0x00 背景?

? ? ?對(duì)于今天高度依賴信息競(jìng)爭(zhēng)力的企業(yè)來(lái)說(shuō)，信息安全的重要性已經(jīng)無(wú)需多言但是，隨著信息安全市場(chǎng)技術(shù)創(chuàng)新的不斷加速，新的威脅、技術(shù)和方法不斷涌現(xiàn)，信息安全人才和專業(yè)服務(wù)相對(duì)匱乏，這些都為企業(yè)的信息安全策略制定帶來(lái)了困惑。

? ? ?信息安全成熟度模型能夠幫助企業(yè)快速找到信息安全短板并制定有針對(duì)性的策略，加速將信息安全融入企業(yè)文化，提升企業(yè)“安全競(jìng)爭(zhēng)力”。

0x01?CMMI V2.0 模型

? ?為了應(yīng)對(duì)不斷變化的全球化商業(yè)格局的挑戰(zhàn)，CMMI?DEV?V2.0將通過(guò)標(biāo)桿對(duì)比幫助企業(yè)建立并提高關(guān)鍵能力以提高企業(yè)績(jī)效。它是一套經(jīng)過(guò)驗(yàn)證的全球最佳實(shí)踐，旨在優(yōu)化不斷變化的全球環(huán)境中的業(yè)務(wù)性能，幫助組織建立解決最常見(jiàn)業(yè)務(wù)挑戰(zhàn)的關(guān)鍵能力并設(shè)定相應(yīng)基準(zhǔn)，包括：設(shè)計(jì)和開(kāi)發(fā)產(chǎn)品

提高性能

交付和管理服務(wù)

維持習(xí)慣性和持久性

管理業(yè)務(wù)彈性

規(guī)劃和管理工作

選擇和管理供應(yīng)商

確保質(zhì)量

管理員工

支持實(shí)施

CMMI V2.0 關(guān)鍵改進(jìn)

1. 改進(jìn)業(yè)務(wù)性能：業(yè)務(wù)目標(biāo)直接與運(yùn)營(yíng)相關(guān)聯(lián)，以便在時(shí)間、質(zhì)量、預(yù)算、客戶滿意度和其他關(guān)鍵驅(qū)動(dòng)因素方面實(shí)現(xiàn)可度量的性能提升。

2. 利用當(dāng)前的最佳實(shí)踐：CMMI V2.0 是經(jīng)驗(yàn)證最佳實(shí)踐的可信來(lái)源，將不斷更新以反映新在線平臺(tái)上不斷變化的業(yè)務(wù)需求。

3. 構(gòu)建敏捷彈性和規(guī)模：直接指導(dǎo)如何增強(qiáng)使用 Scrum 的敏捷項(xiàng)目的過(guò)程，并注重性能。

4. 提高基準(zhǔn)評(píng)估的價(jià)值?新的績(jī)效導(dǎo)向評(píng)估方法提高了基準(zhǔn)評(píng)估的可靠性和一致性，同時(shí)縮短了準(zhǔn)備時(shí)間和生命周期成本。

5. 加速采用? 通過(guò)在線訪問(wèn)和應(yīng)用指南，比以往更加容易獲得 CMMI 的優(yōu)勢(shì)。

相關(guān)文檔：鏈接：https://pan.baidu.com/s/1264cAjIfnYLJzCYtCz-smg?提取碼：mkqf

0x02? 信息安全能力成熟度模型(IS-CMM)的建構(gòu)

? ? 在能力成熟度模型(CMM)的基礎(chǔ)上提出“信息安全能力成熟度模型”(IS－CMM)這一構(gòu)想，并著重探討了IS－CMM各級(jí)中的核心
流程域KPAs的構(gòu)建。IS-CMM ( 將信息安全流程實(shí)施的全部生命周期 不同于信 息安全開(kāi)發(fā)中的生命周期)分為4 個(gè)相對(duì)獨(dú)立的階段：預(yù)防 (Prevention)；監(jiān)測(cè)(Monitoring)；修正(Amendment) ；更新 (Revision) 。一個(gè)或數(shù)個(gè)機(jī)構(gòu)的信息安全流程環(huán)境被定義為總體信息安全流程(TotalInformation Security Processes，簡(jiǎn)稱TISP)，內(nèi)容包括

數(shù)據(jù)流程安全（電子數(shù)據(jù)安全、印刷數(shù)據(jù)安全等）

系統(tǒng)流程安全（項(xiàng)目、工程、流程、硬件，軟件，數(shù)據(jù)等)；

人力流程安全(安全意識(shí)、員工培訓(xùn)等)?

機(jī)構(gòu)流程安全 （管理、機(jī)構(gòu)，文化等）

第一階段為預(yù)防，包括信息安全資產(chǎn)評(píng) 估、安全需求細(xì)分、風(fēng)險(xiǎn)分析、安全計(jì)劃與預(yù)防實(shí)施等。

第二階段為監(jiān)測(cè)，著眼于安全脆弱性、安全災(zāi)難、操作失誤 等的監(jiān)控跟蹤。

第三是修正階段，針對(duì)第二階段發(fā)現(xiàn)的問(wèn) 題進(jìn)行更正，解決錯(cuò)誤。

更新階段，將涉及的部分 或整體安全流程模塊進(jìn)行重新界定，重整和升級(jí)。

在IS-CMM中，機(jī)構(gòu)的信息安全流程成熟度從低到高有 5個(gè)能力等級(jí)：

• 第一級(jí)：無(wú)控制級(jí) ； (Uncontrolled Level)
• 第二級(jí)：控制級(jí) ； (Controlled Level)
• 第三級(jí)：定義級(jí) ； (Defined Level)
• 第四級(jí)：定量級(jí) ； (Quantified Level)
• 第五級(jí)：預(yù)防級(jí) 。

相關(guān)文檔：鏈接：https://pan.baidu.com/s/17paabkT3faI8T34Ut5LQHw?提取碼：sm66

0x03 OWASP SAMM(軟件保證成熟度模型）

? ? ?軟件保證成熟度模型（SAMM） 是一個(gè)開(kāi)放的框架，用以幫助組織制定并實(shí)施針對(duì)組織所面臨來(lái)自軟件安全的特定風(fēng)險(xiǎn)的策略。由SAMM提供的資源可作用于以下方面：
?評(píng)估一個(gè)組織已有的軟件安全實(shí)踐；
?建立一個(gè)迭代的權(quán)衡的軟件安全保證計(jì)劃；
?證明安全保證計(jì)劃帶來(lái)的實(shí)質(zhì)性改善；
?定義并衡量組織中與安全相關(guān)的措施。

? ? ? 在最高等級(jí)上， SAMM設(shè)置了四種關(guān)鍵業(yè)務(wù)功能。 每種業(yè)務(wù)功能（在下文中列出）是一組軟件開(kāi)發(fā)過(guò)程中具體細(xì)節(jié)的相關(guān)措施；換句話說(shuō)，任何涉及了軟件開(kāi)發(fā)的組織，必須在一定程度上實(shí)現(xiàn)每一個(gè)業(yè)務(wù)功能。

? ? 對(duì)于每一個(gè)業(yè)務(wù)功能， SAMM設(shè)置了三個(gè)安全措施。 每個(gè)安全措施（在下頁(yè)中列出）是一個(gè)與安全相關(guān)的措施的領(lǐng)域，以為相關(guān)業(yè)務(wù)功能建立保證。 所以，從總體來(lái)說(shuō)， 這十二個(gè)安全措施都是改進(jìn)軟件開(kāi)發(fā)業(yè)務(wù)功能的獨(dú)立部分。

? ? ?對(duì)于每一個(gè)安全實(shí)踐， SAMM設(shè)置了三個(gè)成熟度等級(jí)作為目標(biāo)。 安全實(shí)踐中的每個(gè)等級(jí)， 通過(guò)設(shè)置特定的活動(dòng)和比先前等級(jí)更加嚴(yán)格的成功指標(biāo)， 設(shè)定了一個(gè)更加復(fù)雜的目標(biāo)。此外，每個(gè)安全實(shí)踐可被獨(dú)立改善， 雖然相關(guān)的措施可導(dǎo)致優(yōu)化。

相關(guān)文檔：鏈接：https://pan.baidu.com/s/1zwZpxT58hhE9lLjhc4RLRw?提取碼：09bg?
?

0X04 微軟SDL （安全開(kāi)發(fā)生命周期）

? ? ? Microsoft SDL在開(kāi)發(fā)過(guò)程的所有階段都引入了安全性和隱私注意事項(xiàng)，從而幫助開(kāi)發(fā)人員構(gòu)建高度安全的軟件，解決安全合規(guī)性要求并降低開(kāi)發(fā)成本。Microsoft SDL中的指南，最佳實(shí)踐，工具和過(guò)程是我們?cè)趦?nèi)部使用以構(gòu)建更安全的產(chǎn)品和服務(wù)的實(shí)踐。自2008年首次共享以來(lái)，在新場(chǎng)景（例如云，物聯(lián)網(wǎng)（IoT）和人工智能（AI））方面的不斷積累的經(jīng)驗(yàn)，我們對(duì)實(shí)踐進(jìn)行了更新。

相關(guān)文檔：鏈接：https://pan.baidu.com/s/1NvbzczMSsEVbEjUooLiCJw?提取碼：zyj5?
?

0x05 數(shù)據(jù)安全能力成熟度模型

? ? ?國(guó)標(biāo)信息安全技術(shù) ?數(shù)據(jù)安全能力成熟度模型 GB_T 37988-2019提出組織數(shù)據(jù)安全能力的成熟度模型架構(gòu),規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級(jí)要求。

? ? ?從數(shù)據(jù)安全過(guò)程的維度，進(jìn)行劃分等級(jí)，主要是5個(gè)等級(jí)：1級(jí)：非正式執(zhí)行；2級(jí)：計(jì)劃跟蹤；3級(jí)：充分定義；4級(jí)：量化控制；5級(jí)：持續(xù)優(yōu)化。

? ? 由于各組織機(jī)構(gòu)在業(yè)務(wù)規(guī)模、業(yè)務(wù)對(duì)數(shù)據(jù)的依賴性以及組織機(jī)構(gòu)對(duì)數(shù)據(jù)安全工作定位等方向的差異,組織機(jī)構(gòu)對(duì)模型的使用應(yīng)“因地制宜”。

? ? ?使用模型時(shí),組織機(jī)構(gòu)應(yīng)首先明確其數(shù)據(jù)安全能力的目標(biāo)成熟度等級(jí)。 根據(jù)對(duì)組織機(jī)構(gòu)整體的數(shù)據(jù)安全能力成熟度等級(jí)的定義,見(jiàn)5.3,組織機(jī)構(gòu)可以選擇適合自己業(yè)務(wù)實(shí)際情況的數(shù)據(jù)安全能力成熟度等級(jí)目標(biāo)。 本標(biāo)準(zhǔn)定義的數(shù)據(jù)安全能力成熟度等級(jí)中,3級(jí)目標(biāo)適用于所有具備數(shù)據(jù)安全保障需求的組織機(jī)構(gòu)作為自己的短期目標(biāo)/長(zhǎng)期目標(biāo),具備了3級(jí)的數(shù)據(jù)安全能力則意味著組織機(jī)構(gòu)能夠針對(duì)數(shù)據(jù)安全的各方面風(fēng)險(xiǎn)進(jìn)行有效的控制。

? ? ?然而,對(duì)于業(yè)務(wù)中尚未大量依賴于大數(shù)據(jù)技術(shù)的組織機(jī)構(gòu)而言,數(shù)據(jù)仍然傾向于在固有的業(yè)務(wù)環(huán)節(jié)中流動(dòng),其數(shù)據(jù)安全保障的需求整體弱于強(qiáng)依賴于大數(shù)據(jù)技術(shù)的組織機(jī)構(gòu),因此其短期目標(biāo)可先定位為2級(jí),待達(dá)到2級(jí)的目標(biāo)之后再進(jìn)一步提升到3級(jí)的能力。

? ? ?在確定目標(biāo)成熟度等級(jí)的前提下,組織機(jī)構(gòu)根據(jù)數(shù)據(jù)生存周期所覆蓋的業(yè)務(wù)場(chǎng)景挑選適用于組織機(jī)構(gòu)的數(shù)據(jù)安全 PA。 例如組織機(jī)構(gòu) A 不存在數(shù)據(jù)交換的情況,因此數(shù)據(jù)交換的 PA 就可以從評(píng)估范圍中剔除掉。

? ? ? ?最后,組織機(jī)構(gòu)基于對(duì)成熟度模型內(nèi)容的理解,識(shí)別數(shù)據(jù)安全能力現(xiàn)狀并分析與目標(biāo)能力等級(jí)之間的差異,在此基礎(chǔ)上進(jìn)行數(shù)據(jù)安全能力的整改提升計(jì)劃。 而伴隨著組織機(jī)構(gòu)業(yè)務(wù)的發(fā)展變化,組織機(jī)構(gòu)也需要定期復(fù)核、明確自己的目標(biāo)成熟度等級(jí),然后開(kāi)始新一輪目標(biāo)達(dá)成的工作。
相關(guān)文檔：鏈接：https://pan.baidu.com/s/1FcJ0bP8e6l4MYJk7gfgCzA?提取碼：lrby?

0x06??構(gòu)建安全成熟度模型 (BSIMM)

?構(gòu)建安全成熟度模型 (BSIMM) 是一種數(shù)據(jù)驅(qū)動(dòng)的模型，采用一套面對(duì)面訪談技術(shù)開(kāi)展 BSIMM 評(píng)估，唯一目標(biāo)就是觀察和報(bào)告。企業(yè)通過(guò)參與 BSIMM 的評(píng)估，不僅可以更加具體的了解自身 SSI 的執(zhí)行情況，還可以從行業(yè)視角明確所處的具體位置。

?????BISMM 模型，是一把衡量企業(yè)在軟件開(kāi)發(fā)階段構(gòu)建軟件安全能力的標(biāo)尺。BSIMM 軟件安全框架（SSF）包含四個(gè)領(lǐng)域 — 治理、 情報(bào)、 SSDL 觸點(diǎn)和部署。反過(guò)來(lái)，這四個(gè)領(lǐng)域又包括 12 個(gè)實(shí)踐模塊，這 12 個(gè)實(shí)踐模塊中又包含 119 項(xiàng) BSIMM 活動(dòng)。

相關(guān)文檔：鏈接：https://pan.baidu.com/s/1u2d5l9Co_8A3Vx875okuAg?提取碼：hfb4

0x07?其他安全模型

著名安全博客KrebsonSecurity推薦了兩個(gè)企業(yè)信息安全成熟度模型并進(jìn)行了點(diǎn)評(píng)如下

1.?Enterprise Strategy Group信息安全成熟度模型

ESG將企業(yè)信息安全成熟度劃分為基礎(chǔ)、進(jìn)階和高級(jí)三大類，同時(shí)為企業(yè)首席信息安全官給出了安全規(guī)劃和策略路徑。值得注意的是，ESG認(rèn)為數(shù)據(jù)泄露等安全事故也有著積極的意義，通常重大數(shù)據(jù)泄露事故會(huì)刺激企業(yè)的信息安全成熟度提升到下一個(gè)階段。

2.?Blue Lava的信息安全成熟度模型

Blue lava將企業(yè)信息安全成熟度劃分為“防御與處理”、“合規(guī)驅(qū)動(dòng)”和“基于風(fēng)險(xiǎn)的安全方法”三大類和五個(gè)階段：

第一階段：信息安全流程缺乏組織，或者非結(jié)構(gòu)化，個(gè)體的成功經(jīng)驗(yàn)無(wú)法復(fù)制和重現(xiàn)，也無(wú)法擴(kuò)展推廣，主要原因是流程缺乏定義和文檔。

第二階段：信息安全進(jìn)入可重現(xiàn)階段，一些基本的項(xiàng)目管理技術(shù)成型并可重用，這基于信息安全流程已經(jīng)定義、建立并文檔化。

第三階段：信息安全工作的重點(diǎn)是文檔化、標(biāo)準(zhǔn)化和維護(hù)運(yùn)營(yíng)支持。

第四階段：企業(yè)通過(guò)數(shù)據(jù)采集和分析來(lái)監(jiān)控和管控自身的信息安全流程。

第五階段：這是一個(gè)迭代階段，企業(yè)通過(guò)對(duì)現(xiàn)有流程和新流程的監(jiān)控和反饋來(lái)持續(xù)改進(jìn)信息安全流程。

Blue Lava信息安全成熟度模型的優(yōu)點(diǎn)是可以為所有的企業(yè)定制使用，企業(yè)可以將每個(gè)業(yè)務(wù)部門建立自己的成熟度積分體系，例如下圖中的SDLC（安全開(kāi)發(fā)生命周期）和PMO（項(xiàng)目管理部），圖中紅色塊是企業(yè)業(yè)務(wù)部門最迫切需要提升的安全短板。

?

歡迎大家分享更好的思路，熱切期待^^_^^ !

總結(jié)

以上是生活随笔為你收集整理的企业信息安全模型（成熟度模型）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。