CMMI V3.0管理安保威胁和漏洞实践域是CMMI安保视图的通用实践 域

CMMI管理安保威胁和漏洞实 践域必需的实践域信息  

意图
识别可能影响组织或解决方案的安保威胁和漏洞，分析潜在影响，以及定义并采取行动以解决和缓解这些影响。

价值
提高组织识别、缓解威胁和漏洞以及从中恢复的能力和韧性。

其他必需的实践域信息
管理安保威胁和漏洞是一项需要日复一日、年复一年持续开展的活动。这项活动应当永无止境，而不能是一种亡羊补牢或权衡之举，例如时间进度、成本和质量等。不过，并非每个威胁或漏洞都会产生相同的影响。做此类工作的组织或项目需要根据所记录的标准，采用全面且系统的方法，在考虑业务、使命或解决方案面临的潜在风险和影响的情况下，持续分类、评估和选择需要解决的最关键威胁和漏洞。

CMMI管理安保威胁和漏洞实践域解 释性实践域信息

CMMI管理安保威胁和漏洞实 践总结

第 1 级
 

MST 1.1 识别并记录安保威胁和漏洞。
MST 1.2 采取行动解决安保威胁和漏洞。

第 2 级
 

MST 2.1 开发、持续更新并遵循安保威胁和漏洞处理方法。
MST 2.2 制定和持续更新安保威胁和漏洞评估标准。
MST 2.3 利用所记录的标准确定运营期间出现的最关键安保威胁和漏洞的优先级，并监控和解决这些威胁和漏洞。
MST 2.4 评估和报告为处理解决方案的关键安保威胁和漏洞而采取的方法和行动的有效性。

第 3 级
 

MST 3.1 制定、持续更新并遵循组织安保策略、方法和架构，以评估、管理和验证威胁和漏洞。
MST 3.2 分析安保验证和确认结果，以便在整个组织中确保准确性、可比性、一致性和有效性。
MST 3.3 评估用于解决安保威胁和漏洞的组织安保策略、方法和架构的有效性。

第 4 级

MST 4.1 使用统计与其他量化技术执行威胁情报分析，以开发和改进解决方案的安保方法和架构，并选择安保解决方案以解决威胁和漏洞。

CMMI管理安保威胁和漏洞其他实 践域解释性信息

针对持续威胁和漏洞建立策略、方法和架构，以系统地识别、监控、分析并采取行动，以便在开发、部署或交付、运营或弃用期间，有效地预测和缓解解决方案或解决方案组件的威胁和漏洞。
项目（或项目群）管理以及风险与机会管理计划通常包括安保策略、目标、方法和架构。这些计划中的信息通常包括识别风险和安保漏洞的来源，及其对组织或解决方案的潜在影响。通过考虑相关威胁和漏洞来分析风险，并采取充分的安保行动；也可以将这些行动定义为或视为风险处理行动。
目的是达成运营解决方案目标，例如在所定义的环境中运营解决方案时，最大限度减少数据或解决方案组件的保密性、完整性或可用性所面临的风险。
定期执行安保风险评估，以识别可以添加到解决方案的要求和在工作过程中定义的安保活动中的缓解措施。风险有很多维度，包括考虑固有和残余的安保风险。安保风险与机会管理的主要元素包括为解决方案制定安保风险与机会管理计划、执行解决方案的安保风险评估，以及根据由此制定的缓解计划采取行动。
漏洞处理超出了解决方案开发或执行过程的范围，但将在项目和解决方案的整个生命周期内执行。
一些工作能及早识别和消除安保弱项和漏洞，它们可以防止：
• 安保弱项和漏洞被攻击者利用，从而引发事故
• 安保漏洞的外部检测和报告
• 在处理事故和漏洞时开展过多的工作（例如成本、资源、进度），这可能会影响客户的信任度

CMMI管理安保威胁和漏洞外部参考资料

与CMMI管理安保威胁和漏洞相关的实践域

连续性 (CONT)
赋能安保 (ESEC)
事故处理和预防 (IRP)
风险与机会管理 (RSK)

与CMMI管理安保威胁和漏洞相关的特定背景

服务

背景标签：CMMI-SVC

背景：使用过程来交付、管理和改善服务，以满足客户需求。

在服务背景下，管理威胁和漏洞包括：
• 识别组织服务运营中的潜在威胁和漏洞，包括服务系统或服务系统组件
• 保护组织、客户和用户的数据和信息
• 确保不会在服务系统或服务系统组件中引入可能影响范围更广的解决方案或服务的威胁和漏洞。

供应商

背景标签：CMMI-SPM
背景：使用过程来识别、选择和管理供应商及其协议。

对于解决方案生命周期内的其他阶段，确保采购和供应商管理活动也会执行安保风险评估。在采购解决方案的任何阶段，必须考虑并解决安保问题，包括威胁和漏洞。这包括执行风险评估以识别缓解措施，这可能会影响已经获得的解决方案需求或者过程中定义的安保活动。在执行供应商管理活动时，确保供应商解决方案或解决方案组件的安保风险与机会管理计划、安保风险评估和缓解计划，能够解决漏洞和威胁的影响。

CMMI-DEV V1.3中没有对管理安保威胁和漏洞（MST）过程域的说明