CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第五章 知识域:安全工程与运营
5.1 知识子域:系统安全工程
5.1.3 系统安全工程能力成熟度模型
1.SSE-CMM基本概念
系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)
2.SSE-CMM的体系结构
SSE-CMM模型是一个两维的模型,分别称为“域维”和“能力维”
“域维”由所有安全工程定义的过程区域(Process Area,PA)构成
“能力维”代表组织能力,它由过程管理和制度化能力构成
(1)域维
域维由所有安全工程定义的过程活动构成,这些实施活动称为“过程区域”
每个过程区域包括一组表示组织成功执行过程区域的目标。每个过程区域也包括一组集成的基本实施(Base Practice,BP)
基本实施定义了获得过程区域目标的必要步骤,它具有如下特证
1、应用于整个组织生命周期
2、和其他BP互补覆盖
3、代表安全业界“最好的实施”
4、在业务环境下不指定特定的方法或工具
SSE-CMM域维涉及3个过程类,即工程过程类、组织过程类和项目过程类
基本实施BP,Base Practice,域维的最小单位,如果选择执行其所属的PA,则必须执行它,共129个
过程区PA,Process Area,由一些基本实施构成,这些BP共同实施以达到该PA的目标,共32个
过程类PA被分为安全工程类、组织管理类和项目管理类
(2)能力维
能力维按实施成熟型排序,共分为5个级别,依次表示不断增强的组织能力。组织能力由被称之为“公共特征”的逻辑域组成,每一个公共特证包括一个或多个通用实施
通用实施GP,Generic Practice管理、度量和制度方面的活动,可用于决定所有活动的能力水平
公共特征CF,Common Feature由GP组成的逻辑域
能力级别由公共特征组成的过程能力水平的级别划分,0~5共6个级别
1~5是有意义的
0没有意义
一个组织机构可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而,由于一些较高级别的通用实施依赖于较低级别的通用实施,因此,组织机构在视图达到较高级别之前,应首先实现较低级别通用实施能力级别按最低的算,木桶理论
注:以上内容来源于网络,如有侵权,可联系客服删除
查看更多:CISP第五章知识点整理汇总
