软件保障成熟度模型中国年月目录第一部分前言什么是关于模型的结构第二部分核心模型治理战略与指标创建与推广测量与改进策略与合规策略与标准合规管理教育与指导培训和意识组织和文化设计威胁评估应用软件风险画像威胁建模安全需求软件需求供应商安全安全架构架构设计技术管理开发安全构建构建过程软件依赖安全部署部署过程机密信息管理缺陷管理缺陷跟踪指标与反馈验证架构评估架构验证架构缓解需求驱动的测试控制验证滥用测试安全测试可测量的基线深刻的理解运营事件管理事件检测事件响应环境管理配置加固补丁与更新运营管理数据保护系统退役和旧版本管理第三部分表单模板访谈记录表访谈记分卡成熟度路线图致谢第一部分前言什么是是的英文缩写我们的使命是为所有类型的组织提供一种有效的可衡量的方式来分析和改进其软件安全状况我们希望通过自评估模型来提升组织有关如何设计开发和部署安全软件的认识和教育支持完整的软件生命周期并且对技术和流程是没有强制要求的我们将构建为其本质上是具有进化性和风险驱动的因为没有任何一个方法能适合所有组织的三个主要特征是可衡量跨安全实践定义的成熟度级别可操作提高成熟度水平的清晰路径通用性对技术流程和组织是通用的社区由来自于企业和教育机构的安全知识型志愿者提供支持全球社区致力于创建可自由获得的文章术语文档工具和技术关于模型是一个规范性模型是一个易于使用完全定义和可测量的开放框架即使对于非安全人员解决方案详细信息也很容易遵循它可以帮助组织分析其当前的软件安全实践在定义的迭代中构建安全程序显示安全实践的改进状况定义和衡量与安全相关的活动的定义具有灵活性因此使用任何开发风格的商业中型和大型组织都可以自定义和采用它它提供了一种了解组织在软件保障建设过程中当前所处位置及进一步发展进入下一成熟度等级的建议方式并不坚持要求所有组织在每个类别中实现最大成熟度级别每个组织都可以确定每个安全实践的目标成熟度等级以为每个特定需求最匹配和最适用的模板的结构在模型的最顶层定义了五种关键业务功能每种业务功能是一组软件开发过程中具体细节的相关措施就是任何组织的软件开发团队要在某种程度上必须运用到的每一个业务功能对于每类业务功能定义了三个安全实践每个安全实践都是一个为业务功能建立保障而与安全相关的领域因此总体来说有个独立的安全实践活动映射到五组业务功能以改善软件开发中相对应的业务功能对于每种实践活动定义了三个成熟度等级以作为目标安全实践中的每个等级是由一个连续且复杂的目标定义的且每个等级的成功指标比上一个等级更加苛刻另外每类安全实践都能通过相关活动的优化单独改进对于每个安全实践定义了两个活动流每个活动流都有一个目标要达到而且这个目标可以在提高成熟度水平时达到活动流在不同成熟度级别上关联和链接至不同成熟度等级实践中的活动模型的结构和设置能够支持对组织当前软件安全状况的评估有关组织目标的定义有关路线图实现方式的定义关于如何实施特定活动的建议第二部分核心模型治理治理聚焦于与组织如何管理整个软件开发活动相关的过程和活动更具体地说这包括对开发中涉及跨职能小组的影响以及在组织级别建立业务流程的担忧战略与指标软件保障涉及许多不同的活动和关注点没有总体规划您可能会花费大量精力来构建安全而实际上您的工作可能是不协调的不成比例的甚至会适得其反战略与指标实践的目标是建立一个有效的计划以在组织内实现软件安全目标一个软件安全计划筛选模型中的部分活动并定义了优先级作为您工作的基础该实践致力于构建维护和宣传该软件安全计划同时您希望跟踪安全状况和计划的改进情况本模型包含了一种以指标为导向的方法以确保您对活动的准确了解衡量就是为了要知道活动流创建和推广成熟度等级级识别安全计划的目标以及衡量安全计划有效性的手段识别与组织的风险承受能力相关的组织驱动因素级为组织内的软件安全建立统一的战略路线图发布统一的应用软件安全战略级使安全工作与相关的组织指标和资产价值保持一致调整应用软件安全计划以支撑组织的发展活动流衡量和改进通过深入了解应用软件安全计划的有效性和效率来定义指标为衡量计划有效性的设置目标和关键绩效指标基于指标和组织的需求对战略产生影响创建与推广成熟度等级收益对组织的安全状况形成基本认识活动基于应用软件暴露的风险了解存在或可能存在哪些威胁以及组织的高级领导层对这些风险的容忍度这种理解是确定软件安全保障优先级的关键组成部分为了确定这些威胁需对业务所有者和利益相关者进行访谈并记录组织所处行业的特定驱动因素以及组织所特定的驱动因素收集的信息包括对组织造成影响的最坏情况以及通过优化软件开发生命周期和使用更安全应用软件后可能提供的差异化市场机会或创造的额外机会收集的信息为组织开发和推广其应用软件安全计划提供了基线在计划中优先考虑消除威胁以及对组织最重要的机遇基线被分为几个风险因素和与组织优先级直接关联的相关驱动因素并通过记录它们在受到威胁时如何影响组织来帮助构建每个定制开发应用软件的风险状况基线和每个风险因素应予以发布并提供给应用软件开发团队以确保创建应用软件风险画像并将组织的优先事项纳入计划的过程更加透明此外应提供一组目标这些目标应用于确保所有应用软件安全计划增强功能都能为组织当前和将来的需求提供直接支持问题您了解您的应用软件在整个企业范围内的风险偏好吗质量标准您把握了组织高管领导层的风险偏好组织的领导层审查并批准了一系列风险您为您的资产和数据识别了主要业务和技术威胁您记录风险并将其存储在可访问的位置回答没有是的它涵盖了一般风险是的它涵盖了特定于组织的风险是的它涵盖了风险和机遇成熟度等级收益可用且达成一致的应用软件安全计划路线图活动根据资产的数量威胁和风险承受能力制定安全战略计划和预算以解决围绕应用软件安全的业务优先级该计划涵盖至年并包括与组织的业务驱动因素和风险相一致的里程碑它提供了战术和战略计划并遵循了使其与业务优先事项和需求保持一致的路线图在路线图中您需要在变更所需的财务支出流程和程序变更及变更对组织文化的影响之间取得平衡这种平衡可帮助同时完成多个里程碑而不会超载或耗尽可用资源或开发团队里程碑的频率足够高可以帮助监视程序成功并触发及时的路线图调整为了使该计划成功应用软件安全团队从组织的利益相关者和应用软件开发团队获得支持需要支持或参与其实施的任何人都可以使用已发布的计划问题您是否有针对应用软件安全的战略计划并用来制定决策质量标准该计划反映了组织的业务重点和风险承受能力该计划包括可衡量的里程碑和预算该计划与组织的业务驱动因素和风险相一致该计划为战略和战术计划制定了路线图您获得了利益相关者的支持包括开发团队回答没有是的我们每年都要审查是的我们会在做出重大决定之前先咨询核对计划是的我们经常咨询核对该计划并且该计划与我们的应用软件安全战略保持一致成熟度等级收益使应用软件安全计划与组织的业务目标持续保持一致活动您需要定期检查应用软件安全计划以确保其能持续适应和支持组织不断变化的需求和未来的增长为此您每年至少重复执行一次本安全实践前两个步骤的成熟度等级该计划的目标是始终支持组织当前和将来的需求以确保计划与业务保持一致除了审查业务驱动因素之外组织还密切监视对每个路线图里程碑的成功实施您可以根据广泛的标准来评估里程碑的成功包括实施的完整性和效率考虑的预算以及该计划所产生的任何文化影响或变化您还需要查看未完成的或不令人满意的里程碑并评估整个计划可能需要的变更组织为管理人员和负责软件开发的团队衡量和展示提供了当前状态以监控路线图的实施情况这些展示信息需要足够详细以识别各个项目和计划并清楚地了解该计划是否成功并且符合组织的需求问题您是否经常审查和更新应用软件安全战略计划质量标准您可以根据业务环境组织或其风险偏好的重大变化来审查和更新计划计划的更新步骤包括与所有利益相关者一起审查计划以及更新业务驱动因素和策略您可以根据从已完成的路线图活动中获得的经验教训来调整计划和路线图您发布有关路线图活动的进度信息以确保所有利益相关者都可以使用它们回答没有是的但是审核是临时的是的我们会定期审查是的我们至少每年审查一次测量与改进成熟度等级收益对您应用软件安全计划的有效性和效率有基本见解活动定义并记录测量标准以评估应用软件安全计划的有效性和效率这样就可以测量改进您可以使用它们来确保将来对该计划的支持和资金考虑到大多数开发环境动态变化的性质应包括以下方面的测量指标投入该标准衡量在安全上的投入包括培训时间执行代码审查的时间应用软件漏洞扫描的次数结果该标准衡量安全工作的结果包括安全缺陷未修补的数量涉及应用软件漏洞的安全事件数量环境该标准衡量执行安全工作的环境包括应用软件数量或代码行数以衡量难度或复杂性每种测量本身都可用于特定目的但将两个或三个指标结合在一起时则有助于解释测量趋势结果中峰值的含义例如漏洞总数的激增可能是由于组织采用了一些新的应用软件而这些新应用软件以前并没有被应用软件所采用的安全机制检测到作为选择可替代地在不相应增加工作量或结果的情况下环境指标提升可能意味着安全计划是一个成熟和有效的在确定指标时始终建议坚持指标符合以下多个条件持续测量以便宜的方式收集测量信息以基数或百分比表示以测量单位表示记录测量指标包括对收集数据最佳和最有效的方法描述以及将多个测量指标组合成为测量标准的推荐方法例如许多应用软件和所有应用软件中的缺陷总数本身可能并不有用但当组合成为每个应用软件中的高危缺陷数量时它们就成为了更具可操作性的指标问题您是否使用一组指标来衡量应用软件安全计划的有效性和效率质量标准您记录每个指标包括来源描述测量范围以及有关如何使用它来解释应用软件安全趋势指标包括投入工作量结果和环境三个类别大多数测量标准经常被测量且数据收集方法方便经济并表示为基数或百分比由应用软件安全和开发团队发布指标回答没有是的使用了一个指标类别是的使用了两个指标类别是的使用了所有三个指标类别成熟度等级收益应用软件安全计划的执行情况公开透明活动一旦组织定义了其应用软件安全测量指标就收集足够的信息以达到切合实际的目标测试已确定的指标以确保您可以在短时间内连续有效地收集数据在初始测试期之后组织应具有足够的信息来实现关键绩效指标目标尽管有几种测量标准可用于监视信息安全计划及其有效性但包含最有意义和最有效的指标旨在消除关键绩效指标中有关应用软件开发环境的常见波动以减少因临时或误导性的个别测量而产生不利结果的可能性基于的指标不仅对信息安全专业人员有价值对应用软件整体成功的负责人和组织领导也很有价值将视为整个计划成功的确定指标并认为它们是可行的完整记录并将其分发给为计划成功而做出贡献的团队以及组织领导理想情况下需简要说明每个的信息来源以及数字高低的含义需包括短期和长期目标以及需要立即干预的不可接受测量范围与应用软件安全和开发团队共享行动计划以确保大家完全理解组织的真实目标问题您定义的关键性能指标是否来自于可用的应用软件安全指标质量标准您在收集了足够的信息后才定义了建立了切合实际的目标您是由负责应用软件安全的领导层和团队