安全工程(ppt 19页).ppt

1、SSE-CMM历史 SSE-CMM的作用 SSE-CMM体系结构 SSE-CMM各个域简介 能力域简介 过程域简介 SSE-CMM的使用 SSE-CMM认证,安全工程,1 SSE-CMM历史,January 95 1st 公开的系统安全工程讨论会 成立项目工作组,启动项目 Summer/Fall 96 SSE-CMM Pilots October 96 SSE-CMM v1.0 Early SSE-CMM Pilot Results Summer 97 SSE-CMM v1.1 Appraisal Method v1.1 Pilot Results 14-17 July 97 2nd 公开的系

2、统安全工程CMM工作会议 April 99 SSE-CMM V2.0 2001 ISO/IEC DIS 21827 15 June 03 SSE-CMM V3.0,SE标准与模型的演化,*Not Released,2 SSE-CMM的作用,目的： 把安全工程发展为一整套有定义的、成熟的及可度量的学科 目标： 通过比较竞标者的能力水平及相关风险，可有效地选择合格的安全工程实施者 . 将投资主要集中于安全工程工具开发、人员培训、过程定义、管理活动及改善等方面。 提供能力测量。基于能力的保证，也就是说这种可信性建立在对一个工程组的安全实施与过程成熟性的信任之上的。,SSE-CMM要满足,Contin

3、uity 连续性 Repeatability 可重复性 Efficiency 有效性 Assurance 可信性,3 SSE-CMM体系结构,引子- SE-CMM SSE-CMM,SE-CMM简介（18个PA）,Engineering Analyze Candidate Solutions Derive and Allocate Requirements Develop Physical Architecture Integrate Disciplines Integrate System Understand Customer Needs and Expectations Verify an

4、d Validate System,Management Ensure Quality Manage Configurations Manage Risk Monitor and Control Technical Effort Plan Technical Effort,Organization Define Organizations Systems Engineering Process Improve Organizations Systems Engineering Process Manage Product Line Evolution Manage Systems Engine

5、ering Support Environment Manage Systems Engineering Training Coordinate With Suppliers,Maturity Levels Level Base practices are . 0 Not Performed 1 Performed Informally 2 Planned and Tracked 3 Well Defined 4 Quantitatively Controlled 5 Continuously Improving,每个过程域可以独立衡量,0,1,2,3,4,5,1 Analyze Soluti

6、ons,2 Requirements,3 Architecture,4 Disciplines,5 Integrate System,6 Customer Needs,7 Verify & Validate,8 Ensure Quality,9 Configuration Mgmt,10 Risk Management,11 Monitor & Control,12 Planning,13 Define Process,14 Improve Process,15 Product Evolution,16 Support Envmnt,17 Skills & Knowledge,18 Suppl

7、iers,Year X,Year X+1,10/24/96,22,Domain,过程区,Process Areas,Process Areas,公共特性,Base Practices,通用实施,Base Practices,通用实施,公共特性,Base Practices,基本实施,过程区,Base Practices,Capability Levels,Capability Levels,Capability Levels,持续改进级,Capability Levels,规划与跟踪级,Capability Levels,非正规实施级,基本实施,SSE-CMM 模型架构 (based on S

8、E-CMM Architecture),过程区,组织,项目,安全工程,能力级别,未实施,充分定义级,量化控制级,过程区,能力,域,评估结果: 评估轮廓,能力方面,过程类,域方面,通用实施,基本实施,过程区,能力等级,公共特性,4 SSE-CMM域简介,4.1 能力域 4.2 过程域,10/24/96,23,Common Features,Common Features,Generic Practices,Generic Practices,4.1 SSE-CMM 结构 (Capability Aspect能力维),Generic Practices,通用实施,公共特征 通用实施的集合 （按过程

9、管理和制度化能力分类）,能力等级 公共特征的集合,Common Features,Capability Level,SSE-CMM过程能力,未实施 系统工程,非正规 实施级,规划与 跟踪级,充分 定义级,量化 控制级,持续 改进级,改进组织能力 改进过程的效能,建立可测度的质量目标 对执行情况实施客观管理,执行基本实施,规划执行 规范化执行 验证执行 跟踪执行,定义标准化过程 执行已定义的过程 协调安全实施,0,1,2,3,4,5,25,Base Practices,Base Practices,4.2 SSE-CMM Architecture (过程域),基本实施,过程区，可以分解成基本实施

10、,过程类，过程区的分类集合,Process Areas,Process Areas,Base Practices,Process Category,Process Areas,Secu-Engineering 实施安全控制 评估影响 评估安全风险 评估威胁 评估脆弱性 建立保证论据 协调安全 监控安全态势 提供安全输入 确定安全需求 验证和证实安全,Management 保证质量 管理配置 管理项目风险 监测和控制技术工程项目 规划技术工程项目,Organization 定义组织的系统工程 改进组织的系统工程 管理产品线的演变 管理系统工程支持环境 提供不断更新的技能和知识 与供应商的协调,S

11、SE-CMM 22个过程区,成熟度级别 Level Base practices are . 0 未实施 1 非正规实施级 2 计划和跟踪级 3 充分定义级 4 量化控制级 5 持续改进级,安全工程过程区,PA1 实施安全控制 PA2 评估影响 PA3 评估安全风险 PA4 评估威胁 PA5 评估脆弱性 PA6 建立保证论据 PA7 协调安全 PA8 监控安全态势 PA9 提供安全输入 PA10 确定安全需求 PA11 验证和证实安全,Risk Process/风险过程,Assurance Process/保证过程,Engineering Process/工程过程,The Security E

12、ngineering Process,保证论据,风险信息,产品, 系统, or 服务,5 使用SSE-CMM,评估组织：安全工程能力评估 工程组织：自身改进 获取组织：判别一个供应组织的系统工程能力。,Base Practices,Generic Practices,Process Areas,Capability Aspect,Process Category,Process Areas,Base Practices,Domain Aspect,Common Features,Generic Practices,Generic Practices,Generic Practices,Generic Practices,Generic Practices,Base Practices,Base Practices,Base Practices,Base Practices,Process Areas,Process Areas,Capability Level,Common Features,Common Features,评估结果,