ISACA发布CMMI V2.2，继续聚焦安全与安保

ISACA最新版本的CMMI模型内容描述了全面定义保护组织的整个生态系统（包括人员、资源和信息）所需的安全和安保战略、方法、活动和功能的最佳实践。

CMMI模型中关于安全和安保的内容经过多年开发，形成了新的内容和一个名为管理安全和安保（MSS）的新的能力域（CA），并通过了社区焦点小组和在相关领域具有丰富经验的经认证的CMMI主题专家的审查。

该能力域涉及识别和评估安全和安保需求和限制，排定优先级并规划相关的方法来解决这些需求和限制，应对和预防有害事件和事故，保护和防御安保事故和安全威胁及漏洞。

管理安保和安全（MSS）能力域描述了组织需要的下述能力：

准备：界定组织为解决安全和安保的需求和限制所需的准备和戒备方法。

调查：分析、评估，并从安全或安保事件和事故中学习

监控：持续识别并应对可能对组织或解决方案造成危害的事件和事故

保护和防卫：针对当前和未来对组织或解决方案的潜在有害影响采取步骤和行动，以避免或尽量减少对组织的负面影响

预判和预防：提前分析，以预测和避免由人员、流程或系统造成的有害的内部或外部威胁、活动或漏洞。

审查和评估：确定安全和安保方法的有效性并进行改进

以下是CMMI的新实践域：

赋能安保（ESAF）确定并解决组织环境和解决方案的各方面的安全问题，包括产品、流程、服务或环境，包括促进和管理安保活动。

赋能安全（ESEC）包括执行产生安全解决方案的安全活动。识别安全需求和限制是一项持续的、全天候的活动。它永远不会停止，也不能像进度、成本和质量那样进行事后考虑或者妥协。启用安全包括系统地识别、评估和解决整个项目或组织的安全需求。

管理安全威胁和漏洞（MST）包括为组织、项目或工作解决安全威胁和漏洞的整体和系统方法，旨在根据潜在风险和对业务、任务或解决方案的影响选出最关键和最急需解决的威胁和漏洞。

有关新内容的更多详情，请访问：

CMMI安全:

https://cmmiinstitute.com/cmmi/sec

CMMI安保:

https://cmmiinstitute.com/cmmi/saf

文章源于网络，如有侵权或者不当，请告知删除

下一篇：CMMI安全

CMMI认证中文网