前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的信息安全審計(jì)下的CMMI的研發(fā)，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

信息安全管理體系（InformationSecurityManagementSystem，以下簡稱為ISMS）和能力成熟度模型集成（CapabilityMaturityModelIntegration，以下簡稱為CMMI），是當(dāng)前較為流行的并被大多數(shù)軟件企業(yè)普遍接受和引入的認(rèn)證體系。其中ISMS是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求進(jìn)行建立的，要求組織機(jī)構(gòu)單位制定信息安全管理方針和策略，采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系；CMMIDEV2.0是美國卡耐基梅隆大學(xué)軟件工程研究所（SoftwareEngineeringInstitute，SEI）在2018年推出的最新軟件過程改進(jìn)模型，著力強(qiáng)調(diào)高層全程參與以提升企業(yè)能力，涵蓋了軟件研發(fā)過程的20個(gè)實(shí)踐域，是一個(gè)軟件、產(chǎn)品和系統(tǒng)開發(fā)的優(yōu)良實(shí)踐過程改進(jìn)模型，能夠全方位指導(dǎo)組織提升績效。當(dāng)前組織在導(dǎo)入這兩個(gè)體系時(shí)，往往將其視為獨(dú)立的系統(tǒng)分別實(shí)施，一方面加大了企業(yè)導(dǎo)入的工作量和成本，另一方面也不利于組織在企業(yè)中推廣和實(shí)施。但事實(shí)上ISMS中關(guān)于權(quán)責(zé)分離與訪問控制、外包管理、安全需求分析、安全設(shè)計(jì)與研發(fā)、安全測試與驗(yàn)收，變更控制等條款的要求都與CMMI的部分實(shí)踐高度相關(guān)。如何將這兩個(gè)體系更好的進(jìn)行融合，既能滿足ISMS的審計(jì)要求，同時(shí)也能達(dá)成CMMI實(shí)踐的要求并同時(shí)提升組織流程的一致性是業(yè)界一直關(guān)注的焦點(diǎn)問題，也是本文會(huì)闡述的重點(diǎn)。

1ISMS與CMMI的對(duì)應(yīng)關(guān)系

按照ISMS管理體系的要求，本文整理了CMMI相關(guān)條款與之對(duì)應(yīng)的實(shí)踐域，從軟件研發(fā)的角度而言，我們把兩者之間的對(duì)應(yīng)關(guān)系分為需求、設(shè)計(jì)編碼與集成、測試與驗(yàn)收、配置管理與變更、外包管理、風(fēng)險(xiǎn)管理、治理（GOV）和過程資產(chǎn)開發(fā)共八個(gè)大類，如表1所示。

2基于ISMS要求的CMMI研發(fā)流程調(diào)整

2.1行動(dòng)能力域。（1）ISO27000的條款4.2理解相關(guān)方的需求和期望和A.14.1.1安全需求分析和規(guī)范這兩個(gè)條款要求識(shí)別信息安全管理體系的相關(guān)方及他們對(duì)信息安全相關(guān)的要求（其中包括法律，法規(guī)要求和合同義務(wù)），在當(dāng)前CMMI2.0體系的實(shí)踐域需求開發(fā)和管理（RDM）中有挖掘需求的實(shí)踐要求，需要在需求開發(fā)和管理的過程中增加識(shí)別信息安全需求的活動(dòng)，并在輸出的模板調(diào)研記錄和需求規(guī)格說明書中增加信息安全的需求章節(jié)的描述。（2）ISO27000的條款A(yù).14.2開發(fā)和支持過程中的安全要求確保在整個(gè)信息系統(tǒng)生命周期中的信息安全設(shè)計(jì)與實(shí)施。在當(dāng)前CMMI2.0體系的實(shí)踐域技術(shù)解決方案（TS）中的活動(dòng)中增加安全設(shè)計(jì)活動(dòng)，并在輸出的模板概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)增加基于信息安全需求進(jìn)行設(shè)計(jì)的章節(jié)，在開發(fā)管理過程中增加安全編碼規(guī)范和編碼過程中對(duì)代碼進(jìn)行安全審計(jì)。（3）ISO27000的條款A(yù).14.2.7外包開發(fā)中要求組織宜管理和監(jiān)視外包系統(tǒng)開發(fā)活動(dòng)，在當(dāng)前cmmi2.0體系的實(shí)踐域供方協(xié)定管理（SAM）中有針對(duì)供應(yīng)商和供應(yīng)商的績效進(jìn)行監(jiān)視和評(píng)價(jià)，需要增加對(duì)供應(yīng)商的安全管理的監(jiān)控，對(duì)供應(yīng)商的項(xiàng)目管理過程中的安全性進(jìn)行監(jiān)控。（4）ISO27000的條款A(yù).14.2.8系統(tǒng)安全測試、A.14.2.9系統(tǒng)驗(yàn)收測試要求在開發(fā)的過程中，必須測試功能的安全性、在建立新系統(tǒng)，升級(jí)系統(tǒng)和更新版本時(shí)，必須建立驗(yàn)收測試程序和相關(guān)標(biāo)準(zhǔn)。在當(dāng)前CMMI2.0體系的實(shí)踐域驗(yàn)收和確認(rèn)（VV）中需要增加獨(dú)立的安全測試規(guī)范與安全測試模板。并輸出：安全測試方案，安全測試用例，安全測試報(bào)告。（5）ISO27000的條款A(yù).14.3測試數(shù)據(jù)要求確保測試數(shù)據(jù)的安全,需要根據(jù)數(shù)據(jù)的保密級(jí)別進(jìn)行相應(yīng)的處理。如需要保密的數(shù)據(jù)需要進(jìn)行脫敏處理。當(dāng)前CMMI2.0體系的實(shí)踐域驗(yàn)收和確認(rèn)（VV）中測試管理規(guī)范中增加對(duì)測試數(shù)據(jù)的管理規(guī)則。

2.2管理能力域。在ISO27000的條款8.2和8.3條款是針對(duì)信息安全的風(fēng)險(xiǎn)進(jìn)行評(píng)估和處理，在A.6.1.5項(xiàng)目管理中的信息安全中特別強(qiáng)調(diào)在項(xiàng)目研發(fā)過程中要在項(xiàng)目管理中考慮信息安全的風(fēng)險(xiǎn)。在信息安全管理體系中識(shí)別風(fēng)險(xiǎn)需要考慮：資產(chǎn)價(jià)值，弱點(diǎn)、威脅。資產(chǎn)價(jià)值：首先識(shí)別資產(chǎn)，軟件類別（重要軟件、一般軟件），處理的數(shù)據(jù)（絕密，機(jī)密、內(nèi)部數(shù)據(jù)、公開數(shù)據(jù)）等。再次識(shí)別資產(chǎn)的（完整性，保密性和可用性）來計(jì)算出資產(chǎn)價(jià)值以識(shí)別重要資產(chǎn)。弱點(diǎn)庫：例如缺乏軟件分發(fā)管理機(jī)制、缺乏軟件開發(fā)/采購安全保障機(jī)制、程序設(shè)計(jì)漏洞、缺乏漏洞管理機(jī)制威脅：例如蓄意破壞/篡改、非授權(quán)訪問/使用、數(shù)據(jù)丟失、操作失誤當(dāng)前CMMI2.0體系要求中，并未對(duì)安全風(fēng)險(xiǎn)進(jìn)行明確要求，為了滿足ISMS的審計(jì)要求，需要在風(fēng)險(xiǎn)與管理機(jī)會(huì)實(shí)踐域中定義流程時(shí)，將對(duì)安全風(fēng)險(xiǎn)的識(shí)別作為必需的選項(xiàng)，并在模板中明確標(biāo)識(shí)需要識(shí)別安全相關(guān)的風(fēng)險(xiǎn)，修改對(duì)應(yīng)風(fēng)險(xiǎn)評(píng)估參數(shù)為：資產(chǎn)價(jià)值、弱點(diǎn)、威脅以此來計(jì)算風(fēng)險(xiǎn)值，其計(jì)算公式為：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×弱點(diǎn)值×威脅值。

2.3實(shí)現(xiàn)能力域。ISO27000的條款的A.14.2.3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審、A.14.2.2系統(tǒng)變更控制規(guī)程、A.14.2.4軟件包變更的限制要求針對(duì)變更管理有流程來進(jìn)行控制、A.14.2.3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審都要要求對(duì)變更進(jìn)行影響分析并執(zhí)行適當(dāng)?shù)脑u(píng)審。當(dāng)前CMMI2.0體系的實(shí)踐域配置管理（CM）要求過程已經(jīng)明確定義了變更的管理過程和CCB組織的建立。需要特別指明CCB的成員應(yīng)該包括公司的信息安全管理員，以平衡變更是否會(huì)引起信息安全方面的問題。ISO27000的條款A(yù).8.2信息分類、A.9.4.5程序源碼的訪問控制要求按照不同的信息分類級(jí)別來進(jìn)行文件和源代碼的訪問管理。當(dāng)前CMMI2.0體系的實(shí)踐域配置管理（CM）有目錄角色的訪談權(quán)限列表，需要增加基于文檔的秘級(jí)來進(jìn)行權(quán)限列表的分配，以控制未授權(quán)的訪問。

2.4提高能力域。ISO27000的條款A(yù)6.1.2職責(zé)分離，要求有沖突的職責(zé)和權(quán)限應(yīng)被分開，減少對(duì)資產(chǎn)未經(jīng)授權(quán)或無意的修改與誤用。當(dāng)前CMMI2.0體系的實(shí)踐域治理（GOV）要求過程活動(dòng)中職責(zé)分明，因此在該要求的基礎(chǔ)上需要進(jìn)一步的識(shí)別是否有沖突的職責(zé)和權(quán)限需要特別區(qū)分并識(shí)別。ISO27000的條款A(yù).14.2.6安全的開發(fā)環(huán)境和A.12.1.4開發(fā)，測試和運(yùn)行環(huán)境的分離：要求應(yīng)建立并適當(dāng)保護(hù)開發(fā)環(huán)境安全，并集成涵蓋整個(gè)系統(tǒng)開發(fā)周期的工作，分別建立對(duì)應(yīng)的測試和運(yùn)行環(huán)境。當(dāng)前CMMI2.0體系的實(shí)踐域過程資產(chǎn)開發(fā)（PAD）中要求組織建立組織級(jí)和項(xiàng)目級(jí)的標(biāo)準(zhǔn)工作環(huán)境，因此需要在標(biāo)準(zhǔn)工作環(huán)境中特別分離出標(biāo)準(zhǔn)的安全開發(fā)環(huán)境、測試環(huán)境和運(yùn)行環(huán)境，指導(dǎo)有安全開發(fā)的項(xiàng)目來進(jìn)行環(huán)境的建設(shè)。

3小結(jié)

本文針對(duì)ISO27000的審計(jì)條款要求，結(jié)合基于CMMI建立的研發(fā)制度來進(jìn)行研發(fā)管理制度改進(jìn)，以滿足公司信息安全管理的要求和信息安全管理體系審計(jì)要求的同時(shí)提升研發(fā)管理的信息安全。將這兩種制度在一定的程度上做融合以提升企業(yè)在同時(shí)導(dǎo)入這兩個(gè)體系時(shí)實(shí)施的效率和實(shí)施的有效性。

作者:蒲冬梅 單位:廣州賽寶認(rèn)證中心服務(wù)有限公司