系统安全工程能力成熟度模型(SSE-CMM)及其应用

内容概要

一个组织或企业从事工程的能力将直接关系到工程的质量。国际上通常采用能力成熟度模型(CMM)来评估一个组织的工程能力。根据统计过程控制理论，所有成功企业都有一个共同特点，即具有一组定义严格、管理完善、可测量的工作过程。CMM模型认为，能力成熟度高的企业持续生产高质量产品的可能性很大，而工程风险则很小。为了将CMM模型引入到系统安全工程领域，有关国际组织共同制定了面向系统安全工程能力的成熟度模型(SSE-CMM)。该模型是在CMM模型的基础上，通过对安全工程进行管理的途径将系统安全工程转变为一个具有良好定义的、成熟的、可测量的先进工程学科9该模型已作为国际际准被推荐使用。    本书着重介绍了SSE-CMM模型的2．0版本及其评估方法。共分十章，分别为：SSE-CMM简介，CMM概念，模型体系结构，SSE-CMM使用，通用实践，基本实践，SSAM简介，评估方法阶段，发起组织指南和评估组织指南。附录中给出了评估规划及其评估过程中所使用的标准化表格。    本书是目前国内首家对该模型进行详细介绍的出版物，适用于从事信息技术安全的公司、企业及其相关管理和技术人员，也适合从事系统安全评估的组织和个人使用。

书籍目录

第1章 SSE-CMM简介  1.1 引言  1.2 使用SSE-CMM的好处  1.3 SSE-CMM项目简介  1.4 与其他工程学科的联系第2章 CMM概念  2.1 过程改进  2.2 预期结果  2.3 消除误解  2.4 关键概念第3章 模型体系结构  3.1 安全工程的基本概念  3.2 安全工程的过程域  3.3 SSE-CMM结构描述第4章 SSE-CMM使用  4.1 模型使用  4.2 过程改进  4.3 能力评估  4.4 信任度评估第5章 通用实践  5.1 能力级别1：非正式执行的过程  5.2 能力级别2：计划和跟踪过程  5.3 能力级别3：良好定义过程  5.4 能力级别4：定量控制过程  5.5 能力级别5：持续改进过程第6章 基本实践  6.1 PA01：监管安全控制    6.1.1 BE01.01：建立安全责任    6.1.2 BE01.02：管理安全配置    6.1.3 BE01.03：管理安全认知.培训和教育程序    6.1.4 BE01.04：管理安全服务与控制机制  6.2 PA02：讦估影响    6.2.1 BE02.01：能力优先级划分    6.2.2 BE02.02：标识系统资产    6.2.3 BE02.03：选择影响度量    6.2.4 BE02.04：标识度量之间的关系    6.2.5 BE02.05：标识和刻画影响    6.2.6 BE02.06：监视影响  6.3 PA03：评估安全风险    6.3.1 BE03.01：选择风险分析方法    6.3.2 BE03.02：暴露识别    6.3.3 BE03.03：评估暴露风险    6.3.4 BE03.04：评估综合不确定性    6.3.5 BE03.05：划分风险优先级    6.3.6 BP.03.06：监视风险及其性质  6.4 PA04：评估威胁    6.4.1 BE04.01：标识自然界威胁    6.4.2 BE04.02：标识人为威胁    6.4.3 BE04.03：标识威胁的测量单位    6.4.4 BE04.04：评估威胁代理能力    6.4.5 BE04.05：评估威胁的可能性    6.4.6 BE04.06：监视威胁及其性质  6.5 PA05：评估脆弱性    6.5.1 BE05.01：选择脆弱性分析方法    6.5.2 BE05.02：标识脆弱性    6.5.3 BP.05.03：收集脆弱性数据    6.5.4 BE05.04：系统脆弱性综合    6.5.5 BE05.05：监视脆弱性及其性质  6.6 PA06：构造信任度论据    6.6.1 BE06.01：标识信任度日标    6.6.2 BE06.02：定义信任度策略    6.6.3 BP.06.03：控制信任度依据    6.6.4 BE06.04：分析信任度证据    6.6.5 BP.06.05：提供信任度论据  6.7 PA07：协调安全    6.7.1 BE07.01：定义协调目标    6.7.2 BP.07.02：标识协调机制    6.7.3 BP.07.03：简化协调    6.7.4 BE07.04：协调安全决定和建议  6.8 PA08：监控安全状况    6.8.1 BE08.01：分析事件记录    6.8.2 BP.08.02.''监控变化    6.8.3 BE08.03：标识安全事件    6.8.4 BP.08.04：监控安全装置    6.8.5 BE08.05：复查安全状态    6.8.6 BP.08.06：管理安全事件的响应    6.8.7 BP.08.07：保护安全监控装置  6.9 PA09：提供安全输入    6.9.1 BP.09.01：理解安全输入需求    6.9.2 BP.09.02：确定安全约束和考虑事项    6.9.3 BE09.03：标识安全可选方案    6.9.4 BP09.04：工程可选方案的安全分析    6.9.5 BE09.05：提供安全工程指导    6.9.6 BE09.06：提供操作安全指导  6.10 PA10：细化安全需求    6.10.1 BE10.01：获得对客户安全需求的理解    6.10.2 BE10.02：标识适用的法律.策略和约束    6.10.3 BE10.03：标识系统安全内容    6.10.4 BE10.04：获得系统操作的安全概况    6.10.5 BE10.05：获得安全高级目标    6.10.6 BE10.06：定义安全相关需求    6.10.7 BE10.07：获得安全需求协议  6.11 PA11:检验和验证安全    6.11.1 BE11.01：标识检验和验证的目标    6.11.2 BE11.02：定义检验和验证方法    6.11.3 BP.11.03：执行检验    6.11.4 BE11.04：执行验证    6.11.5 BE11.05：提供检验和验证结果第7章 SSAM简介  7.1 引言  7.2 评估参加者角色  7.3 评估类型第8章 评估方法阶段  8.1 引言  8.2 计划阶段    8.2.1 范围评估    8.2.2 收集初步证据    8.2.3 计划评估  8.3 准备阶段    8.3.1 准备评估组    8.3.2 管理调查表    8.3.3 强化证据    8.3.4 分析证据／调查表  8.4 现场阶段    8.4.1 举行执行者会议    8.4.2 举行公开会议    8.4.3 会见项目主管    8.4.4 加强和解释来自项目主管的数据    8.4.5 会见从业者    8.4.6 加强来自从业者的数据    8.4.7 分析数据跟踪表    8.4.8 产生初始发现    8.4.9 后续提问和会见    8.4.10 制定等级    8.4.11 产生最终发现    8.4.12 管理评估记录    8.4.13 综合报导  8.5 报告阶段    8.5.1 形成最终报告    8.5.2 报告评估结果    8.5.3 管理评估产品    8.5.4 总结经验教训第9章 发起组织指南……第10章 评估组织指南附录A 评估计划附录B 日程表附录C 评估计划检查表附录D 调查表附录E 数据跟踪表附录F 证据跟踪表附录G 公开的和非公开的简报附录H 请求注释参考文献

图书封面

评论、评分、阅读与下载

---

    系统安全工程能力成熟度模型(SSE-CMM)及其应用 PDF格式下载

---