風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型研究

孫明亮 位 華 王 琰

1(中國信息安全測(cè)評(píng)中心 北京 100085)

2(北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 北京 100876)(sunml@itsec.gov.cn)

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障工作的基礎(chǔ)和重要環(huán)節(jié)，我國信息安全風(fēng)險(xiǎn)評(píng)估工作得到國家一系列政策的支持.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)［2003］27號(hào))》《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(國信辦［2006］5號(hào))》《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知(發(fā)改高技)［2008］2071號(hào)》等這些政策都明確提出信息安全風(fēng)險(xiǎn)評(píng)估的必要性，及國家對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的重視［1］.

同時(shí)，我國在標(biāo)準(zhǔn)化方面也做了大量工作.2007年6月14日，我國正式發(fā)布了國家標(biāo)準(zhǔn)GB T20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，標(biāo)志著我國開展信息安全風(fēng)險(xiǎn)評(píng)估工作有了正式的參考標(biāo)準(zhǔn).該標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式，適用于規(guī)范組織開展風(fēng)險(xiǎn)評(píng)估工作.后續(xù)發(fā)布的還有GB Z24364—2009《信息安全風(fēng)險(xiǎn)管理指南》、GB T31509—2015《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》等標(biāo)準(zhǔn).

新時(shí)期，國家對(duì)于風(fēng)險(xiǎn)評(píng)估工作空前重視.習(xí)主席在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話上指出:“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”，“準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)”.足見國家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重視以及開展信息安全風(fēng)險(xiǎn)評(píng)估工作的重要性.特別是2016年11月7日發(fā)布、2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》中明確將信息安全安全風(fēng)險(xiǎn)評(píng)估服務(wù)工作上升為國家法律層面，為信息安全風(fēng)險(xiǎn)評(píng)估工作的推動(dòng)發(fā)揮了巨大作用.

本文結(jié)合一線風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)經(jīng)驗(yàn)與國際通用的能力成熟度的理論，提出了風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型的概念，旨在闡述信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型的框架研究，為風(fēng)險(xiǎn)評(píng)估服務(wù)能力水平的評(píng)價(jià)提供參考依據(jù).

1 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型概述

1.1 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)過程描述

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型是依據(jù)風(fēng)險(xiǎn)評(píng)估服務(wù)生命過程，風(fēng)險(xiǎn)評(píng)估服務(wù)提供方向風(fēng)險(xiǎn)評(píng)估服務(wù)需求方提供包括業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、現(xiàn)有安全措施有效性分析和風(fēng)險(xiǎn)分析等為主線［2-3］，對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估服務(wù)過程及過程中多個(gè)過程域的服務(wù)能力等級(jí)進(jìn)行測(cè)評(píng)的評(píng)估模型.信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)生命周期框架流程圖如圖1所示［3］:

圖1 風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖

目前風(fēng)險(xiǎn)評(píng)估服務(wù)的形式因行業(yè)和地區(qū)的不同呈現(xiàn)多樣化，本文意在闡述基于GB T20984的完整風(fēng)險(xiǎn)評(píng)估服務(wù)過程為主線，對(duì)能提供單個(gè)、多個(gè)過程域及整個(gè)風(fēng)險(xiǎn)評(píng)估服務(wù)的提供方從其服務(wù)過程中的資源配置、技術(shù)服務(wù)過程和項(xiàng)目管理過程等服務(wù)能力要素對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力成熟度進(jìn)行等級(jí)評(píng)估.對(duì)于在具體風(fēng)險(xiǎn)評(píng)估服務(wù)的過程中不是針對(duì)整個(gè)生命周期進(jìn)行服務(wù)的情況，可以對(duì)具體的服務(wù)過程域進(jìn)行風(fēng)險(xiǎn)評(píng)估服務(wù)的能力等級(jí)進(jìn)行評(píng)估.

1.2 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力要素

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力包括風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過程能力、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的項(xiàng)目管理過程能力及風(fēng)險(xiǎn)評(píng)估服務(wù)資源配置能力等方面.這些服務(wù)能力也是信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的基本活動(dòng)，這些活動(dòng)能力的評(píng)估需信息系統(tǒng)服務(wù)的需求方、提供方和評(píng)估方，配置相應(yīng)的人力、設(shè)備、環(huán)境等資源和服務(wù)過程的管理，才能構(gòu)成完整的風(fēng)險(xiǎn)評(píng)估服務(wù)能力.

因此，信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力應(yīng)由以下要素構(gòu)成，如圖2所示.

1)風(fēng)險(xiǎn)評(píng)估服務(wù)資源配置

在資源配置方面包括風(fēng)險(xiǎn)評(píng)估服務(wù)人員的專業(yè)技術(shù)能力和知識(shí)面、實(shí)施風(fēng)險(xiǎn)評(píng)估服務(wù)所需的工具設(shè)備、設(shè)施和環(huán)境.

2)風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過程

根據(jù)風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過程的各個(gè)過程域，包括業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、現(xiàn)有安全措施有效性分析和風(fēng)險(xiǎn)分析等.

3)風(fēng)險(xiǎn)評(píng)估服務(wù)項(xiàng)目管理過程

實(shí)施風(fēng)險(xiǎn)評(píng)估服務(wù)需要進(jìn)行項(xiàng)目管理過程.項(xiàng)目管理過程應(yīng)覆蓋到風(fēng)險(xiǎn)評(píng)估服務(wù)的服務(wù)過程活動(dòng)中.

圖2 風(fēng)險(xiǎn)評(píng)估服務(wù)能力構(gòu)成要素

1.3 風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型(RAS-CMM)，是在系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的基礎(chǔ)上，結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的最佳實(shí)踐，所形成的對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度進(jìn)行度量的模型.

圖3 風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度模型

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力成熟度由能力維和域維［4］構(gòu)成，如圖3所示.

風(fēng)險(xiǎn)評(píng)估服務(wù)能力級(jí)別分為5級(jí):1級(jí)是基本執(zhí)行級(jí);，2級(jí)是計(jì)劃跟蹤級(jí);3級(jí)是充分定義級(jí);4級(jí)是量化控制級(jí);5級(jí)是持續(xù)改進(jìn)級(jí).風(fēng)險(xiǎn)評(píng)估服務(wù)能力級(jí)別示意圖，如圖4所示:

圖4 風(fēng)險(xiǎn)評(píng)估服務(wù)能力等級(jí)示意圖［7］

能力級(jí)別從1～5級(jí)逐級(jí)提高，標(biāo)志著風(fēng)險(xiǎn)評(píng)估恢復(fù)服務(wù)能力成熟度的不斷提升.每個(gè)級(jí)別規(guī)定了對(duì)應(yīng)的公共特征和通用實(shí)施.在本文中，高級(jí)別需要涵蓋低級(jí)別成熟度要求的所有內(nèi)容.但該級(jí)別只是規(guī)定了增加的內(nèi)容.

能力維由公共特征［4-6］構(gòu)成，公共特征由通用實(shí)施(GP)構(gòu)成［4-6］.對(duì)于某級(jí)別的所有通用實(shí)施滿足了該級(jí)別的公共特征，從而形成了該級(jí)別的能力.

域維由過程域(PA)和資源配置組成［4-6］.風(fēng)險(xiǎn)評(píng)估服務(wù)的過程域(PA)包括風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過程域、項(xiàng)目管理過程域.過程域由基本實(shí)施［4］(BP)構(gòu)成，每個(gè)過程域的基本實(shí)施(BP)是構(gòu)成該過程域的基本要素，是完成該過程活動(dòng)的基本單元.對(duì)于不同級(jí)別的能力維，風(fēng)險(xiǎn)評(píng)估服務(wù)過程域的各個(gè)基本實(shí)施(BP)都是必須的.資源配置是完成風(fēng)險(xiǎn)評(píng)估服務(wù)活動(dòng)的基本條件，針對(duì)不同能力級(jí)別，可能需要特定的資源配置條件.

1.4 風(fēng)險(xiǎn)評(píng)估服務(wù)能力要素

1.4.1 風(fēng)險(xiǎn)評(píng)估服務(wù)資源配置能力

風(fēng)險(xiǎn)評(píng)估服務(wù)的開展要具備資源配置能力，風(fēng)險(xiǎn)評(píng)估項(xiàng)目組要具備足夠支撐風(fēng)險(xiǎn)評(píng)估服務(wù)的基本資源，例如各類檢查表格、報(bào)告模板、漏掃工具、滲透工具、資產(chǎn)識(shí)別工具、威脅識(shí)別工具、合格的風(fēng)險(xiǎn)評(píng)估技術(shù)人才等.

1.4.2 風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)過程能力

1.4.2.1 PA01——業(yè)務(wù)識(shí)別與分析

在識(shí)別組織的業(yè)務(wù)之前要掌握組織的發(fā)展戰(zhàn)略，由戰(zhàn)略推導(dǎo)出各業(yè)務(wù)發(fā)展情況［4］，識(shí)別業(yè)務(wù)內(nèi)容，可通過訪談、文檔查閱、資料查閱等方式，針對(duì)業(yè)務(wù)屬性進(jìn)行賦值分析，找到關(guān)鍵業(yè)務(wù).業(yè)務(wù)是組織發(fā)展的核心，業(yè)務(wù)具有價(jià)值屬性、多樣性、復(fù)雜性等特點(diǎn)［2］.

本過程域包括以下2個(gè)基本實(shí)施:

1)BP.01.01——識(shí)別關(guān)鍵業(yè)務(wù);

2)BP.01.02——業(yè)務(wù)影響分析.

1.4.2.2 PA02——資產(chǎn)識(shí)別與分析

根據(jù)資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)性或相關(guān)性進(jìn)行資產(chǎn)識(shí)別，并根據(jù)資產(chǎn)的業(yè)務(wù)相關(guān)性、保密性、完整性和可用性等屬性對(duì)資產(chǎn)的影響進(jìn)行優(yōu)先級(jí)排列.風(fēng)險(xiǎn)評(píng)估中資產(chǎn)面臨的威脅、存在的脆弱性以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度以及其上承載的業(yè)務(wù)安全程度產(chǎn)生影響［3］.當(dāng)承載的業(yè)務(wù)屬性發(fā)生變化時(shí)，資產(chǎn)的影響優(yōu)先級(jí)將發(fā)生變化.

本過程域包括以下3個(gè)基本實(shí)施:

1)BP.02.01——關(guān)鍵資產(chǎn)識(shí)別;

2)BP.02.02——資產(chǎn)影響分析;

3)BP.02.03——監(jiān)視資產(chǎn)影響變化.

1.4.2.3 PA03——威脅識(shí)別與分析

業(yè)務(wù)及資產(chǎn)面臨的威脅是風(fēng)險(xiǎn)的發(fā)起者，如果不存在威脅，風(fēng)險(xiǎn)也就隨之不存在了，威脅構(gòu)成了風(fēng)險(xiǎn)發(fā)生的必要條件.威脅來源、動(dòng)機(jī)、能力和頻率是威脅的屬性，威脅的屬性既是對(duì)威脅的描述，也構(gòu)成了評(píng)價(jià)威脅影響優(yōu)先級(jí)的必然因素.當(dāng)環(huán)境等因素發(fā)生變化時(shí)，威脅的影響也會(huì)隨之發(fā)生變化.

本過程域包括以下3個(gè)基本實(shí)施［8］:

1)BP.03.01——威脅識(shí)別;

2)BP.03.02——威脅影響分析;

3)BP.03.03——監(jiān)視威脅變化.

1.4.2.4 PA04——脆弱性識(shí)別與分析

脆弱性是風(fēng)險(xiǎn)評(píng)估服務(wù)的重要環(huán)節(jié)，可從技術(shù)和管理2個(gè)方面進(jìn)行審視.脆弱性識(shí)別依據(jù)相關(guān)國際或國家安全標(biāo)準(zhǔn)、行業(yè)規(guī)范等，對(duì)應(yīng)用在不同環(huán)境中的相同脆弱性，其嚴(yán)重程度是不同的.根據(jù)脆弱性對(duì)業(yè)務(wù)和資產(chǎn)的暴露程度，已有安全措施和脆弱性關(guān)聯(lián)識(shí)別分析結(jié)果等，采用優(yōu)先級(jí)排列的方式對(duì)已識(shí)別的脆弱性進(jìn)行賦值.資產(chǎn)所處環(huán)境等因素變化，脆弱性的等級(jí)也隨之發(fā)生變化.

本過程域包括以下3個(gè)基本實(shí)施［8］:

1)BP.04.01——脆弱性識(shí)別;

2)BP.04.02——脆弱性等級(jí)分析;

3)BP.04.03——監(jiān)視脆弱性影響變化分析.

1.4.2.5 PA05——現(xiàn)有安全措施有效性識(shí)別與分析

對(duì)現(xiàn)有安全措施進(jìn)行識(shí)別并評(píng)估其有效性，即是否真正地抵御了威脅，降低了脆弱性.對(duì)有效抵御威脅的安全措施繼續(xù)保持，對(duì)確認(rèn)為不適當(dāng)?shù)幕驘o法有效抵御威脅的安全措施應(yīng)被取消或?qū)ζ溥M(jìn)行修正.

本過程域包括以下2個(gè)基本實(shí)施［3］:

1)BP.05.01——現(xiàn)有安全措施識(shí)別;

2)BP.05.02——現(xiàn)有安全措施有效性分析.

1.4.2.6 PA06——風(fēng)險(xiǎn)分析

在完成了業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定風(fēng)險(xiǎn)等級(jí).

本過程域包括以下4個(gè)基本實(shí)施［8］:

1)BP.04.01——選擇風(fēng)險(xiǎn)分析方法;

2)BP.04.02——對(duì)暴露(指威脅、脆弱性和影響的組合)的標(biāo)識(shí)與分析;

3)BP.04.03——排列風(fēng)險(xiǎn)優(yōu)先級(jí);

4)BP.04.04——監(jiān)視風(fēng)險(xiǎn)變化.

1.4.2.7 PA07——質(zhì)量保證

這個(gè)過程域的潛在目的是:只有整個(gè)服務(wù)過程都在持續(xù)測(cè)量和改進(jìn)質(zhì)量的情況下才能產(chǎn)生高質(zhì)量的風(fēng)險(xiǎn)評(píng)估服務(wù).在整個(gè)風(fēng)險(xiǎn)評(píng)估服務(wù)的過程中，為保證高質(zhì)量的服務(wù)，關(guān)鍵內(nèi)容就是測(cè)量、分析和修正措施，保證相關(guān)內(nèi)容的保密性等.該過程域的目標(biāo)就是實(shí)現(xiàn)預(yù)期的服務(wù)質(zhì)量.

本過程域包括以下3個(gè)基本實(shí)施［9］:

1)BP.09.01——測(cè)量產(chǎn)品質(zhì)量;

2)BP.09.02——測(cè)量過程質(zhì)量;

3)BP.09.03——質(zhì)量分析與修正.

1.4.2.8 PA08——配置管理

配置管理的目的是維持已標(biāo)識(shí)的配置單元的數(shù)據(jù)和狀況，并對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)及其配置單元的變化進(jìn)行分析和控制.

本過程域包括以下2個(gè)基本實(shí)施［9］:

1)BP.10.01——建立配置單元;

2)BP.10.02——維護(hù)工作產(chǎn)品基線.

1.4.2.9 PA09——項(xiàng)目風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理的目的是標(biāo)識(shí)、評(píng)估、監(jiān)視和降低風(fēng)險(xiǎn)評(píng)估服務(wù)項(xiàng)目的風(fēng)險(xiǎn)，以便于風(fēng)險(xiǎn)評(píng)估服務(wù)項(xiàng)目取得成功.

本過程域包括以下3個(gè)基本實(shí)施［9-10］:

1)BP.11.01——項(xiàng)目風(fēng)險(xiǎn)的識(shí)別和評(píng)估;

2)BP.11.02——項(xiàng)目風(fēng)險(xiǎn)的控制;

3)BP.11.03——跟蹤風(fēng)險(xiǎn)降低效果.

1.4.2.10 PA10——項(xiàng)目規(guī)劃

規(guī)劃項(xiàng)目的目的是建立項(xiàng)目計(jì)劃和規(guī)劃項(xiàng)目的技術(shù)過程，為在風(fēng)險(xiǎn)評(píng)估服務(wù)過程中涉及到的技術(shù)性工作的進(jìn)度、費(fèi)用、控制、跟蹤和商議性質(zhì)和范圍提供基礎(chǔ).

本過程域包括以下2個(gè)基本實(shí)施［9］:1)BP.12.01——項(xiàng)目計(jì)劃;

2)BP.12.02——項(xiàng)目技術(shù)規(guī)劃.1.4.2.11 PA11——項(xiàng)目監(jiān)控

項(xiàng)目監(jiān)控的目的是為項(xiàng)目計(jì)劃和技術(shù)過程得到有效執(zhí)行，并通過監(jiān)督和指導(dǎo)行為使得項(xiàng)目執(zhí)行過程滿足項(xiàng)目規(guī)劃的效果，對(duì)執(zhí)行計(jì)劃發(fā)生嚴(yán)重偏差時(shí)可及時(shí)進(jìn)行修正.

本過程域包括以下2個(gè)基本實(shí)施［9］:

1)BP.13.01——項(xiàng)目監(jiān)督和指導(dǎo);

2)BP.13.02——問題分析與修正.

1.4.2.12 提供不斷發(fā)展的技能

“技能和知識(shí)提升”的目的在于確保項(xiàng)目組成員擁有必要的技能來達(dá)到項(xiàng)目的目標(biāo).所需的技能可以通過內(nèi)部培訓(xùn)和外部來源中獲得.

本過程域包括以下3個(gè)基本實(shí)施［9］:

1)BP.15.01——識(shí)別技能和知識(shí)需求;

2)BP.15.02——實(shí)施培訓(xùn);

2)BP.15.03——技能和培訓(xùn)評(píng)估.

2 風(fēng)險(xiǎn)評(píng)估服務(wù)過程能力級(jí)別定義［2，4］

風(fēng)險(xiǎn)評(píng)估服務(wù)過程能力等級(jí)分為5級(jí)，由1級(jí)到5級(jí)遞增.每個(gè)級(jí)別包含了幾個(gè)公共特征，每個(gè)公共特征又包含若干個(gè)通用實(shí)施.通用實(shí)施是適用于所有過程的活動(dòng)，是過程方面的管理、度量和制度化方面陳述.這些通用實(shí)施可在過程能力的評(píng)定中用于確定任何過程的能力.

能力級(jí)別具體定義如下［8］:

1)能力級(jí)別1——基本執(zhí)行;

2)能力級(jí)別2——計(jì)劃跟蹤;

3)能力級(jí)別3——充分定義;

4)能力級(jí)別4——量化控制;

5)能力級(jí)別5——持續(xù)改進(jìn).

2.1 能力級(jí)別1——基本執(zhí)行級(jí)

在此級(jí)別，過程域的基本實(shí)施通常被執(zhí)行.但基本實(shí)施的執(zhí)行可能未經(jīng)嚴(yán)格的計(jì)劃和跟蹤，而是基于個(gè)人的知識(shí)和努力.

該能力級(jí)別包含如下公共特征［8］:

公共特征1.1——執(zhí)行基本實(shí)施.此公共特征的通用實(shí)施只是保證過程域的基本實(shí)施以某種方式執(zhí)行，工作產(chǎn)品的一致性、性能和質(zhì)量會(huì)因缺乏適當(dāng)控制而存在極大的差異.

該公共特征包含如下通用實(shí)施:

GP 1.1.1——執(zhí)行過程.執(zhí)行一個(gè)實(shí)現(xiàn)過程域的基本實(shí)施的過程，為服務(wù)需求方提供服務(wù).

2.2 能力級(jí)別2——計(jì)劃與跟蹤級(jí)

此級(jí)別，過程域基本實(shí)施的執(zhí)行是經(jīng)計(jì)劃并被跟蹤的，并對(duì)實(shí)施情況進(jìn)行驗(yàn)證.工作產(chǎn)品符合指定的標(biāo)準(zhǔn).通過測(cè)量來跟蹤過程域的執(zhí)行情況，能夠基于實(shí)際實(shí)施活動(dòng)進(jìn)行管理.與基本執(zhí)行級(jí)別間的主要區(qū)別是過程實(shí)施被計(jì)劃和管理.

該能力級(jí)別包含如下公共特征［8］:

1)公共特征2.1——規(guī)劃執(zhí)行;

2)公共特征2.2——規(guī)范化執(zhí)行;

3)公共特征2.3——驗(yàn)證執(zhí)行;

4)公共特征2.4——跟蹤執(zhí)行.

2.2.1 公共特征 2.1——規(guī)劃執(zhí)行

該公共特征的基本實(shí)施集中在過程域及相關(guān)的基本實(shí)施執(zhí)行的規(guī)劃方面.涉及到過程文檔的編制、適當(dāng)執(zhí)行過程工具的提供、過程實(shí)施的計(jì)劃、過程執(zhí)行中的培訓(xùn)、過程資源的分配以及過程執(zhí)行的責(zé)任分配.這些通用實(shí)施為規(guī)范化的過程執(zhí)行提供了最根本的基礎(chǔ).

該公共特征包含如下通用實(shí)施:

1)GP 2.1.1——分配資源.為執(zhí)行過程域基本實(shí)施提供充分的資源，包括人(特別是關(guān)鍵人員)、技術(shù)、工具、設(shè)備等.

2)GP 2.1.2——分配責(zé)任.為服務(wù)過程分配任務(wù)和責(zé)任，包括內(nèi)部、外部和過程實(shí)施的所有相關(guān)方和個(gè)人.

3)GP 2.1.3——文檔化過程.將過程域執(zhí)行的方法形成標(biāo)準(zhǔn)化和 或程序化文檔.

4)GP 2.1.4——提供工具.為支持過程域的執(zhí)行提供適當(dāng)?shù)墓ぞ?

5)GP 2.1.5——保證培訓(xùn).保證過程域執(zhí)行人員獲得適當(dāng)?shù)倪^程執(zhí)行方面的培訓(xùn).

6)GP 2.1.6——規(guī)劃過程.對(duì)過程域的實(shí)施進(jìn)行規(guī)劃.

2.2.2 公共特征 2.2——規(guī)范化執(zhí)行

該公共特征的通用實(shí)施注重于對(duì)過程實(shí)施的控制程度.列出了過程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過程執(zhí)行、配置管理下依照過程產(chǎn)生的工作產(chǎn)品.

該公共特征包含如下通用實(shí)施:

1)GP 2.2.1——使用計(jì)劃、標(biāo)準(zhǔn)和程序.在執(zhí)行過程域中，使用文檔化的計(jì)劃、標(biāo)準(zhǔn)和 或程序指導(dǎo)實(shí)施.

2)GP 2.2.2——進(jìn)行配置管理.將過程域的輸出適當(dāng)?shù)刂糜谂渲霉芾硐拢M(jìn)行版本控制和 或變更控制.

2.2.3 公共特征 2.3——驗(yàn)證執(zhí)行

該公共特征的通用實(shí)施注重于確認(rèn)過程按預(yù)定的方式執(zhí)行.因此這個(gè)通用實(shí)施涉及到驗(yàn)證執(zhí)行過程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致性的，以及對(duì)工作產(chǎn)品的審計(jì).

該公共特征包含如下通用實(shí)施:

1)GP 2.3.1——驗(yàn)證過程一致性.驗(yàn)證過程與可用標(biāo)準(zhǔn)和 或程序的一致性.

2)GP2.3.2——審計(jì)工作產(chǎn)品.驗(yàn)證工作產(chǎn)品與可用標(biāo)準(zhǔn)和 或程序、需求及測(cè)量目標(biāo)的一致性.

2.2.4 公共特征 2.4——跟蹤執(zhí)行

該公共特征的通用實(shí)施注重于控制項(xiàng)目進(jìn)展的能力.因此，該過程通過計(jì)劃跟蹤過程執(zhí)行，當(dāng)實(shí)施與計(jì)劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng).這些通用實(shí)施形成了達(dá)到充分定義過程能力的根本基礎(chǔ).

該公共特征包含如下通用實(shí)施:

1)GP 2.4.1——使用測(cè)量跟蹤.根據(jù)計(jì)劃通過測(cè)量跟蹤過程域狀態(tài).

2)GP 2.4.2——采取修正措施.當(dāng)與計(jì)劃間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?

2.3 能力級(jí)別3——充分定義級(jí)

在此級(jí)別，基本實(shí)施按照充分定義的過程執(zhí)行.充分定義的過程是依據(jù)對(duì)文檔化的標(biāo)準(zhǔn)過程進(jìn)行裁剪并經(jīng)批準(zhǔn)的過程版本.此過程與計(jì)劃和跟蹤級(jí)的主要區(qū)別在于利用組織范圍內(nèi)的過程標(biāo)準(zhǔn)來管理和規(guī)劃.

該能力級(jí)別包括以下公共特征［8］:

1)公共特征3.1——定義標(biāo)準(zhǔn)過程;

2)公共特征3.2——執(zhí)行已定義的過程;

3)公共特征3.3——協(xié)調(diào)安全實(shí)施.

2.3.1 公共特征 3.1——定義標(biāo)準(zhǔn)過程

該公共特征的通用實(shí)施注重于標(biāo)準(zhǔn)過程的制度化.1個(gè)標(biāo)準(zhǔn)過程需要適合特定環(huán)境的使用，所以也應(yīng)考慮到如何進(jìn)行裁剪.定義標(biāo)準(zhǔn)化的過程文檔，滿足特定用途對(duì)標(biāo)準(zhǔn)過程進(jìn)行的裁剪.這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ).

該公共特征包括以下通用實(shí)施:

1)GP 3.1.1——過程標(biāo)準(zhǔn)化.為組織定義 1個(gè)文檔化的標(biāo)準(zhǔn)過程或過程族，描述了如何實(shí)現(xiàn)過程域的基本實(shí)施，建立通用的政策、標(biāo)準(zhǔn)和程序，這稱之為“標(biāo)準(zhǔn)過程定義”.

2)GP 3.1.2——裁剪標(biāo)準(zhǔn)過程.裁剪標(biāo)準(zhǔn)過程族以建立1個(gè)滿足專門用途特定需要的定義過程.

2.3.2 公共特征3.2——執(zhí)行已定義過程

該公共特征注重于充分定義過程的可重復(fù)執(zhí)行，提出了已定義過程的使用.針對(duì)有缺陷過程，執(zhí)行其結(jié)果的核查過程，及其結(jié)果數(shù)據(jù)的使用.

該公共特征包括如下通用實(shí)施［8］:

1)GP 3.2.1——使用充分定義的過程.在過程域的實(shí)施中使用充分定義的過程.一個(gè)充分定義的過程應(yīng)包含文檔化的、一致的和完整的政策、標(biāo)準(zhǔn)、輸入、進(jìn)入條件、活動(dòng)、程序、特定角色、測(cè)量、確認(rèn)、模板、輸出及退出條件.

2)GP 3.2.2——執(zhí)行缺陷復(fù)查.對(duì)過程域的適當(dāng)工作產(chǎn)品進(jìn)行缺陷復(fù)查.

3)GP 3.2.3——使用充分定義的數(shù)據(jù).通過使用執(zhí)行已定義過程的數(shù)據(jù)，來管理此過程，在2級(jí)開始收集的測(cè)量數(shù)據(jù)，在這層得到更積極的應(yīng)用并且為下級(jí)別的定量管理奠定了基礎(chǔ).

2.3.3 公共特征 3.3——協(xié)調(diào)實(shí)施

此公共特征側(cè)重于項(xiàng)目活動(dòng)的協(xié)調(diào).許多重大活動(dòng)都是由項(xiàng)目中的不同工作組和代表項(xiàng)目的甲方共同完成的.缺乏協(xié)調(diào)將會(huì)導(dǎo)致工期延誤和不可比的結(jié)果.因此應(yīng)確定組內(nèi)、組間、組外活動(dòng)的協(xié)調(diào)機(jī)制.這些通用實(shí)施是獲得定量控制過程能力的必要基礎(chǔ).

此公共特征包含以下通用實(shí)施［8］:

1)GP 3.3.1——執(zhí)行組內(nèi)協(xié)調(diào).協(xié)調(diào)項(xiàng)目組內(nèi)的溝通，保證了關(guān)于技術(shù)問題的決定是一致的.

2)GP 3.3.2——執(zhí)行組間協(xié)調(diào).

3)GP 3.3.3——執(zhí)行外部協(xié)調(diào).

2.4 能力級(jí)別4——量化控制級(jí)

該級(jí)別收集、分析執(zhí)行的詳細(xì)測(cè)量.這將獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測(cè)執(zhí)行情況.該級(jí)別執(zhí)行的管理是客觀的，工作產(chǎn)品的質(zhì)量是量化的.該級(jí)別與充分定義級(jí)的主要區(qū)別在于定義的過程是定量的理解和控制.

該能力級(jí)別包括如下公共特征［8］:

1)公共特征4.1——建立可測(cè)的質(zhì)量目標(biāo);

2)公共特征4.2——客觀地管理執(zhí)行.

2.4.1 公共特征4.1——建立可測(cè)的質(zhì)量目標(biāo)

該公共特征的通用實(shí)施側(cè)重于為項(xiàng)目過程的工作產(chǎn)品建立可測(cè)量目標(biāo).因此該公共特征提出了質(zhì)量目標(biāo)的建立，這些通用實(shí)施為客觀地執(zhí)行管理提供了必要的基礎(chǔ).

該公共特征包括如下通用實(shí)施［8］:

GP 4.1.1——建立質(zhì)量目標(biāo).為標(biāo)準(zhǔn)過程族的工作產(chǎn)品建立可測(cè)量的質(zhì)量目標(biāo)，與服務(wù)需求方的特定要求和優(yōu)先級(jí)或項(xiàng)目策略的要求緊密聯(lián)系.測(cè)量的意義是對(duì)所使用過程得到充分理解，這樣便能夠設(shè)置并使用工作產(chǎn)品測(cè)量中間目標(biāo).

2.4.2 公共特征4.2——客觀地管理執(zhí)行

該公共特征的通用實(shí)施側(cè)重于確定過程能力的量化測(cè)量并使用量化測(cè)量來管理這個(gè)過程，該公共特征提出量化地確定過程能力和以量化測(cè)量作為修正行動(dòng)的基礎(chǔ).

該公共特征包括如下通用實(shí)施［8］:

1)GP 4.2.1——確定過程能力.量化地確定已定義過程的過程能力.

2)GP 4.2.2——使用過程能力.當(dāng)過程未按定義過程能力執(zhí)行時(shí)，適當(dāng)?shù)夭扇⌒拚袆?dòng).

2.5 能力級(jí)別5——持續(xù)改進(jìn)級(jí)

在該級(jí)別上，基于項(xiàng)目的商務(wù)目標(biāo)并針對(duì)過程的有效性和執(zhí)行效率建立量化執(zhí)行目標(biāo).通過執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行持續(xù)過程改進(jìn).此級(jí)別與定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解，進(jìn)行連續(xù)調(diào)整和改進(jìn).

該能力級(jí)別包括如下公共特征［8］:

1)公共特征5.1——改進(jìn)組織能力;

2)公共特征5.2——改進(jìn)過程有效性.

2.5.1 公共特征 5.1——改進(jìn)組織能力

該公共特征的通用實(shí)施注重于在標(biāo)準(zhǔn)過程的使用進(jìn)行比較和在這些不同使用之間進(jìn)行比較.當(dāng)這些過程被使用時(shí)，尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì)，分析產(chǎn)生的缺陷以標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的其他可能改進(jìn).因此，該公共特征對(duì)過程的有效性建立了目標(biāo)、標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的改進(jìn)以及分析對(duì)標(biāo)準(zhǔn)過程的可能變更.

該公共特征包括如下通用實(shí)施［8］:

1)GP 5.1.1——建立過程有效性目標(biāo).為改進(jìn)過程有效性，根據(jù)組織的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo).

2)GP 5.1.2——持續(xù)改進(jìn)標(biāo)準(zhǔn)過程.通過改變標(biāo)準(zhǔn)過程族連續(xù)地改進(jìn)過程，從而提高過程有效性.

2.5.2 公共特征5.2——改進(jìn)過程有效性

該公共特征的通用實(shí)施注重于制定連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程.因此這個(gè)公共特征提出消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程.

該公共特征包括如下通用實(shí)施［8］:

1)GP 5.2.1——執(zhí)行因果分析.執(zhí)行缺陷的因果分析.

2)GP 5.2.2——消除缺陷原因.有選擇地消除已定義過程中缺陷產(chǎn)生的原因.

3)GP 5.2.3——持續(xù)改進(jìn)已定義過程.通過改變已定義過程來連續(xù)地改進(jìn)過程實(shí)施，以提高其有效性.

3 總 結(jié)

目前，我國各行業(yè)、各地區(qū)在依據(jù)國家法律、法規(guī)、標(biāo)準(zhǔn)等要求，結(jié)合行業(yè)和地區(qū)特點(diǎn)分析建立各行業(yè)、各地區(qū)的行業(yè)與地區(qū)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，開展風(fēng)險(xiǎn)評(píng)估工作.但是各行業(yè)、各地區(qū)在開展信息安全風(fēng)險(xiǎn)評(píng)估工作的同時(shí)，因?yàn)樾袠I(yè)發(fā)展的不同步、地區(qū)經(jīng)濟(jì)發(fā)展的不平衡，信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的水平參差不齊.無統(tǒng)一的對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)水平進(jìn)行評(píng)價(jià)的可參考的依據(jù)，本文旨在提出一個(gè)對(duì)風(fēng)險(xiǎn)評(píng)估服務(wù)能力水平進(jìn)行評(píng)價(jià)的參考方法.