量化维度
S-SDLC了CMM安全实践的量化维度分为三层,频率、覆盖度、执行质量
S-SDLC CMM模型对于安全实践的标准定义的打分量化维度是对模型中安全实践完成程度不同维度的考虑,量化的维度主要考虑如下三大方面:
频率
包含实践本身发生的频率、升级频率、更新频率等。如:“对高管进行安全意识培训”实践下对高管参加培训的频率有客观的量化要求;
覆盖率
覆盖率,指活动发生时覆盖的情况。如:“对技术人员提供安全技能培训”实践下对“安全技能课程覆盖的项目组成员比例”提出了要求,包括开发、测试、产品、项目经理等项目成员参与技能培训的人员占比项目组全部人员的比例。
执行质量
指企业在对实践进行执行的质量如何,一般从活动的角色、职责、流程、输入输出等方面评判。如:“识别可能存在的潜在攻击者”评价质量时,会评价对攻击者的识别是否从不同的角度和侧面进行识别,包括企业外侧和内测、系统的业务侧和数据侧等评价是否识别得完善和系统。
在进行安全能力客观评估时,将严格按照频率、覆盖率、执行质量进行安全实践的客观量化,通过反应安全实践的客观执行情况而反应组织的安全实践具体得分,从而量化得到企业的安全实践客观透视。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!