系統(tǒng)安全工程能力成熟度模型（SSE-CMM）及其應(yīng)用

定　價(jià)：￥18.00

作　者：	SSE-CMM項(xiàng)目組編寫；蔡皖東等編譯
出版社：	西安電子科技大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	CMM(軟件能力成熟度模型)

購買這本書可以去

ISBN：	9787560613833	出版時(shí)間：	2004-06-01	包裝：	平裝
開本：	26cm	頁數(shù)：	173	字?jǐn)?shù)：

內(nèi)容簡介

　　內(nèi)容簡介一個(gè)組織或企業(yè)從事工程的能力將直接關(guān)系到工程的質(zhì)量。國際上通常采用能力成熟度模型（CMM）來評估一個(gè)組織的工程能力。根據(jù)統(tǒng)計(jì)過程控制理論，所有成功企業(yè)都有一個(gè)共同特點(diǎn)，即具有一組定義嚴(yán)格、管理完善、可測量的工作過程。CMM模型認(rèn)為，能力成熟度高的企業(yè)持續(xù)生產(chǎn)高質(zhì)量產(chǎn)品的可能性很大，而工程風(fēng)險(xiǎn)則很小。為了將CMM模型引入到系統(tǒng)安全工程領(lǐng)域，有關(guān)國際組織共同制定了面向系統(tǒng)安全工程能力的成熟度模型（SSE-CMM）。該模型是在CMM模型的基礎(chǔ)上，通過對安全工程進(jìn)行管理的途徑將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)具有良好定義的、成熟的、可測量的先進(jìn)工程學(xué)科9該模型已作為國際際準(zhǔn)被推薦使用。本書著重介紹了SSE-CMM模型的2．版本及其評估方法。共分十章，分別為：SSE-CMM簡介，CMM概念，模型體系結(jié)構(gòu)，SSE-CMM使用，通用實(shí)踐，基本實(shí)踐，SSAM簡介，評估方法階段，發(fā)起組織指南和評估組織指南。附錄中給出了評估規(guī)劃及其評估過程中所使用的標(biāo)準(zhǔn)化表格。本書是目前國內(nèi)首家對該模型進(jìn)行詳細(xì)介紹的出版物，適用于從事信息技術(shù)安全的公司、企業(yè)及其相關(guān)管理和技術(shù)人員，也適合從事系統(tǒng)安全評估的組織和個(gè)人使用。編譯者序一個(gè)組織或企業(yè)從事工程的能力將直接關(guān)系到工程的質(zhì)量。國際上通常采用能力成熟度模型（CMM，CapabilityMaturityModel）來評估一個(gè)組織的工程能力。CMM模型是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的。統(tǒng)計(jì)過程控制理論指出，所有成功企業(yè)都有共同特點(diǎn)，即具有一組定義嚴(yán)格、管理完善、可測量的工作過程。CMM模型認(rèn)為，能力成熟度高的企業(yè)持續(xù)生產(chǎn)高質(zhì)量產(chǎn)品的可能性很大，而工程風(fēng)險(xiǎn)則很小。為了將CMM模型引入到系統(tǒng)安全工程領(lǐng)域，1994年4月，美國國家安全局、美國國防部、加拿大通信安全局以及6多家著名公司共同啟動了面向系統(tǒng)安全工程的能力成熟度模型（SSE-CMM，SystemsSecurityEngineeringCapabilityMaturityModel）項(xiàng)目。該項(xiàng)目的目的是在CMM模型的基礎(chǔ)上，通過對安全工程進(jìn)行管理的途徑將系統(tǒng)安全工程轉(zhuǎn)化為一個(gè)具有良好定義的，成熟的、可測量的先進(jìn)工程學(xué)科。1996年1月，SSE-CMM1．問世，SSE-CMM項(xiàng)目主管單位選擇了5家公司對該模型進(jìn)行長達(dá)一年的試用，根據(jù)試用中積累的經(jīng)驗(yàn)對模型進(jìn)行了多次修改，于1998年1月公布了SSE-CMM2．版本，并提交給國際標(biāo)準(zhǔn)化組織申報(bào)國際標(biāo)準(zhǔn)。SSE-CMM模型將各種系統(tǒng)安全工程任務(wù)抽象為11個(gè)有明顯特征的子任務(wù)，而完成一個(gè)子任務(wù)所需要實(shí)施的一組工程實(shí)踐稱為一個(gè)過程域（ProcessArea）。SSE-CMM模型為每個(gè)過程域定義了一組確定的基本實(shí)踐（BasicPractice），并規(guī)定每一個(gè)基本實(shí)踐對于完成該任務(wù)都是不可缺少的。一個(gè)組織每次執(zhí)行同一個(gè)過程時(shí)，其執(zhí)行結(jié)果的質(zhì)量可能是不同的。SSE-CMM模型將這個(gè)變化范圍定義為一個(gè)組織的過程能力。對于“成熟”的組織，每次執(zhí)行同一任務(wù)的結(jié)果質(zhì)量變化范圍比“不成熟”的組織要小。為了衡量一個(gè)組織的能力成熟度，其過程完成的質(zhì)量必須是可度量的。為此，SSE-CMM模型定義了5個(gè)過程能力級別，每個(gè)級別用一組共同特性（CommonFeature）來標(biāo)識，每個(gè)共同特性則用一組通用實(shí)踐（GenericPractice）來描述。這里的組織是指執(zhí)行過程或接受過程能力評估的一個(gè)組織機(jī)構(gòu)，它們可以是一個(gè)企業(yè)、企業(yè)的一個(gè)部門或者是一個(gè)項(xiàng)目組。系統(tǒng)安全工程的目的是通過分析企業(yè)存在的安全風(fēng)險(xiǎn)，建立與之相平衡的安全需求，并將安全需求貫穿于系統(tǒng)安全工程活動的整個(gè)生命周期。系統(tǒng)安全工程包括概念定義，需求分析，系統(tǒng)設(shè)計(jì)、開發(fā)、集成、安裝、操作、維護(hù)以及退役。另外還涉及到眾多的安全問題，如計(jì)算機(jī)安全、網(wǎng)絡(luò)安全、通信安全、信息安全、操作安全、管理安全、物理安全、輻射安全和人員安全等。系統(tǒng)安全工程還需要證實(shí)安全機(jī)制的正確性和有效性，證明系統(tǒng)安全的信任度能夠達(dá)到用戶的要求，或者系統(tǒng)遺留的安全脆弱性和風(fēng)險(xiǎn)在用戶所容許的范圍內(nèi)。

作者簡介

暫缺《系統(tǒng)安全工程能力成熟度模型（SSE-CMM）及其應(yīng)用》作者簡介

圖書目錄

第1章 SSE-CMM簡介
1. 1 引言
1. 2 使用SSE-CMM的好處
1. 3 SSE-CMM項(xiàng)目簡介
1. 4 與其他工程學(xué)科的聯(lián)系
第2章 CMM概念
2. 1 過程改進(jìn)
2. 2 預(yù)期結(jié)果
2. 3 消除誤解
2. 4 關(guān)鍵概念
第3章模型體系結(jié)構(gòu)
3. 1 安全工程的基本概念
3. 2 安全工程的過程域
3. 3 SSE-CMM結(jié)構(gòu)描述
第4章 SSE-CMM使用
4. 1 模型使用
4. 2 過程改進(jìn)
4. 3 能力評估
4. 4 信任度評估
第5章通用實(shí)踐
5. 1 能力級別1：非正式執(zhí)行的過程
5. 2 能力級別2：計(jì)劃和跟蹤過程
5. 3 能力級別3：良好定義過程
5. 4 能力級別4：定量控制過程
5. 5 能力級別5：持續(xù)改進(jìn)過程
第6章基本實(shí)踐
6. 1 PA01：監(jiān)管安全控制
6. 1. 1 BE01. 01：建立安全責(zé)任
6. 1. 2 BE01. 02：管理安全配置
6. 1. 3 BE01. 03：管理安全認(rèn)知. 培訓(xùn)和教育程序
6. 1. 4 BE01. 04：管理安全服務(wù)與控制機(jī)制
6. 2 PA02：訐估影響
6. 2. 1 BE02. 01：能力優(yōu)先級劃分
6. 2. 2 BE02. 02：標(biāo)識系統(tǒng)資產(chǎn)
6. 2. 3 BE02. 03：選擇影響度量
6. 2. 4 BE02. 04：標(biāo)識度量之間的關(guān)系
6. 2. 5 BE02. 05：標(biāo)識和刻畫影響
6. 2. 6 BE02. 06：監(jiān)視影響
6. 3 PA03：評估安全風(fēng)險(xiǎn)
6. 3. 1 BE03. 01：選擇風(fēng)險(xiǎn)分析方法
6. 3. 2 BE03. 02：暴露識別
6. 3. 3 BE03. 03：評估暴露風(fēng)險(xiǎn)
6. 3. 4 BE03. 04：評估綜合不確定性
6. 3. 5 BE03. 05：劃分風(fēng)險(xiǎn)優(yōu)先級
6. 3. 6 BP. 03. 06：監(jiān)視風(fēng)險(xiǎn)及其性質(zhì)
6. 4 PA04：評估威脅
6. 4. 1 BE04. 01：標(biāo)識自然界威脅
6. 4. 2 BE04. 02：標(biāo)識人為威脅
6. 4. 3 BE04. 03：標(biāo)識威脅的測量單位
6. 4. 4 BE04. 04：評估威脅代理能力
6. 4. 5 BE04. 05：評估威脅的可能性
6. 4. 6 BE04. 06：監(jiān)視威脅及其性質(zhì)
6. 5 PA05：評估脆弱性
6. 5. 1 BE05. 01：選擇脆弱性分析方法
6. 5. 2 BE05. 02：標(biāo)識脆弱性
6. 5. 3 BP. 05. 03：收集脆弱性數(shù)據(jù)
6. 5. 4 BE05. 04：系統(tǒng)脆弱性綜合
6. 5. 5 BE05. 05：監(jiān)視脆弱性及其性質(zhì)
6. 6 PA06：構(gòu)造信任度論據(jù)
6. 6. 1 BE06. 01：標(biāo)識信任度日標(biāo)
6. 6. 2 BE06. 02：定義信任度策略
6. 6. 3 BP. 06. 03：控制信任度依據(jù)
6. 6. 4 BE06. 04：分析信任度證據(jù)
6. 6. 5 BP. 06. 05：提供信任度論據(jù)
6. 7 PA07：協(xié)調(diào)安全
6. 7. 1 BE07. 01：定義協(xié)調(diào)目標(biāo)
6. 7. 2 BP. 07. 02：標(biāo)識協(xié)調(diào)機(jī)制
6. 7. 3 BP. 07. 03：簡化協(xié)調(diào)
6. 7. 4 BE07. 04：協(xié)調(diào)安全決定和建議
6. 8 PA08：監(jiān)控安全狀況
6. 8. 1 BE08. 01：分析事件記錄
6. 8. 2 BP. 08. 02. ''監(jiān)控變化
6. 8. 3 BE08. 03：標(biāo)識安全事件
6. 8. 4 BP. 08. 04：監(jiān)控安全裝置
6. 8. 5 BE08. 05：復(fù)查安全狀態(tài)
6. 8. 6 BP. 08. 06：管理安全事件的響應(yīng)
6. 8. 7 BP. 08. 07：保護(hù)安全監(jiān)控裝置
6. 9 PA09：提供安全輸入
6. 9. 1 BP. 09. 01：理解安全輸入需求
6. 9. 2 BP. 09. 02：確定安全約束和考慮事項(xiàng)
6. 9. 3 BE09. 03：標(biāo)識安全可選方案
6. 9. 4 BP09. 04：工程可選方案的安全分析
6. 9. 5 BE09. 05：提供安全工程指導(dǎo)
6. 9. 6 BE09. 06：提供操作安全指導(dǎo)
6. 10 PA10：細(xì)化安全需求
6. 10. 1 BE10. 01：獲得對客戶安全需求的理解
6. 10. 2 BE10. 02：標(biāo)識適用的法律. 策略和約束
6. 10. 3 BE10. 03：標(biāo)識系統(tǒng)安全內(nèi)容
6. 10. 4 BE10. 04：獲得系統(tǒng)操作的安全概況
6. 10. 5 BE10. 05：獲得安全高級目標(biāo)
6. 10. 6 BE10. 06：定義安全相關(guān)需求
6. 10. 7 BE10. 07：獲得安全需求協(xié)議
6. 11 PA11:檢驗(yàn)和驗(yàn)證安全
6. 11. 1 BE11. 01：標(biāo)識檢驗(yàn)和驗(yàn)證的目標(biāo)
6. 11. 2 BE11. 02：定義檢驗(yàn)和驗(yàn)證方法
6. 11. 3 BP. 11. 03：執(zhí)行檢驗(yàn)
6. 11. 4 BE11. 04：執(zhí)行驗(yàn)證
6. 11. 5 BE11. 05：提供檢驗(yàn)和驗(yàn)證結(jié)果
第7章 SSAM簡介
7. 1 引言
7. 2 評估參加者角色
7. 3 評估類型
第8章評估方法階段
8. 1 引言
8. 2 計(jì)劃階段
8. 2. 1 范圍評估
8. 2. 2 收集初步證據(jù)
8. 2. 3 計(jì)劃評估
8. 3 準(zhǔn)備階段
8. 3. 1 準(zhǔn)備評估組
8. 3. 2 管理調(diào)查表
8. 3. 3 強(qiáng)化證據(jù)
8. 3. 4 分析證據(jù)／調(diào)查表
8. 4 現(xiàn)場階段
8. 4. 1 舉行執(zhí)行者會議
8. 4. 2 舉行公開會議
8. 4. 3 會見項(xiàng)目主管
8. 4. 4 加強(qiáng)和解釋來自項(xiàng)目主管的數(shù)據(jù)
8. 4. 5 會見從業(yè)者
8. 4. 6 加強(qiáng)來自從業(yè)者的數(shù)據(jù)
8. 4. 7 分析數(shù)據(jù)跟蹤表
8. 4. 8 產(chǎn)生初始發(fā)現(xiàn)
8. 4. 9 后續(xù)提問和會見
8. 4. 10 制定等級
8. 4. 11 產(chǎn)生最終發(fā)現(xiàn)
8. 4. 12 管理評估記錄
8. 4. 13 綜合報(bào)導(dǎo)
8. 5 報(bào)告階段
8. 5. 1 形成最終報(bào)告
8. 5. 2 報(bào)告評估結(jié)果
8. 5. 3 管理評估產(chǎn)品
8. 5. 4 總結(jié)經(jīng)驗(yàn)教訓(xùn)
第9章發(fā)起組織指南
9. 1 引言
9. 2 建立評估目標(biāo)
9. 3 選擇評估組織
9. 4 合適參數(shù)
第10章評估組織指南
10. 1 引言
10. 2 計(jì)劃階段指南
10. 2. 1 定義評估范圍
10. 2. 2 規(guī)劃評估細(xì)節(jié)
10. 2. 3 選擇評估組成員
10. 3 準(zhǔn)備階段指南
10. 3. 1 選擇問卷調(diào)查接受者
10. 3. 2 分析調(diào)查表
10. 3. 3 探究性問題
10. 3. 4 證據(jù)類型
10. 3. 5 收集證據(jù)
10. 3. 6 分析證據(jù)
10. 3. 7 處理證據(jù)
10. 4 現(xiàn)場階段指南
10. 4. 1 舉行會議
10. 4. 2 管理評估記錄
10. 4. 3 舉行綜合報(bào)道會議
10. 4. 4 產(chǎn)生等級報(bào)告
10. 4. 5 等級表達(dá)格式
10. 4. 6 產(chǎn)生發(fā)現(xiàn)
10. 5 報(bào)告階段指南
10. 5. 1 評估報(bào)告
10. 5. 2 管理人工產(chǎn)品
10. 5. 3 利用經(jīng)驗(yàn)教訓(xùn)
附錄A 評估計(jì)劃
A. 1 介紹
A. 2 評估信息
A. 3 評估應(yīng)用
A. 4 評估參與者
A. 5 被評估組織
A. 6 項(xiàng)目
A. 7 日程表
A. 8 資源要求
A. 9 信息處理
A. 10 其他
附錄B 日程表
B. 1 準(zhǔn)備階段
B. 2 現(xiàn)場階段
附錄C 評估計(jì)劃檢查表
附錄D 調(diào)查表
D. 1 PA01：監(jiān)管安全控制
D. 2 PA02：評估影響
D. 3 PA03：評估安全風(fēng)險(xiǎn)
D. 4 PA04：評估威脅
D. 5 PA05：評估脆弱性
D. 6 PA06：構(gòu)造信任度論據(jù)
D. 7 PA07：協(xié)調(diào)安全
D. 8 PA08：監(jiān)控安全狀況
D. 9 PA09：提供安全輸入
D. 10 PA10：細(xì)化安全需求
D. 11 PA11：檢驗(yàn)和驗(yàn)證安全性
D. 12 PA12：確保質(zhì)量
D. 13 PA13：管理配置
D. 14 PA14：管理項(xiàng)目風(fēng)險(xiǎn)
D. 15 PA15：監(jiān)視和控制技術(shù)工作
D. 16 PA16：計(jì)劃技術(shù)工作
D. 17 PA17：定義組織系統(tǒng)工程過程
D. 18 PA18：改進(jìn)組織系統(tǒng)工程過程
D. 19 PA19：管理生產(chǎn)線升級
D. 20 PA20：管理系統(tǒng)工程支持環(huán)境
D. 21 PA21：提供當(dāng)前技能和知識
D. 22 PA22：與其他提供者協(xié)調(diào)
附錄E 數(shù)據(jù)跟蹤表
附錄F 證據(jù)跟蹤表
附錄G 公開的和非公開的簡報(bào)
附錄H 請求注釋
參考文獻(xiàn)