信息安全工程講師姓名機(jī)構(gòu)名稱(chēng)版本：4.0課程內(nèi)容2信息安全保障信息安全工程知識(shí)域知識(shí)子域知識(shí)子域：信息安全工程信息安全工程基礎(chǔ)理解信息安全工程的基本概念及信息安全工程的必要性；信息安全工程理論基礎(chǔ)了解系統(tǒng)工程思想、項(xiàng)目管理方法、質(zhì)量管理體系、能力成熟度模型等信息安全工程基礎(chǔ)理論；理解能力成熟度模型的基本思想及相關(guān)概念；3什么是安全工程采用工程的概念、原理、技術(shù)和方法，來(lái)研究、開(kāi)發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過(guò)程信息化建設(shè)活動(dòng)中有關(guān)加強(qiáng)系統(tǒng)安全性活動(dòng)的集合良好安全工程的四個(gè)方面策略機(jī)制保證動(dòng)機(jī)4為什么需要安全工程信息系統(tǒng)安全保障要素之一解決信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題信息安全是信息化的有機(jī)組成部分，必須與信息化同步規(guī)劃、同步建設(shè)信息系統(tǒng)的建設(shè)是一項(xiàng)系統(tǒng)工程，具有復(fù)雜性，安全工程是以最優(yōu)費(fèi)效比提供并滿(mǎn)足安全需求5“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。”--《中華人民共和國(guó)網(wǎng)絡(luò)安全法》信息安全工程理論基礎(chǔ)系統(tǒng)工程項(xiàng)目管理質(zhì)量管理能力成熟度模型6信息安全工程理論基礎(chǔ)-系統(tǒng)工程什么是系統(tǒng)工程以大型復(fù)雜系統(tǒng)為研究對(duì)象，按一定目的進(jìn)行設(shè)計(jì)、開(kāi)發(fā)、管理與控制，以期達(dá)到總體效果最優(yōu)的理論與方法系統(tǒng)工程的概念系統(tǒng)工程不是基本理論，也不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論系統(tǒng)工程是一門(mén)高度綜合性的管理工程技術(shù)，不同于一般的工程技術(shù)學(xué)科，如水利工程、機(jī)械工程等“硬”工程；系統(tǒng)工程偏重于工程的組織與經(jīng)營(yíng)管理一類(lèi)“軟”科學(xué)的研究7信息安全工程理論基礎(chǔ)-系統(tǒng)工程霍爾三維結(jié)構(gòu)圖時(shí)間維邏輯維知識(shí)維8信息安全工程理論基礎(chǔ)-項(xiàng)目管理什么是項(xiàng)目管理項(xiàng)目管理者在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效管理項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用項(xiàng)目管理的知識(shí)領(lǐng)域范圍、時(shí)間、成本、質(zhì)量、人力資源、溝通、風(fēng)險(xiǎn)、采購(gòu)和集成項(xiàng)目的過(guò)程控制啟動(dòng)、計(jì)劃、執(zhí)行、控制和收尾9信息安全工程理論基礎(chǔ)-質(zhì)量管理質(zhì)量管理基本概念質(zhì)量：是一組固有特性滿(mǎn)足要求的程度治理管理：為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)質(zhì)量管理體系指揮和控制一個(gè)組織質(zhì)量相關(guān)的管理體系國(guó)際標(biāo)準(zhǔn)ISO9000系列10ISO9000規(guī)范質(zhì)量管理的四個(gè)方面機(jī)構(gòu)標(biāo)準(zhǔn)明確規(guī)定了為保證產(chǎn)品質(zhì)量而必須建立的管理機(jī)構(gòu)及職責(zé)權(quán)限程序?qū)M織的產(chǎn)品生產(chǎn)必須制定規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、質(zhì)量手冊(cè)、質(zhì)量體系和操作檢查程序，并使之文件化過(guò)程質(zhì)量控制是對(duì)生產(chǎn)的全部過(guò)程加以控制，是面的控制，不是點(diǎn)的控制總結(jié)不斷地總結(jié)、評(píng)價(jià)質(zhì)量管理體系，不斷地改進(jìn)質(zhì)量管理體系，使質(zhì)量管理呈螺旋式升11信息安全工程理論基礎(chǔ)-能力成熟度模型能力成熟度模型（CapabilityMaturityModel）一種衡量工程實(shí)施能力的方法建立在統(tǒng)計(jì)過(guò)程控制理論基礎(chǔ)上的能力成熟度模型基礎(chǔ)現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點(diǎn)是都具有一組嚴(yán)格定義、管理完善、可測(cè)可控從而高度有效的業(yè)務(wù)過(guò)程；CMM模型抽取了這樣一組好的工程實(shí)踐并定義了過(guò)程的“能力”；12能力成熟度模型基本思想工程實(shí)施組織的能力成熟度等級(jí)越高，系統(tǒng)的風(fēng)險(xiǎn)越低CMM為工程的過(guò)程能力提供了一個(gè)階梯式的改進(jìn)框架13能力成熟模型SW-CMM軟件能力成熟模型SE-CMM系統(tǒng)工程能力成熟模型SSE-CMM信息系統(tǒng)安全工程能力成熟模型軟件工程傳統(tǒng)制造業(yè)安全工程…………知識(shí)子域：信息安全工程信息系統(tǒng)安全工程了解信息系統(tǒng)安全工程（ISSE）與系統(tǒng)工程(SE)工作內(nèi)容的區(qū)別；理解確定信息保護(hù)需求、確定系統(tǒng)安全要求、設(shè)計(jì)系統(tǒng)安全架構(gòu)、開(kāi)發(fā)詳細(xì)安全設(shè)計(jì)、實(shí)現(xiàn)系統(tǒng)安全、評(píng)估信息保護(hù)有效性這六個(gè)階段主要工作內(nèi)容。14信息系統(tǒng)安全工程（ISSE）美國(guó)軍方在20世紀(jì)90年代初發(fā)布的信息安全工程方法通過(guò)實(shí)施系統(tǒng)工程過(guò)程來(lái)滿(mǎn)足信息保護(hù)的需求有助于開(kāi)發(fā)可滿(mǎn)足用戶(hù)安全需求的系統(tǒng)產(chǎn)品和過(guò)程解決方案15信息系統(tǒng)安全工程流程將系統(tǒng)工程思想應(yīng)用于信息安全領(lǐng)域，在系統(tǒng)生命周期的各階段充分考慮和實(shí)施安全措施16系統(tǒng)工程實(shí)施過(guò)程信息安全工程實(shí)施過(guò)程發(fā)掘信息保護(hù)需求了解組織機(jī)構(gòu)的業(yè)務(wù)和使命確定信息系統(tǒng)面臨的風(fēng)險(xiǎn)識(shí)別適用的保護(hù)策略17合理性符合性安全工程建設(shè)的需求從哪里來(lái)？發(fā)掘信息保護(hù)需求-主要工作界定范圍分析業(yè)務(wù)、使命識(shí)別約束法律法規(guī)政策合同識(shí)別風(fēng)險(xiǎn)記錄需求獲得客戶(hù)對(duì)需求的認(rèn)可18任務(wù)信息風(fēng)險(xiǎn)約束信息保護(hù)策略系統(tǒng)保護(hù)需求系統(tǒng)需求發(fā)掘保護(hù)需求-識(shí)別風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)是發(fā)掘信息保護(hù)需求階段工作的關(guān)鍵一切工程皆有需求，需求與風(fēng)險(xiǎn)的一致性越強(qiáng)，則需求越準(zhǔn)確信息安全工程的需求應(yīng)從風(fēng)險(xiǎn)評(píng)估結(jié)果分析中得出識(shí)別風(fēng)險(xiǎn)工作方式與客戶(hù)進(jìn)行溝通，并結(jié)合安全工程師專(zhuān)業(yè)知識(shí)為每一個(gè)信息域指定信息受到的危害的度量準(zhǔn)則和可能的危害事件服務(wù)的強(qiáng)度要與信息威脅的等級(jí)相適應(yīng)19確定系統(tǒng)安全要求考慮一個(gè)或多個(gè)可滿(mǎn)足客戶(hù)表達(dá)的信息保護(hù)需求，形成解決方案集解決方案集定義以下概念：系統(tǒng)安全背景安全操作概念系統(tǒng)安全要求（基線）20系統(tǒng)安全背景定義系統(tǒng)邊界和與SE的接口為目標(biāo)或外部系統(tǒng)分配安全功能識(shí)別目標(biāo)和外部系統(tǒng)之間的數(shù)據(jù)流以及與這些流相關(guān)聯(lián)的保護(hù)需求信息管理需求和信息保護(hù)需求分配給目標(biāo)系統(tǒng)和外部系統(tǒng)21我們保障的目標(biāo)是：業(yè)務(wù)安全，而不是簡(jiǎn)單的IT安全安全操作概念用戶(hù)的角度描述了系統(tǒng)在支持任務(wù)時(shí)將執(zhí)行哪些信息管理和信息保護(hù)功能確定任務(wù)或業(yè)務(wù)需求對(duì)其他系統(tǒng)及其提供的產(chǎn)品和服務(wù)的依賴(lài)22高風(fēng)險(xiǎn)低風(fēng)險(xiǎn)系統(tǒng)安全要求規(guī)定出系統(tǒng)必須完成的事情明確定義功能要求（不考慮其設(shè)計(jì)或?qū)崿F(xiàn)）包括數(shù)量（多少）、質(zhì)量（多好）、覆蓋（多遠(yuǎn)）、時(shí)間表（何時(shí)和多長(zhǎng)）、可用性（多久）等23設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)完成安全功能的分析和分配主要活動(dòng)設(shè)計(jì)并分析系統(tǒng)安全體系結(jié)構(gòu)向體系結(jié)構(gòu)分配安全服務(wù)選擇安全機(jī)制類(lèi)別24設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)根據(jù)安全需求有針對(duì)性地設(shè)計(jì)安全措施是非常必要的安全設(shè)計(jì)要依據(jù)安全需求安全設(shè)計(jì)要具備可行性和一定的前瞻性達(dá)到風(fēng)險(xiǎn)—需求—設(shè)計(jì)的一致性和協(xié)調(diào)性25開(kāi)發(fā)詳細(xì)安全設(shè)計(jì)做出合理的設(shè)計(jì)決策階段的主要活動(dòng)進(jìn)行均衡取舍研究考慮優(yōu)先級(jí)、成本、進(jìn)度、性能以及殘余安全風(fēng)險(xiǎn)定義系統(tǒng)安全設(shè)計(jì)元素向系統(tǒng)安全設(shè)計(jì)元素分配安全機(jī)制識(shí)別備選的商用或政府所提供的現(xiàn)有安全產(chǎn)品，并識(shí)別需要定制的安全產(chǎn)品檢驗(yàn)并最終確定設(shè)計(jì)元素和系統(tǒng)接口，包括內(nèi)部及外部接口制定安全規(guī)范，如編制安全編碼規(guī)范等26信息安全工程實(shí)施-實(shí)現(xiàn)系統(tǒng)安全使系統(tǒng)從設(shè)計(jì)轉(zhuǎn)入運(yùn)行獲取、集成、配置、測(cè)試、編制文檔和培訓(xùn)階段活動(dòng)系統(tǒng)獲取（選擇特定產(chǎn)品集成到安全解決方案中）系統(tǒng)測(cè)試27風(fēng)險(xiǎn)需求設(shè)計(jì)實(shí)施評(píng)估信息保護(hù)有效性活動(dòng)跨越了整個(gè)ISSE過(guò)程信息安全工作需要覆蓋系統(tǒng)全生命周期信息安全工作不是一勞永逸的，需要在全生命周期予以重視要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問(wèn)題是覆蓋全生命周期持續(xù)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制是保障系統(tǒng)安全的必要工作持續(xù)的風(fēng)險(xiǎn)評(píng)估是信息安全保障的一項(xiàng)基礎(chǔ)性工作持續(xù)的風(fēng)險(xiǎn)評(píng)估為新的安全決策和需求提供重要依據(jù)28支持認(rèn)證和認(rèn)可的活動(dòng)29知識(shí)子域：信息安全工程安全工程能力成熟度模型理解安全工程能力成熟度模型及域維、能力維相關(guān)概念；掌握風(fēng)險(xiǎn)過(guò)程包括的評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響及評(píng)估安全風(fēng)險(xiǎn)這四個(gè)過(guò)程區(qū)域及其基本實(shí)施；掌握工程過(guò)程包括的確定安全需求、提供安全輸入、管理安全控制、監(jiān)控安全態(tài)勢(shì)及協(xié)調(diào)安全五個(gè)過(guò)程區(qū)域及其基本實(shí)施；掌握保證過(guò)程中驗(yàn)證和證實(shí)安全及建立保證論據(jù)兩個(gè)過(guò)程區(qū)域及其基本實(shí)施；掌握0~5級(jí)不同成熟度級(jí)別的應(yīng)具有的公共特征；30系統(tǒng)安全工程能力成熟度模型什么是系統(tǒng)安全工程能力成熟模型（SSE-CMM）一種衡量SSE實(shí)施能力的方法為信息安全工程過(guò)程改進(jìn)建立一個(gè)框架模型SSE-CM描述了一個(gè)組織的系統(tǒng)安全工程過(guò)程必須包含的基本特征這些特征是完善的安全工程保證也是系統(tǒng)安全工程實(shí)施的度量標(biāo)準(zhǔn)還是一個(gè)易于理解的評(píng)估系統(tǒng)安全工程實(shí)施的框架31SSE-CMM的作用獲取組織（系統(tǒng)、產(chǎn)品的采購(gòu)方）幫助選擇合格的投標(biāo)者，以統(tǒng)一的標(biāo)準(zhǔn)對(duì)安全工程過(guò)程進(jìn)行監(jiān)管提高工程實(shí)施質(zhì)量，減少爭(zhēng)議工程組織（系統(tǒng)開(kāi)發(fā)和集成商）通過(guò)可重復(fù)、可預(yù)測(cè)的過(guò)程減少返工、提高質(zhì)量、降低成本；改進(jìn)安全工程實(shí)施能力；獲得證明安全工程實(shí)施能力的資質(zhì)認(rèn)證評(píng)估組織獲得獨(dú)立于系統(tǒng)和產(chǎn)品的可重用的過(guò)程評(píng)估標(biāo)準(zhǔn)，用來(lái)確定被評(píng)估者將安全工程集成在系統(tǒng)工程之中，并且其系統(tǒng)安全工程是可信的32SSE-CMM體系結(jié)構(gòu)“域維”由所有定義的安全工程過(guò)程區(qū)構(gòu)成“能力維”代表組織實(shí)施這一過(guò)程的能力能力維（CapabilityDimension）域維（DomainDimension）公共特征2.4跟蹤執(zhí)行PA05評(píng)估脆弱性33域維-過(guò)程區(qū)域過(guò)程區(qū)域（PA，ProcessArea）過(guò)程區(qū)域是過(guò)程的一種單位基本實(shí)施（BP，BasePractice）過(guò)程區(qū)域由BP組成BP是強(qiáng)制實(shí)施過(guò)程類(lèi)SSE-CMM包含22個(gè)PA，分為工程、項(xiàng)目、組織三類(lèi)過(guò)程類(lèi)BasePracticesBasePracticesBasePracticesBasePracticesBasePractices基本實(shí)施ProcessAreasProcessAreasProcessAreas過(guò)程區(qū)域34能力維-過(guò)程能力過(guò)程能力（ProcessCapability）對(duì)過(guò)程控制程度的衡量方法，采用成熟度級(jí)別劃分過(guò)程能力的作用衡量組織達(dá)到過(guò)程目標(biāo)的能力成熟度低，成本、進(jìn)度、功能和質(zhì)量都不穩(wěn)定成熟度高，達(dá)到預(yù)定的成本、進(jìn)度、功能和質(zhì)量目標(biāo)的就越有把握能力維能力級(jí)別GP，GenericPractice管理、度量和制度方面的活動(dòng)，可用于決定所有活動(dòng)的能力水平CF，CommonFeature由GP組成的邏輯域由公共特征組成的過(guò)程能力水平的級(jí)別劃分。0-5共6個(gè)級(jí)別公共特征通用實(shí)踐35SSE-CMM能力成熟度評(píng)價(jià)體系通過(guò)設(shè)置這兩個(gè)相互依賴(lài)的維，SSE-CMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。給每個(gè)PA賦予一個(gè)能力級(jí)別評(píng)分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力級(jí)別安全過(guò)程區(qū)域36域維-SSE-CMM的過(guò)程控制工程類(lèi)11個(gè)PA，描述了系統(tǒng)安全工程中實(shí)施的與安全直接相關(guān)的活動(dòng)組織和項(xiàng)目過(guò)程類(lèi)11個(gè)PA，并不直接同系統(tǒng)安全相關(guān)，但常與11個(gè)工程過(guò)程區(qū)域一起用來(lái)度量系統(tǒng)安全隊(duì)伍的過(guò)程能力成熟度核實(shí)和確認(rèn)安全PA11明確安全需求PA10提供安全輸入PA09監(jiān)視安全態(tài)勢(shì)PA08協(xié)調(diào)安全PA07建立保證論據(jù)PA06評(píng)估脆弱性PA05評(píng)估威脅PA04評(píng)估安全風(fēng)險(xiǎn)PA03評(píng)估影響PA02管理安全控制PA01風(fēng)險(xiǎn)過(guò)程工程過(guò)程保證過(guò)程37工程類(lèi)過(guò)程之間關(guān)系11個(gè)PA分為風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、保證過(guò)程保證論據(jù)風(fēng)險(xiǎn)信息產(chǎn)品或服務(wù)工程過(guò)程Engineering保證過(guò)程Assurance風(fēng)險(xiǎn)過(guò)程Risk38風(fēng)險(xiǎn)過(guò)程PA04：評(píng)估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風(fēng)險(xiǎn)信息PA05：評(píng)估脆弱性PA02：評(píng)估影響PA03：評(píng)估安全風(fēng)險(xiǎn)39調(diào)查和量化風(fēng)險(xiǎn)的過(guò)程PA04：評(píng)估威脅識(shí)別和描述系統(tǒng)面臨的安全威脅及其特征BP.04.01識(shí)別由自然因素所引起的有關(guān)威脅BP.04.02識(shí)別由人為因素所引起的有關(guān)威脅BP.04.03制定評(píng)判威脅的測(cè)度單位

BP.04.04評(píng)估威脅源的動(dòng)機(jī)和能力BP.04.05評(píng)估威脅事件出現(xiàn)的可能性BP.04.06監(jiān)控威脅的變化40PA05：評(píng)估脆弱性識(shí)別和描述系統(tǒng)存在的脆弱性及其特征BP.05.01選擇識(shí)別和描述系統(tǒng)脆弱性的方法、技術(shù)和標(biāo)準(zhǔn)BP.05.02識(shí)別系統(tǒng)存在的脆弱性BP.05.03收集與脆弱性特征有關(guān)的數(shù)據(jù)BP.05.04對(duì)脆弱性進(jìn)行綜合分析，評(píng)判脆弱性或脆弱性組合可能帶來(lái)的危害BP.05.05監(jiān)控脆弱性的變化41PA02：評(píng)估影響識(shí)別和描述安全事件造成的影響B(tài)P.02.01對(duì)運(yùn)行、業(yè)務(wù)或任務(wù)指令進(jìn)行識(shí)別、分析和優(yōu)先級(jí)排列BP.02.02識(shí)別系統(tǒng)資產(chǎn)BP.02.03選擇用于評(píng)估影響的度量標(biāo)準(zhǔn)BP.02.04標(biāo)識(shí)度量標(biāo)準(zhǔn)以及（若需要）度量標(biāo)準(zhǔn)轉(zhuǎn)換因子之間的關(guān)系BP.02.05識(shí)別影響B(tài)P02.06監(jiān)控影響中發(fā)生的變化42PA03：評(píng)估安全風(fēng)險(xiǎn)識(shí)別和描述系統(tǒng)面臨的安全風(fēng)險(xiǎn)BP.03.01選擇風(fēng)險(xiǎn)所依據(jù)的方法、技術(shù)和準(zhǔn)則BP.03.02識(shí)別威脅/脆弱性/影響三組合（暴露）BP.03.03評(píng)估與每個(gè)暴露有關(guān)的風(fēng)險(xiǎn)BP.03.04評(píng)估總體不確定性BP.03.05風(fēng)險(xiǎn)優(yōu)先級(jí)排列BP.03.06監(jiān)控風(fēng)險(xiǎn)的變化43工程過(guò)程安全工程是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過(guò)程。SSE-CMM強(qiáng)調(diào)安全工程是一個(gè)大的項(xiàng)目隊(duì)伍中的一部分，需要與其它科目工程師的活動(dòng)相互協(xié)調(diào)。44PA10確定安全需求需求、策略等配置信息解決方案、指導(dǎo)等風(fēng)險(xiǎn)信息PA08監(jiān)控安全態(tài)勢(shì)PA07協(xié)調(diào)安全PA01管理安全控制PA09提供安全輸入PA10：確定安全需求本過(guò)程區(qū)域?qū)崿F(xiàn)依賴(lài)的7項(xiàng)基本實(shí)施BP.10.01獲得對(duì)顧客安全需求的理解BP.10.02識(shí)別可用的法律、策略、標(biāo)準(zhǔn)、外部影響和約束B(niǎo)P.10.03識(shí)別系統(tǒng)用途，以確定其安全關(guān)聯(lián)性BP.10.04捕捉系統(tǒng)運(yùn)行的安全視圖BP.10.05捕捉高層的安全目標(biāo)BP.10.06定義安全相關(guān)需求BP.10.07達(dá)成安全協(xié)議45PA09：提供安全輸入此過(guò)程區(qū)域包括以下6項(xiàng)基本實(shí)施BP.09.01理解安全輸入需求BP.09.02確定安全約束和需要考慮的問(wèn)題BP.09.03識(shí)別安全解決方案BP.09.04分析工程可選方案的安全性BP.09.05提供安全工程指南BP.09.06提供運(yùn)行安全指南46PA01：管理安全控制此過(guò)程區(qū)域包括以下4項(xiàng)基本實(shí)施BP.01.01建立安全職責(zé)BP.01.02管理安全配置BP.01.03管理安全意識(shí)、培訓(xùn)和教育大綱BP.01.04安全服務(wù)及控制機(jī)制的管理47PA08：監(jiān)控安全態(tài)勢(shì)此過(guò)程區(qū)域包括以下7項(xiàng)基本實(shí)施BP.08.01分析事件記錄BP.08.02監(jiān)視變化BP.08.03識(shí)別安全突發(fā)事件BP.08.04監(jiān)控安全防護(hù)措施的有效性BP.08.05審核安全態(tài)勢(shì)BP.08.06管理對(duì)安全突發(fā)事件的響應(yīng)BP.08.07保護(hù)安全監(jiān)視的記錄數(shù)據(jù)48PA07：協(xié)調(diào)安全此過(guò)程區(qū)域包括以下4項(xiàng)基本實(shí)施BP.07.01定義協(xié)調(diào)目標(biāo)BP.07.02識(shí)別協(xié)調(diào)機(jī)制BP.07.03促進(jìn)協(xié)調(diào)BP.07.04協(xié)調(diào)安全決定和建議49保證過(guò)程保證是指安全需要得到滿(mǎn)足的信任程度SSE-CMM的信任程度來(lái)自于安全工程過(guò)程可重復(fù)性的結(jié)果質(zhì)量證據(jù)證據(jù)保證論據(jù)PA11驗(yàn)證和證實(shí)安全指定安全要求其他多個(gè)PAPA06建立保證論據(jù)50PA11：驗(yàn)證和證實(shí)安全此過(guò)程區(qū)域包括以下5項(xiàng)BPBP.11.01識(shí)別驗(yàn)證和證實(shí)的目標(biāo)BP.11.02定義驗(yàn)證和證實(shí)方法BP.11.03執(zhí)行驗(yàn)證BP.11.04執(zhí)行證實(shí)BP.11.05提供驗(yàn)證和證實(shí)的結(jié)果51PA06：建立保證論據(jù)本過(guò)程區(qū)域包括以下5項(xiàng)基本實(shí)施BP.06.01識(shí)別保證目標(biāo)BP.06.02定義保證策略BP.06.03控制保證證據(jù)BP.06.04分析證據(jù)BP.06.05提供保證論據(jù)52組織的過(guò)程管理和制度化能力的強(qiáng)弱能力級(jí)別：表示了過(guò)程的成熟性53計(jì)劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過(guò)程協(xié)調(diào)安全實(shí)施執(zhí)行已定義的過(guò)程建立可測(cè)量的質(zhì)量目標(biāo)客觀地管理過(guò)程的執(zhí)行1非正規(guī)執(zhí)行2計(jì)劃與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行基本實(shí)施改進(jìn)組織能力改進(jìn)過(guò)程的有效性公共特征未實(shí)施0能力級(jí)別能力級(jí)別-0級(jí)未實(shí)施級(jí)沒(méi)有公共特征不能成功執(zhí)行過(guò)程區(qū)域中的全部基本實(shí)施54如果某組織在某一過(guò)程區(qū)域的能力成熟度為0級(jí)，則該組織可能無(wú)法提供某一特定信息安全工程服務(wù)能力級(jí)別-1級(jí)非正規(guī)執(zhí)行級(jí)該級(jí)別過(guò)程區(qū)域的基本實(shí)施均被執(zhí)行，但未經(jīng)過(guò)嚴(yán)格的計(jì)劃和跟蹤，而是基于個(gè)人的