分類
CISSP

成熟度模型( A maturity model)

https://ithelp.ithome.com.tw/upload/images/20210807/20132160gjRS9tbIB8.jpg
-CMM 和 CMMI 成熟度水平比較
成熟度模型“可以”(而不是應該或必須)定義五個成熟度級別,因為普遍接受的傳統能力成熟度模型集成 (CMMI) 模型定義了五個級別。然而,能力成熟度模型並非總是如此。
例如,OWASP SAMM 僅定義了四個級別:
0 隱含的起點代表未實現的實踐活動
1 安全實踐的初步理解和臨時提供
2 提高安全實踐的效率和/或有效性
3 大規模全面掌握安全實踐
風險成熟度模型 (RMM) 目前仍在開發中。一些 RMM 可能定義了五個級別,但這不是必需的。

關鍵詞(Key Words)
本文檔中的關鍵詞“必須”、“不得”、“要求”、“應該”、“不應”、“應該”、“不應該”、“推薦”、“可以”和“可選”是按照RFC 2119 中的描述進行解釋。

專案/計劃管理(Project/Program Management)
https://ithelp.ithome.com.tw/upload/images/20210807/20132160aTRTZvziS3.jpg
-戰略投資組合

專案和計劃是暫時的努力;他們的產出被轉移到運營中,以持續創造和交付價值。一旦專案和計劃關閉,專案和計劃風險管理就可以停止。
風險管理有上下文。它可以發生在組織中的各種上下文或級別,例如資訊系統級別、業務流程級別、企業級別或專案/計畫級別。在大多數情況下,風險管理是持續不斷的努力。但是,在某些情況下,例如專案/計劃級別的風險管理,它可能是臨時的努力。
https://ithelp.ithome.com.tw/upload/images/20210807/20132160weg4ME6uwW.jpg
-專案生命週期(來源:PMBOK)
附件 A 中的ISO 27001要求 A.6.1.5 規定了專案管理中的資訊安全,要求控制“無論專案類型如何,都應在專案管理中解決資訊安全問題”。專案是“為創造獨特的產品、服務或成果而進行的臨時努力。另請參閱投資組合和計劃。” (PMI) 一旦專案結束,專案級別的風險管理活動就會消失。
NIST SP 800-53 R5是一個安全控制框架,其中計畫管理 (PM) 是控制系列之一。計畫包括“以協調方式管理的相關專案、子專案群和計畫活動,以獲得單獨管理無法獲得的收益”。(PMI)
https://ithelp.ithome.com.tw/upload/images/20210807/20132160rglwUDwRs8.jpg
-安全和隱私控制系列(來源:NIST SP 800-53 R5)

參考
在 RFC 中用於表示需求級別的關鍵詞
SAMM——軟體保障成熟度模型——OWASP
PMI 專案管理術語詞典

資料來源: Wentz Wu QOTD-20210711

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。