CMMI 2.0 安全和安保

去年3月，CMMI研究院发布了CMMI2.2，其中最重要的内容是推出了安全（Safety）和安保（Security）的内容，我曾第一时间发文介绍。

近年来，物联网等应用逐步渗透到大众生活的各个领域，安全和安保问题被推到了风口浪尖，成了软件组织必须解决的问题，能否处理好这个挑战直接影响到企业的生存和发展。

近日ISACA的CMMI团队宣布将于2022年第四季度开始接受安全和安保的评估，也就是说在做CMMI开发评估时可以同时包括安全和安保的内容，安全和安保的授权培训也会很快全面推开。这对众多中国CMMI组织来说，是一件雪中送炭的大好事，CMMI2.0中的安全和安保内容可以指导我们将相关有价值的优秀实践融入到研发体系中，帮助我们建立、完善可信的研发过程，提升开发出可信产品的能力。

有朋友留言希望能再具体介绍一下CMMI中的安全和安保内容，周末抽空对分散在模型中的相关内容做了个系统梳理，形成文字，和大家分享。

CMMI2.0中安全和安保一共包含了三部分内容：1）管理安全和安保（Managing Safety and Security）能力域中的三个实践域：Enabling Safety（ESAF）- 实现安全、Enabling Security（ESEC）-实现安保、Managing Security Threats & Vulnerabilities（MST）- 管理安保威胁和漏洞；2）其它实践域中（如配置管理，计划等）关于Safety和Security的特定背景（Context Specific）内容；3）专属安全和安保的术语。

CMMI 2.0中的安全（Safety）内容

1. 实践域：ESAF （Enabling Safety – 实现安全）

ESAF的主要目的和价值就是在一定约束条件下将安全危害和隐患控制在可接受的范围，它通过三个级别的8条实践，给出了实现目的循序渐进的路径：

1.一级有两条实践：识别、记录、处理重要的安全危害和隐患。

2.二级有三条实践：不断识别、更新关键安全需求、约束条件，以及安全目标；形成一套有效做法分别处理工作环境相关的安全问题以及解决方案中功能安全问题。

3.三级的三条实践则聚焦组织层面对安全问题的有效管控：建立并部署组织管理安全的能力；定期评估安全措施的有效性，必要时采取整改措施；建立、维护、执行组织的安全管控策略。

让ESAF有效落地，我们必须避免早期一些CMMI组织走的弯路：将各个PA割裂，按PA建立过程体系，导致和实际场景脱节。ESAF不能作为一个单独的附加过程体出现，其实践应该根据需要自然融入到产品、过程、环境、解决方案中，使其贯穿整个研发周期，同时成为改进、支持活动的重要考虑因素之一。

实现绝对安全既不现实，也不可能，关键是找到平衡点：一方面要考虑操作的易用有效和管控安全隐患的投入成本，一方面要将安全问题的后果控制在可以容忍的范围内。这8条实践可以帮助关注安全的组织和项目团队平衡好这两个方面，聚焦关键安全需求，不断改进安全意识、过程、支持体系，远离各种重大安全事故。

2. 关于安全的特定背景内容（Context Specific - Safety）

CMMI模型中关于安全的一个重要内容是其它实践域中相关的特定背景（Context Specific）内容，这部分内容可以帮助我们将安全考虑融入到其它的实践中。几乎所有CMMI的核心实践域都和Safety有关联，而且大部分的关系是不言自明的，需要做专门说明的也就是模型中安全的特定背景内容。

我数了下，下列13个实践域或其中一些实践包含了Safety的特定背景描述：CM（配置管理），GOV（治理），II（实施基础条件），MPM（管理性能与度量），OT（组织培训），PLAN（计划），PAD（过程资产开发），PQA（过程质量保证），RDM（需求开发和管理），RSK（风险和机会管理），SAM（供应商合同管理），TS（技术解决方案），VV（验证和确认）。大家在学习、使用模型中Safety的内容时，需要掌握、理解如何将安全自然融入到组织的过程体系中。

3. Safety相关的重要术语

关于Safety的专属术语不多，其中最重要的当属安全类别。CMMI 2.0参考业界实践，给出了下列两种安全类别：

-工作环境安全

-功能安全

工作环境安全比较容易理解，业界有许多相关行业标准。而功能安全则和解决方案密切相关，关键安全等级软件开发中的许多要求都属于功能安全的范围。

CMMI 2.0中的安保（Security）内容

1. 实践域：

CMMI 2.0中有两个安保实践域：ESEC （Enabling Security – 实现安保）和MST（Managing Security Threats and Vulnerabilities - 管理安保威胁和漏洞）。

ESEC （Enabling Security – 实现安保）

ESEC的主要目的和价值是建立和维护安保方法，通过预测、识别、并采取行动规避和缓解安保问题对组织或解决方案的负面影响，降低安保威胁和漏洞对业务的影响。识别安保问题是24/7的工作，不能拿来权衡交易，它需要有专门的团队管控组织和项目的安保问题。

安保需求来自三个方面：

- 物理环境安保需求

- 使命、人员、过程安保需求

- 网络、技术、和相关信息安保需求

ESEC通过三个级别的9条实践，给出了实现其目的循序渐进的路径：

1. 一级有2条实践：识别、记录、处理高优先级的安保需求和问题。

2. 二级有4条实践：不断识别、更新安保需求，在此基础上建立处理安保问题的方式及目标；维护、执行建立的有效做法分别处理物理环境安保需求；使命、人员、过程安保需求；网络、技术、和相关信息安保需求。

3. 三级的3条实践则聚焦组织层面对安保问题的有效管控：建立并部署组织的安保运作能力；建立、维护、遵守、执行组织的安保策略、方法、架构；定期在组织范围内进行安保评估，根据结果作必要的整改。

ESEC中的安保主要覆盖三个方面，即所谓的CIA三要素。这里C指的是Confidentiality，I指的是Integrity，A指的是Availability，强调保证敏感信息的私密、不被破坏、可用。

MST（Managing Security Threats and Vulnerabilities - 管理安保威胁和漏洞）

MST的主要目的和价值是针对识别出的、可能危害组织和解决方案的安保威胁和漏洞采取下列行动：分析其潜在影响，定义并执行解决或缓解其后果的活动，以增加组织处理这些威胁和漏洞的能力和韧性。识别安保威胁和漏洞同样是24/7的工作，不能拿来权衡交易，它需要根据建立的标准，不断评估、确定最需要防范的威胁和漏洞，并形成系统的处理方式。

MST通过四个级别的10条实践，给出了实现其目的循序渐进的路径：

1. 一级有2条实践：识别、记录、处理安保威胁和漏洞。

2. 二级有4条实践：建立、维护、执行处理安保威胁和漏洞的方式和评估它们的标准；用标准对操作中出现的最关键的威胁和漏洞做优先级排序，监控，处理；评估处理解决方案中的安保威胁和漏洞的方式和行动的有效性。

3. 三级的3条实践则聚焦组织层面对安保威胁和漏洞的有效管控：建立、维护、执行组织的策略、方法、架构以评估、管理、验证安保威胁和漏洞；分析验证和确认的结果，确保在组织内，安保威胁和和漏洞的处理是准确、一致、有效的；评估处理安保威胁和漏洞组织策略、方式、架构的有效性。

4. 四级有1条实践：用统计和其他量化技术，运用威胁情报分析建立、改进方案中处理安保威胁和漏洞的方式和架构，选择安保威胁和漏洞的解决方案。

2. 关于安保的特定背景内容（Context Specific - Security）

下列12个实践域或其中一些实践包含了Security的特定背景描述：GOV（治理），II（实施基础条件），MPM（管理性能与度量），OT（组织培训），PLAN（计划），PAD（过程资产开发）， PQA（过程质量保证），PI （产品集成），RDM（需求开发和管理），SAM（供应商合同管理），TS（技术解决方案），VV（验证和确认）。同样大家在学习、使用模型中安保的内容时，需要掌握理解如何将安保自然融入到组织的过程体系中。

3. Security相关的重要术语

关于Security的专属术语比Safety多不少，有一些代表了当前一些安保的重要做法，如：

纵深防卫方式（defense in depth approach）指的是具有较高韧性的分层抵御各种安保威胁和漏洞的方式。安保韧性（security resilience）也是一个重要的概念，代表在被攻击后的抵御和恢复能力。

威胁情报和分析（threat intelligence，threat intelligence analysis）是MST四级实践的要求，同时也牵扯到较为敏感的情报分析。

近十年来，Safety和Security（特别是Security）已成为不少中国IT组织软件产品中必须解决的重要问题，也越来越被重视，很多组织引入了ISO 27000，管理信息安全。但信息安全体系往往和研发过程脱节，而解决方案和产品中的安全和安保问题没有得到系统的关注和改进。无论从研发团队和质量人员的意识、使用的方法和工具、端到端过程的融合等方面都存在着不少风险，CMMI安全和安保给使用CMMI开发的IT组织带来了一场及时雨，二者的结合令人期待。我也特别希望能在这方面做些有益的尝试，通过培训、咨询、评估和实践者们一起学习、成长，一起努力打造可信的过程和可信的产品。

文章源于网络，如有侵权或者不当，请告知删除

CMMI认证中文网

CMMI V2.0

CMMI 2.0 安全和安保