-SAMM 概述(來源:https : //owaspsamm.org)
文化有不同的背景或層次,例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全意識和文化的好人選;然而,安全冠軍在軟體開發中是更合適的角色。
安全冠軍和 OWASP SAMM(Security Champion and OWASP SAMM)
安全冠軍是軟體安全主題專家,他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員,例如軟體開發人員、測試人員或產品經理,作為安全擁護者,有助於將安全嵌入到開發組織中。
. 安全冠軍接受適當的培訓。
. 應用程序安全和開發團隊會定期收到安全冠軍關於安全計劃和修復整體狀態的簡報。
. 安全冠軍在添加到應用程序積壓之前審查外部測試的結果。
高級管理人員(Senior Management)
高級管理人員是攻擊的高優先級目標。為高級管理層制定安全意識計劃至關重要。他們必須以身作則,理解和遵守安全政策,絕不應該被發現說壞話或自相矛盾的政策。
安全文化(Security Culture)
. 文化本質上是“一組用語言表達的共同理解”或“意義的共享模式”或“與組織結構和控制系統相互作用以產生行為規範的共享價值觀和信念”。如果可以證明文化會影響安全結果,那麼文化在安全環境中就會引起人們的興趣。( IEEE )
. 資訊安全文化指導組織在資訊安全方面的工作,以保護資訊資產和影響員工的安全行為。( IEEE )
參考
. SAMM 敏捷指南
. OWASP聚寶盆
. IT 安全培訓和意識計劃的遊戲化
. 從上到下發展安全文化的 6 種方法
. 國際民航組織 AVSEC2018
. 安全文化
. 嵌入資訊安全文化 新出現的問題和挑戰
. 如何建立安全文化
資料來源: Wentz Wu QOTD-202104019
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文