能力成熟度级别
S-SDLC定义了5个成熟度级别以表示S-SDLC评估子域和组织能力成熟度
1级: 基本执行
在这一级别,S-SDLC 子域内少部分的安全实践通常会被执行。但实践的执行可能未经严格的计划和跟踪,而是基于个人的知识和努力。同时,该安全能力并未完全内化到组织内。
特征:随机、被动的安全开发过程
2级: 计划跟踪
在这一级别,S-SDLC 子域内的安全实践的执行是经计划并被跟踪的。同时,组织通过对安全实践进行测量来跟踪执行情况并保持对安全活动进行管理。
特征:主动、非正式的安全开发过程
3级: 充分定义
在这一级别,S-SDLC 子域内的安全实践按照充分定义的过程执行。充分定义是指软件安全开发流程实践是有标准化、文档化的管理流程或经过裁剪并得到批准的一部分。这一过程与第 2 级(计划跟踪级)的主要区别在于安全实践的管理过程是组织级标准化的、文档化的。
特征:正式的规范的安全开发过程
4级: 量化管理
在这一级别,S-SDLC 子域内的安全实践经过组织级的收集、分析和执行详细的测量活动,这将使组织获得对软件安全开发流程的量化理解和预测后续的执行情况的能力。这个级别执行的管理是客观的,安全管理的质量是量化的。这一级与第 3 级(充分定义级)的主要区别在于对安全实践管理的定量理解和控制。
特征:可量化控制的安全开发过程
5级: 持续优化和行业输出
在这一级别,S-SDLC 子域内的安全实践会基于组织的长久的业务目标建立一个针对过程的有效性和执行效率的量化目标,并围绕这一目标进行持续改进。这一级与第 4 级(量化管理级)的主要区别在于组织存在持续的优化过程。同时,由于安全管理过程是持续优化的,组织会实时向行业输出安全实践和安全能力,建立并形成组织对行业辐射和对外的影响力。
特征:安全过程可持续优化,建立业界标杆
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
