收藏
下载资源

信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表

上传人:木92****502 文档编号:141519432 上传时间:2020-08-09 格式:DOCX 页数:56 大小:141.95KB
返回 下载 相关 举报
信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表_第1页
第1页 / 共56页
信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表_第2页
第2页 / 共56页
信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表_第3页
第3页 / 共56页
信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表_第4页
第4页 / 共56页
信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表_第5页
第5页 / 共56页
点击查看更多>>
资源描述

《信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表》由会员分享,可在线阅读,更多相关《信息系统安全工程通用实践、项目与组织基本实践、能力成熟度模型概念、过程域对应表(56页珍藏版)》请在金锄头文库上搜索。

1、附录A (规范性附录)通用实践A.1 总则注释:本附录内容在本标准旧版本中为规范性附录A,现改为资料性附录。本附录包含通用实践(即适用于所有过程的实践)。通用实践用于过程评估,以确定任一过程的能力。通用实践按公共特征和能力等级分组。通用实践分成以下能力等级,每个能力等级有若干公共特征。l 能力等级1基本执行;l 能力等级2计划跟踪;l 能力等级3充分定义;l 能力等级4量化控制;l 能力等级5持续改进。能力等级的通用格式如图A. 1所示。概要描述包含能力等级简短概括。每个等级分成包含一组通用实践的若干公共特征。每个通用实践在随后的公共特征中详细描述。能力等级1能力等级标题概要描述该能力等级概述

2、公共特征列表每个公共特征的编号和名称列表公共特征1.1公共特征标题概要描述该能力等级概述通用实践列表每个公共特征的编号和名称列表GP1.1.1通用实践标题描述该通用实践概述注释关于该通用实践的其他注释关系与该模型的其他部分的关系GP1.1.2图A.1能力等级格式A.2 能力等级1基本执行A.2.1 能力等级公共特征A.2.1.1公共特征通用实践A.2.1.1.1 概要描述过程域基本实践的执行是普遍的。这些基本实践的执行可以不进行严格的计划和跟踪。具体的执行情况依靠个人的知识水平和努力程度。过程的工作产品证实其性能。组织里的人意识到应该采取某项措施,并且一般会就该措施的执行和时间要求达成协议。该

3、过程中存在可识别的工作产品。A.2.1.1.2 公共特征列表能力等级由下列公共特征组成:公共特征1.1执行基本实践。A.2.2 公共特征1.1执行基本实践A.2.2.1 公共特征通用实践A.2.2.1.1 概要描述该公共特征的通用实践仅仅确保该过程域的基本实践按某种方法执行。然而,由于缺乏控制,产生的工作产品的一致性或性能、以及质量可能波动很大。A.2.2.1.2 通用实践列表该公共特征由下列通用实践组成:GP1.1.1执行过程。A.2.2.2 GP 1.1.1执行过程A.2.2.2.1 描述执行实现该过程域的基本实践的过程,以便向需求方提供工作产品和/或服务。A.2.2.2.2 注释这个过程

4、可以称为“基本过程”。该过程域的需求方可以是组织内部的或外部的。A.3 能力等级2计划跟踪本实践的执行。验证是否按照规定的规程执行。验证是否按规定的规程执行。工作产品符合规定的标准和要求。采取测量来跟踪过程域的执行,因此组织能够根据实际执行情况管理其活动。与等级1“基本执行”的主要区别在于,该过程的执行是经过计划的和受到管理的。A.3.1 能力等级公共特征A.3.1.1公共特征通用实践A.3.1.1.1 概要描述该能力等级由下列公共特征组成:l 公共特征2.1计划执行;l 公共特征2.2规范地执行l 公共特征2.3验证执行;l 公共特征2.4跟踪执行。A.3.2 公共特征2.1计划执行A.3.

5、2.1 公共特征通用实践A.3.2.1.1 概要描述这个公共特征的通用实践关注的是执行该过程域及其相应的基本实践进行的计划内容。因此,过程文档复制、执行过程的合适工具的供给、过程执行的计划、过程执行中的培训、过程资源的分配和过程执行责任的指派等都要涉及。对于过程的规范地执行,这些通用实践形成了一个至关重要的基础。A.3.2.1.2 通用实践列表该公共特征由下列通用实践组成:l GP 2.1.1分配资源;l GP 2.1.2指派责任;l GP 2.1.3编制过程文档;l GP 2.1.4提供工具;l GP 2.1.5确保培训;l GP 2.1.6计划过程。A.3.2.2 GP 2.1.1 分配资

6、源A.3.2.2.1 描述为执行该过程域分配足够的资源(包括人员)。A.3.2.2.2 注释无。A.3.2.2.3 关系关键资源的识别在过程域PA16“计划/规划技术工作”中完成。A.3.2.3 GP 2.1.2指派责任A.3.2.3.1 描述为开发该过程域的工作产品和/或提供服务指派责任。A.3.2.3.2 注释无。A.3.2.3.3 关系该实践与“计划/规划技术工作”关系密切。A.3.2.4 GP 2.1.3编制过程文档A.3.2.4.1 描述把执行该过程域的方法编制成标准和/或规程。A.3.2.4.2 注释执行过程的人(该过程的拥有者)参与编制过程文档,对于创建有用的过程描述非常重要。某

7、个组织或项目的过程不必与本模型中的过程域对应。因此,覆盖某个过程域的过程可以用不止一种方法来描述(例如,方针、标准和/或规程),为了覆盖某个过程域,以及某个过程描述,可能横跨不止一个过程域。A.3.2.4.3 关系与其他通用实践的关系:这是等级2过程描述。该过程描述将随着过程能力的提高而演变(见GP 3.1.1,GP 3.1.2,GP 5.1.2, GP 5.2.3 中该过程的描述)。在这个等级上描述过程的标准和规程可能包括测量,因此可以用测量来跟踪执行(见公共特征2. 4)。这个实践与PA17“定义组织系统工程过程”和PA18“改进组织系统工程过程”有关。A.3.2.5 GP 2.1.4提供

8、工具A.3.2.5.1 描述提供合适的工具以支持过程域的执行。A.3.2.5.2 注释所要求的工具随所执行的过程而变。执行该过程的个人可能很清楚执行该过程需要什么工具。A.3.2.5.3 关系与其他通用实践的关系:工具变更可能是过程改进的一部分(见有关过程改进的实践GP 5.1.2,GP 5.2.3)。关于工具的管理,见PA20“管理安全工程支持环境”。A.3.2.6 GP 2.1.5确保培训A.3.2.6.1 描述确保执行该过程域的个人在如何执行过程方面得到合适的培训。A.3.2.6.2 注释由于如何执行和管理过程的变化,培训及其实施方式将随过程能力而改变。A.3.2.6.3 关系培训和培训

9、管理的描述见PA21“提供持续发展的技能和知识”。A.3.2.7 GP 2.1.6计划过程A.3.2.7.1 描述计划该过程域的执行。A.3.2.7.2 注释工程化类和项目类过程域的策划可以构成项目计划,而组织类过程域的计划可能是组织级的。A.3.2.7.3 关系项目策划在PA16“计划/规划技术工作”中描述。A.3.3 公共特征2.2规范地执行A.3.3.1 公共特征通用实践A.3.3.1.1 概要描述这个公共特征的通用实践关注的是在过程上投入的总量控制。因此,过程执行计划的使用、过程按照标准和规程的执行以及对过程产生的工作产品的配置管理都要涉及。这些通用实践形成一个验证过程执行的重要基础。

10、A.3.3.1.2 通用实践列表该公共特征由下列通用实践组成:l GP 2.2.1使用计划、标准和规程;l GP 2.2.2实施配置管理。A.3.3.2 GP 2.2.1使用计划、标准和规程。A.3.3.2.1 描述在实施过程域的过程中使用文档化的计划、标准和/或规程。A.3.3.2.2 注释按过程描述执行的过程称为“已描述的过程”。应该在标准、规程和计划中定义过程测量项。A.3.3.2.3 关系与其他通用实践的关系:使用的标准和规程在GP 2.1.3中形成文档,使用的计划在GP 2.1.6中形成文档。这个实践是GP 1.1.1的进化并将演化到GP 3.2.1。A.3.3.3 GP 2.2.2

11、实施配置管理A.3.3.3.1 描述合适时,将过程域的工作产品置于版本控制或配置管理下。A.3.3.3.2 注释无。A.3.3.3.3 关系在过程域PA13“管理配置”中描述了配置管理学科中支持系统工程所需的典型实践。过程域PA13“管理配置”关注的是配置管理的通用实践,这个通用实践关注与正在调查研究的过程域的工作产品有关的这些实践的部署。A.3.4 公共特征2.3验证执行A.3.4.1 公共特征通用实践A.3.4.1.1 概要描述这个公共特征的通用实践关注的是证实过程是否已按预期目标执行。因此验证过程的执行是否符合适用的标准和规程以及工作产品的审核都要涉及。这些通用实践形成跟踪过程执行情况能

12、力的一个重要基础。A.3.4.1.2 通用实践列表该公共特征由下列通用实践组成:l GP 2.3.1验证过程符合性;l GP 2.3.2审核工作产品。A.3.4.2 GP 2.3.1验证过程符合性A.3.4.2.1 描述验证过程是否符合适用的标准和/或规程。A.3.4.2.2 注释无。A.3.4.2.3 关系与其他通用实践的关系:适用的标准和规程在GP 2.1.3中形成文档,在GP 2.2.1中使用。质量管理和/或保障过程在PA12“确保质量”中描述。A.3.4.3 GP 2.3.2审核工作产品A.3.4.3.1 描述验证工作产品是否符合适用的标准和/或要求。A.3.4.3.2 注释无。A.3

13、.4.3.3 关系与其他通用实践的关系:适用的标准和规程在GP 2.1.3中形成文档,在GP 2.2.1中使用。产品要求在过程域PA10“确定安全需要”中得到提出和管理。在PA11“验证和确认安全”中进一步讨论验证和确认。A.3.5 公共特征2.4跟踪执行A.3.5.1 公共特征通用实践A.3.5.1.1 概要描述这个公共特征的通用实践关注的是项目执行进展的控制能力。因此涉及到根据度量计划跟踪过程执行情况,并且当过程的执行严重偏离计划时采取纠正措施。这些通用实践形成具备达到充分定义程的能力的一个重要基础。A.3.5.1.2 通用实践列该公共特征由下列通用实践组成:l GP 2.4.1根据测量跟

14、踪;l GP 2.4.2采取纠正措施。A.3.5.2 GP 2.4.1根据测量跟踪A.3.5.2.1 描述根据实施测量的计划来跟踪过程域的状态,包括时间表、费用或其他项目执行相关事项。A.3.5.2.2 注释建立测量历史是实施基于数据管理的基础,并且由此开始。跟踪测量为生成能力级别3的充分定义数据提供基础。整个项目可使用过程改进测量和信息安全测量。需要计入测量的数据必须是可靠的,列入考虑的过程应是可测量的。只有持续的并可重复的过程才能考虑测量。A.3.5.2.3 关系与其他通用实践的关系:使用测量就意味着已在GP 2.1.3和GP 2.1.6中定义和选择了测量项,并且已在GP 2.2.1中收集

15、了数据。信息安全测量在过程域PA06中描述。项目追踪在过程域PA15“监督和控制技术工作”中描述。A.3.5.3 GP 2.4.2采取纠正措施A.3.5.3.1 描述当进展严重偏离计划时采取纠正措施。A.3.5.3.2 注释进展可能由于估计不准确而变化,执行情况受外部因素影响,或者作为计划基础的要求已改变。纠正措施可能涉及到更改过程和/或计划。A.3.5.3.3 关系与其他通用实践的关系:使用测量就意味着已在GP 2.1.3和GP 2.1.6中定义和选择了测量项,并且已在GP 2.2.1中收集了数据。项目控制在过程域PA15“监督和控制技术工作”中描述。A.4 能力等级3充分定义A.4.1 能力

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 模板/表格

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号