2022年CISP教材知識點整理：系統(tǒng)安全工程能力成熟度模型

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第五章 知識域：安全工程與運營

5.1 知識子域：系統(tǒng)安全工程

5.1.3 系統(tǒng)安全工程能力成熟度模型

1.SSE-CMM基本概念

系統(tǒng)安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model，SSE-CMM）

2.SSE-CMM的體系結構

SSE-CMM模型是一個兩維的模型，分別稱為“域維”和“能力維”

“域維”由所有安全工程定義的過程區(qū)域（Process Area，PA）構成

“能力維”代表組織能力，它由過程管理和制度化能力構成

（1）域維

域維由所有安全工程定義的過程活動構成，這些實施活動稱為“過程區(qū)域”

每個過程區(qū)域包括一組表示組織成功執(zhí)行過程區(qū)域的目標。每個過程區(qū)域也包括一組集成的基本實施（Base Practice，BP）

基本實施定義了獲得過程區(qū)域目標的必要步驟，它具有如下特證

1、應用于整個組織生命周期

2、和其他BP互補覆蓋

3、代表安全業(yè)界“最好的實施”

4、在業(yè)務環(huán)境下不指定特定的方法或工具

SSE-CMM域維涉及3個過程類，即工程過程類、組織過程類和項目過程類

基本實施BP，Base Practice，域維的最小單位，如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它，共129個

過程區(qū)PA，Process Area，由一些基本實施構成，這些BP共同實施以達到該PA的目標，共32個

過程類PA被分為安全工程類、組織管理類和項目管理類

（2）能力維

能力維按實施成熟型排序，共分為5個級別，依次表示不斷增強的組織能力。組織能力由被稱之為“公共特征”的邏輯域組成，每一個公共特證包括一個或多個通用實施

通用實施GP，Generic Practice管理、度量和制度方面的活動，可用于決定所有活動的能力水平

公共特征CF，Common Feature由GP組成的邏輯域

能力級別由公共特征組成的過程能力水平的級別劃分，0~5共6個級別

1~5是有意義的

0沒有意義

一個組織機構可隨意以他們所選擇的方式和次序來計劃、跟蹤、定義、控制和改進他們的過程。然而，由于一些較高級別的通用實施依賴于較低級別的通用實施，因此，組織機構在視圖達到較高級別之前，應首先實現較低級別通用實施能力級別按最低的算，木桶理論

注：以上內容來源于網絡，如有侵權，可聯(lián)系客服刪除

查看更多：CISP第五章知識點整理匯總