跳至正文

S-SDLC CMM模型2024更新日志

S-SDLC CMM(软件安全开发能力成熟度模型)v3.0(2024)的新更新已发布。

1. 写在前面

自模型开源以来,已有3 年时间,期间我们通过使用该模型进行数据收集和研究,成功指导非常多的企业的安全能力建设。这里面包括不少中国大陆地区不同行业的头部公司。

我们结合实际的企业建设经验和数据,对模型进行了全面的评估和改进,以确保其能够应对快速变化的技术环境和日益复杂的安全挑战。在这个过程中,S-SDLC CMM模型本身也在进行持续的优化和改进,使其能够是实战和理论研究过程中更好地适应和满足企业在安全开发方面的需求。

2. 更新内容

我们很高兴地宣布 S-SDLC CMM(软件安全开发能力成熟度模型)v3.0(2024)的新更新,内容如下:

1)  新增适用于中国大陆地区企业的 “数据出境安全合规”评估内容

本版本新增了适用于中国大陆地区企业涉及出海业务需要满足的 “数据出境安全合规调理”,该安全实践命名为 “建立数据出境合规安全机制”。 这一新增内容的引入,主要是为了响应中国最新出台的《数据出境安全评估办法》,以及全球日益严格的数据保护法规。具体内容如下:

申报数据出境安全评估
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外 提供重要数据;
(二)关键信息基础设施 运营者和处理 100 万人以 上个人信息的数据处理者 向境外提供个人信息;
(三)自上年 1 月 1 日起 累计向境外提供 10 万人个人信息或者 1 万人敏感个 人信息的数据处理者向境 外提供个人信息;
(四)国家网信部门规定 的其他需要申报数据出境 安全评估的情形。
 
通过个人信息保护认证
个人信息处理者开展个 人信息跨境处理活动,包括以下主体:
(一)跨国公司或者同 一经济、事业实体下属 子公司或关联公司;
(二)《个人信息保护 法》第三条第二款规定 的境外个人信息处理者 (即在中国境外处理中 华人民共和国境内自然 人个人信息以分析、评 估境内自然人的行为的活动)。
 
订立个人信息出境标准合同
个人信息处理者通过订立标准合同 的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满 100 万人的;
(三)自上年 1 月 1 日起累计向境 外提供个人信息不满10万人的;
(四)自上年 1 月 1 日起累计向境 外提供敏感个人信息不满 1 万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分 等手段,将依法应当通过出境安全 评估的个人信息通过订立标准合同 的方式向境外提供。

当我们在讨论中国大陆地区最新出台的《数据出境安全评估办法》的时候,除了关注安全管理本身办法以外,我们还应该关注到全球日益严格的数据保护法规。这些保护法规的出台对企业在安全管理能力建设的起着引领性的作用。在S-SDLC CMM模型中,我们希望我们服务的客户更关注一下4点内容:

  • 需求驱动:随着越来越多的中国企业走向国际市场,跨境数据传输的合规性成为一个重要挑战。为了确保企业在跨境数据处理中的合法合规,我们新增了这一安全机制。
  • 实际问题和挑战:目前,许多企业在数据出境过程中面临复杂的合规要求和严格的审查。新增的 “数据出境合规安全机制” 帮助企业系统性地识别和评估数据出境风险,并制定相应的管理措施。
  • 市场和法规变化:中国政府对数据出境安全的监管日益严格,企业需要符合《数据出境安全评估办法》及其他相关法规。通过新增这一机制,企业能够更好地遵守国内外的数据保护法律法规,避免法律风险。
  • 业务拓展和国际化:对于涉足国际市场的企业来说,数据跨境传输是不可避免的业务需求。新增的安全机制确保企业在开展国际业务时能够合法合规地进行数据传输,提升企业在全球市场中的竞争力和信誉。

2)  更新识别安全需求安全实践立项过程系统分类分级管理要求

我们更新了开发过程触点域中识别安全需求安全子域的评价指标,新的评价指标内容为 :

“在项目立项过程中开展系统分类分级管理,对不同的级别系统建立不同的安全管理措施和手段”

这一更新旨在确保在项目初期即识别和评估系统的安全需求,并根据系统的重要性和风险级别实施相应的安全管理措施。

3)  更新合规性安全子域名称为“建立合适的法律合规遵循机制”

由于我们在该子域中加入了“建立安全法律合规遵循机制”的安全实践活动,解释如下:

这一新增内容导致了整个安全实践活动的范围扩大,故我们对该安全实践进行了名字的更新,以便于更好得展示该安全实践是为了满足企业在真个安全开发能力体系建设的合规性建设中,是有明确的建立了合适的法律合规的安全遵循机制的,包括和法律合规文件的转化安全需求的机制、数据出入境合规管理的能力等。

我们持续不断得关注国家和政府的安全合规关注重点,并尝试将这些安全管理要求引入企业的开发安全管理能力建设中去,不断地支持采用S-SDLC CMM模型进行安全能力建设的企业,为他们在安全开发能力建设中提供了更明确的方向和引导。

3. 后续展望

我们最近关注到了随着包括中国人民银行办公厅等多部委联合下发的《关于规范金融业开源技术应用与发展的意见》(以下简称“意见”)在不同行业的不断落实,关于开源安全管理的国标和行标也将陆续在今年开始通过审定并逐步得到推广,这些国标和行标将是未来开源安全管理建设过程中的重要合规依据。

S-SDLC CMM模型将持续进行关注并转化可行的安全管理能力,持续为企业安全能力建设赋能。

4. 写在最后

S-SDLC CMM 模型是一个开源模型,秉持安全赋能、开源开放、成就大家的原则,愿更多组织和企业参与到安全开发体系能力建设中来。我们相信,通过共同的努力,可以不断提升安全开发的整体水平,推动整个行业的进步和发展。

最后,希望S-SDLC CMM模型在2024年的更新能够帮助企业更好地应对安全挑战,实现更高水平的安全管理。

——————————————————————————————————————————————————

更多信息,请关注我们的官网:http://s-sdlccmm.com/

「S-SDLC CMM安全开发能力成熟度模型 安全面提升软件安全能力引擎」


发表回复