施全部实现,就可满足过程域的要求
- 过程类/过程域组
- 一组过程域的集合
辨析:PA02包含6个BP,现在裁减掉其中2个、实现了4个,则已经满足PA02的要求。 错误。基本实施是不可以裁减的,要满足过程域要求就必须实现其包含的全部BP。
辨析:风险过程域组包含PA04、PA05、PA02、PA03,可以只实现其中的PA04、PA05,而将PA02、PA03裁减掉。 正确。过程域是可以裁减的。
能力维
- 能力维包含管理和制度化特征
- 代表机构对过程的管理和制度化能力
- 通用实施GP
- 针对过程的管理、测量、制度化,是应用于所有PA的活动
- 本质:工程实施活动,工程中的行为活动
- 与BP的区别:GP针对履行BP的安全工作时实施的通用行为
- 公共特征CF
- 通用实施的集合
- 每个CF面向同一类过程的管理和制度化
- 能力级别CL
- 若干个公共特征的组合
辨析:一个非正式执行级的工程机构,通过进化,直接达到了充分定义级。 错误。能力维的进化必须依次达到,从非正式执行级进化到充分定义级,不能跳过计划和跟踪级。
辨析:充分定义级包含公共特征“协调过程”,进化到量化控制级后,不再需要实现“协调过程”。 错误。能力级别的进化表示依次增加的安全工程能力,高能力级别要包含低能力级别的所有公共特征。