(一)能力成熟度模型(Capability Maturity Model,简称CMM)
是对一个组织机构的能力进行成熟度评估的模型。
(二)成熟度级别
级别 | 说明 | 理解 |
1级 | 非正式执行:具备随机、无序、被动的过程 | 工作如救火 |
2级 | 计划跟踪:具备主动、非体系化的过程 | 有部分成功案例 |
3级 | 充分定义:具备正式的、规范的过程 | 文档化,标准化 |
4级 | 量化控制:具备可量化的过程 | 有过程有质量 |
5级 | 持续优化:具备可持续优化的过程 | 与时俱进 |
说明:级别越高,表示能力成熟度越高
(三)网络安全成熟度模型
- SSE-CMM
- 数据安全能力成熟度模型
- 软件安全能力成熟度模型
(四)SSE-CMM模型
SSE-CMM(Systems Security Engineering Capability Maturity Model)系统安全工程能力成熟度模型
包括工程过程类(Engineering)、组织过程类(Organization)、项目过程类(Project)
(五)数据安全能力成熟度模型
维度 | 说明 | |
1 | 组织建设 | 数据安全组织机构的架构建立、职责分配和沟通协作 |
2 | 制度流程 | 组织机构关键数据安全领域的制度规范和流程落地建设 |
3 | 技术工具 | 通过技术手段和产品工具固化安全要求或自动化实现安全工作 |
4 | 人员能力 | 执行数据安全工作的人员的意识及专业能力 |
(六)软件安全能力成熟度模型
级别 | 主要过程 | |
1 | CMM1 | 补丁修补 |
2 | CMM2 | 渗透测试、安全代码评审 |
3 | CMM3 | 漏洞评估、代码分析、安全编码标准 |
4 | CMM4 | 软件安全风险识别、SDLC实施不同安全检查点 |
5 | CMM5 | 改进软件安全风险覆盖率、评估安全差距 |
(七)数据管理能力成熟度评估模型
DCMM(Data Management Capability Maturity Model)是《数据管理能力成熟度评估模型》GB/T 36073-2018国家标准,是我国首个数据管理领域正式发布的国家标准