企業信息安全模型（成熟度模型）

0x00 背景 

     對於今天高度依賴信息競爭力的企業來說，信息安全的重要性已經無需多言但是，隨着信息安全市場技術創新的不斷加速，新的威脅、技術和方法不斷湧現，信息安全人才和專業服務相對匱乏，這些都爲企業的信息安全策略制定帶來了困惑。

     信息安全成熟度模型能夠幫助企業快速找到信息安全短板並制定有針對性的策略，加速將信息安全融入企業文化，提升企業“安全競爭力”。

0x01 CMMI V2.0 模型

   爲了應對不斷變化的全球化商業格局的挑戰，CMMI DEV V2.0將通過標杆對比幫助企業建立並提高關鍵能力以提高企業績效。它是一套經過驗證的全球最佳實踐，旨在優化不斷變化的全球環境中的業務性能，幫助組織建立解決最常見業務挑戰的關鍵能力並設定相應基準，包括：設計和開發產品

1. 提高性能
2. 交付和管理服務
3. 維持習慣性和持久性
4. 管理業務彈性
5. 規劃和管理工作
6. 選擇和管理供應商
7. 確保質量
8. 管理員工
9. 支持實施

CMMI V2.0 關鍵改進

1. 改進業務性能：業務目標直接與運營相關聯，以便在時間、質量、預算、客戶滿意度和其他關鍵驅動因素方面實現可度量的性能提升。

2. 利用當前的最佳實踐：CMMI V2.0 是經驗證最佳實踐的可信來源，將不斷更新以反映新在線平臺上不斷變化的業務需求。

3. 構建敏捷彈性和規模：直接指導如何增強使用 Scrum 的敏捷項目的過程，並注重性能。

4. 提高基準評估的價值 新的績效導向評估方法提高了基準評估的可靠性和一致性，同時縮短了準備時間和生命週期成本。

5. 加速採用  通過在線訪問和應用指南，比以往更加容易獲得 CMMI 的優勢。

相關文檔：鏈接：https://pan.baidu.com/s/1264cAjIfnYLJzCYtCz-smg 提取碼：mkqf

0x02  信息安全能力成熟度模型(IS-CMM)的建構

    在能力成熟度模型(CMM)的基礎上提出“信息安全能力成熟度模型”(IS－CMM)這一構想，並着重探討了IS－CMM各級中的核心
流程域KPAs的構建。IS-CMM ( 將信息安全流程實施的全部生命週期 不同於信 息安全開發中的生命週期)分爲4 個相對獨立的階段：預防 (Prevention)；監測(Monitoring)；修正(Amendment) ；更新 (Revision) 。一個或數個機構的信息安全流程環境被定義爲總體信息安全流程(TotalInformation Security Processes，簡稱TISP)，內容包括

1. 數據流程安全（電子數據安全、印刷數據安全等）
2. 系統流程安全（項目、工程、流程、硬件，軟件，數據等)；
3. 人力流程安全(安全意識、員工培訓等) 
4. 機構流程安全 （管理、機構，文化等）

1. 第一階段爲預防，包括信息安全資產評 估、安全需求細分、風險分析、安全計劃與預防實施等。
2. 第二階段爲監測，着眼於安全脆弱性、安全災難、操作失誤 等的監控跟蹤。
3. 第三是修正階段，針對第二階段發現的問 題進行更正，解決錯誤。
4. 更新階段，將涉及的部分 或整體安全流程模塊進行重新界定，重整和升級。

在IS-CMM中，機構的信息安全流程成熟度從低到高有 5個能力等級：

• 第一級：無控制級 ； (Uncontrolled Level)
• 第二級：控制級 ； (Controlled Level)
• 第三級：定義級 ； (Defined Level)
• 第四級：定量級 ； (Quantified Level)
• 第五級：預防級 。

相關文檔：鏈接：https://pan.baidu.com/s/17paabkT3faI8T34Ut5LQHw 提取碼：sm66

0x03 OWASP SAMM(軟件保證成熟度模型）

     軟件保證成熟度模型（SAMM） 是一個開放的框架，用以幫助組織制定並實施針對組織所面臨來自軟件安全的特定風險的策略。由SAMM提供的資源可作用於以下方面：
✦評估一個組織已有的軟件安全實踐；
✦建立一個迭代的權衡的軟件安全保證計劃；
✦證明安全保證計劃帶來的實質性改善；
✦定義並衡量組織中與安全相關的措施。

      在最高等級上， SAMM設置了四種關鍵業務功能。 每種業務功能（在下文中列出）是一組軟件開發過程中具體細節的相關措施；換句話說，任何涉及了軟件開發的組織，必須在一定程度上實現每一個業務功能。

    對於每一個業務功能， SAMM設置了三個安全措施。 每個安全措施（在下頁中列出）是一個與安全相關的措施的領域，以爲相關業務功能建立保證。 所以，從總體來說， 這十二個安全措施都是改進軟件開發業務功能的獨立部分。

     對於每一個安全實踐， SAMM設置了三個成熟度等級作爲目標。 安全實踐中的每個等級， 通過設置特定的活動和比先前等級更加嚴格的成功指標， 設定了一個更加複雜的目標。此外，每個安全實踐可被獨立改善， 雖然相關的措施可導致優化。

相關文檔：鏈接：https://pan.baidu.com/s/1zwZpxT58hhE9lLjhc4RLRw 提取碼：09bg 
 

0X04 微軟SDL （安全開發生命週期）

      Microsoft SDL在開發過程的所有階段都引入了安全性和隱私注意事項，從而幫助開發人員構建高度安全的軟件，解決安全合規性要求並降低開發成本。Microsoft SDL中的指南，最佳實踐，工具和過程是我們在內部使用以構建更安全的產品和服務的實踐。自2008年首次共享以來，在新場景（例如雲，物聯網（IoT）和人工智能（AI））方面的不斷積累的經驗，我們對實踐進行了更新。

相關文檔：鏈接：https://pan.baidu.com/s/1NvbzczMSsEVbEjUooLiCJw 提取碼：zyj5 
 

0x05 數據安全能力成熟度模型

     國標信息安全技術  數據安全能力成熟度模型 GB_T 37988-2019提出組織數據安全能力的成熟度模型架構,規定了數據採集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷燬安全、通用安全的成熟度等級要求。

     從數據安全過程的維度，進行劃分等級，主要是5個等級：1級：非正式執行；2級：計劃跟蹤；3級：充分定義；4級：量化控制；5級：持續優化。

    由於各組織機構在業務規模、業務對數據的依賴性以及組織機構對數據安全工作定位等方向的差異,組織機構對模型的使用應“因地制宜”。

     使用模型時,組織機構應首先明確其數據安全能力的目標成熟度等級。 根據對組織機構整體的數據安全能力成熟度等級的定義,見5.3,組織機構可以選擇適合自己業務實際情況的數據安全能力成熟度等級目標。 本標準定義的數據安全能力成熟度等級中,3級目標適用於所有具備數據安全保障需求的組織機構作爲自己的短期目標/長期目標,具備了3級的數據安全能力則意味着組織機構能夠針對數據安全的各方面風險進行有效的控制。

     然而,對於業務中尚未大量依賴於大數據技術的組織機構而言,數據仍然傾向於在固有的業務環節中流動,其數據安全保障的需求整體弱於強依賴於大數據技術的組織機構,因此其短期目標可先定位爲2級,待達到2級的目標之後再進一步提升到3級的能力。

     在確定目標成熟度等級的前提下,組織機構根據數據生存週期所覆蓋的業務場景挑選適用於組織機構的數據安全 PA。 例如組織機構 A 不存在數據交換的情況,因此數據交換的 PA 就可以從評估範圍中剔除掉。

       最後,組織機構基於對成熟度模型內容的理解,識別數據安全能力現狀並分析與目標能力等級之間的差異,在此基礎上進行數據安全能力的整改提升計劃。 而伴隨着組織機構業務的發展變化,組織機構也需要定期複覈、明確自己的目標成熟度等級,然後開始新一輪目標達成的工作。
相關文檔：鏈接：https://pan.baidu.com/s/1FcJ0bP8e6l4MYJk7gfgCzA 提取碼：lrby 

0x06  構建安全成熟度模型 (BSIMM)

 構建安全成熟度模型 (BSIMM) 是一種數據驅動的模型，採用一套面對面訪談技術開展 BSIMM 評估，唯一目標就是觀察和報告。企業通過參與 BSIMM 的評估，不僅可以更加具體的瞭解自身 SSI 的執行情況，還可以從行業視角明確所處的具體位置。

     BISMM 模型，是一把衡量企業在軟件開發階段構建軟件安全能力的標尺。BSIMM 軟件安全框架（SSF）包含四個領域 — 治理、 情報、 SSDL 觸點和部署。反過來，這四個領域又包括 12 個實踐模塊，這 12 個實踐模塊中又包含 119 項 BSIMM 活動。

相關文檔：鏈接：https://pan.baidu.com/s/1u2d5l9Co_8A3Vx875okuAg 提取碼：hfb4

0x07 其他安全模型

著名安全博客KrebsonSecurity推薦了兩個企業信息安全成熟度模型並進行了點評如下

1. Enterprise Strategy Group信息安全成熟度模型

ESG將企業信息安全成熟度劃分爲基礎、進階和高級三大類，同時爲企業首席信息安全官給出了安全規劃和策略路徑。值得注意的是，ESG認爲數據泄露等安全事故也有着積極的意義，通常重大數據泄露事故會刺激企業的信息安全成熟度提升到下一個階段。

2. Blue Lava的信息安全成熟度模型

Blue lava將企業信息安全成熟度劃分爲“防禦與處理”、“合規驅動”和“基於風險的安全方法”三大類和五個階段：

第一階段：信息安全流程缺乏組織，或者非結構化，個體的成功經驗無法複製和重現，也無法擴展推廣，主要原因是流程缺乏定義和文檔。

第二階段：信息安全進入可重現階段，一些基本的項目管理技術成型並可重用，這基於信息安全流程已經定義、建立並文檔化。

第三階段：信息安全工作的重點是文檔化、標準化和維護運營支持。

第四階段：企業通過數據採集和分析來監控和管控自身的信息安全流程。

第五階段：這是一個迭代階段，企業通過對現有流程和新流程的監控和反饋來持續改進信息安全流程。

Blue Lava信息安全成熟度模型的優點是可以爲所有的企業定製使用，企業可以將每個業務部門建立自己的成熟度積分體系，例如下圖中的SDLC（安全開發生命週期）和PMO（項目管理部），圖中紅色塊是企業業務部門最迫切需要提升的安全短板。

 

歡迎大家分享更好的思路，熱切期待^^_^^ !