当前位置:主页>科 研>学术交流>

系统安全工程方法研究(11)

设计是为了满足安全工程组织广泛的需求。划分安全工程过程区的方法有许多种。典型的做法之一就是将实际的安全工程服务模型化,即原型法,以此创建与安全工程服务相一致的过程区。其他的方法可以是识别概念域,它们将识别的这些域形成相应的基本安全工程构件模块。SSE-CMM当前的过程区集合是这些执行目标竞争比较的折中。
    每一个过程区包括一组表示组织成功执行过程区的目标。每一个过程区也包括一组集成的基本实施(BP,Base Practice)。基本实施定义了获得过程区目标的必要步骤。
    一个过程区:
    ·汇集一个域中的相关活动,以便于使用。
    ·就是有关有价值的安全工程服务。
    ·可在整个组织生命期中应用。
    ·能在多个组织和多个产品范围内实现。
    ·能作为一个独立过程进行改进。
    ·能够由类似过程兴趣组进行改进。
    ·包括所有需要满足过程区目标的BP。
    由于一些本质相同的活动有不同的名字,因此识别安全工程的BP变得很复杂。一些识别BP的活动是在生命期后期进行的,在不同抽象层次或由不同角色的个人来执行。SSE-CMM忽略这些差别,而只是识别基本的、好的安全工程所需的实施集。
    因此,如果一个组织仅仅在设计阶段或在单一抽象层上工作,则不“执行”BP。
    基本实施的特性包括:
    ·应用于整个企业生命期。
    ·和其他BP互相不覆盖。
    ·代表安全业界“最好的实施”。
    ·不是简单地反映当前技术。
    ·可在业务环境下以多种方法使用。
    ·不制定特定的方法或工具。
    由基本实施组成的11个安全工程过程区列举如下。下面所列过程区是按字母顺序排列的,但在实际工程活动组织中并不一定也不必要按照此顺序进行生命期或区域排列。
    PA01——实施安全控制。
    PA02——评估影响。
    PA03——评估安全风险。

(责任编辑:adminadmin2008)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

容器是如何让“一切都是代码”成为现实的

容器是如何让“一切都是代码”成为现实的

现代应用的发展在很大程度上要归功于DevOps运动的蓬勃兴起以及该运动所产生的各种自动...[详细]

如何快速掌握一门新技术/语言/框架

如何快速掌握一门新技术/语言/框架

IT行业中的企业特点是都属于知识密集型企业。这种企业的核心竞争力与员工的知识和技能...[详细]

建高效数据中心有径可循

建高效数据中心有径可循

能耗问题一直是各大数据中心的心头之痛。有数据表明,2015年我国数据中心能耗预计将高...[详细]

2015黑帽大会:网络灾难后 重建IT安全

2015黑帽大会:网络灾难后 重建IT安全

在遭遇网络灾难后重建IT安全似乎是不可能完成的任务,但根据安全专家Christina Kubeck...[详细]

面对DNS劫持 企业移动应用该如何防护?

面对DNS劫持 企业移动应用该如何防护?

DNS(Domain Name System)劫持又称域名劫持,是指对正常的域名解析请求加以拦截,转而...[详细]

返回首页 返回顶部