《工业互联网安全成熟度模型:从业者指南》对我国的启示

为加速推动安全成熟度模型在工业互联网重要领域的应用落地,2019年2月25日,美国工业互联网产业联盟发布《工业互联网安全成熟度模型:从业者指南》,构建了完备的安全成熟度模型,形成了动态的工业互联网安全评估流程,并成功应用该模型开展安全实践评估工作。对此,我国应充分重视,加快开展重点领域安全评估管理实践,提速安全评测标准的研制,加快推动重点领域安全实践应用,强化安全态势感知能力建设,发挥我国产业联盟桥梁纽带作用,构建完备可靠的工业互联网安全评估体系。

数字政府建设中的数据应用安全机制研究--基于数据安全能力成熟度模型应用视角

数字政府建设作为数字经济、数字中国的重要基础,已成为推进服务型政府建设的有力抓手。通过开展基于数据安全能力成熟度模型的综合评估,发现数字政府建设中数据应用安全在组织建设、制度流程、技术工具和人员培训等方面的问题,因此应构建和完善数字政府数据应用安全责任机制、数据安全制度流程体系化运作机制、数据安全技术工具联动机制和数据安全人员技能培训机制,推动“共建共治共享”治理体系建设,促进国家治理体系和治理能力现代化。

我国核电“走出去”技术外溢及风险研究——基于系统安全工程能力成熟度模型

我国核电面临"走出去"的机遇,但海外投资过程防范优势技术外溢的具体方法却缺乏理论指导。文章根据核电"走出去"合作模式分析了技术外溢的渠道,借鉴系统安全工程能力成熟度模型,对技术外溢过程的威胁、系统脆弱性及影响信息进行识别与评估、构建工程过程风险信息表,用于指导我国核电"走出去"技术外溢的防范方案,并以巴基斯坦恰希玛核电站2号机组为例进行了举例分析。该方法能为我国核电"走出去"的政府决策提供一些参考。

产品开发安全性能力成熟度模型

产品开发安全性能力成熟度模型是为了评价和改进组织提供安全关键产品的能力而开发的一种成熟度模型。在介绍组成安全性能力成熟度模型的两个过程域的基础上,给出了改进组织开发安全关键产品能力的安全性特定实践;讨论了安全性能力成熟度模型与产品开发能力成熟度模型,以及与安全性标准之间的关系;给出了使用安全性能力成熟度模型需要注意的事项。

系统安全测试能力成熟度模型框架研究

明确了安全需求识别过程,提出了系统安全测试能力成熟度模型(SSTMM),可用于评价测试组织的系统安全测试能力成熟度等级。

信息安全能力成熟度模型(IS-CMM)的建构

在能力成熟度模型(CMM)的基础上提出"信息安全能力成熟度模型"(IS－CMM)这一构想，并着重探讨了IS－CMM各级中的核心流程域KPAs的构建。

系统安全工程能力成熟度模型及其应用

这篇文章首先介绍了系统安全工程能力成熟度模型SSE -CMM的主要概念和体系结构 ;接着讨论了SSE-CMM的主要用途及系统安全工程能力成熟度模型的评估方法 ;最后 ,预测了SSE -CMM在国内的应用前景。

信息安全治理成熟度模型

信息安全治理,是指最高管理层(董事会)监督管理层在信息安全战略上的过程、结构和联系,以确保这种运营处于正确的轨道.缺乏良好信息安全治理机制的组织,亦即缺乏健全的制度安排,因而不可能具备良好的信息安全管理体系,也不可能取得信息化的成功;同样,没有信息安全管理体系的畅通,单纯的治理机制也只能是一个美好的蓝图,而缺乏实际的内容.

金融领域数据安全能力体系构建方法研究

《中华人民共和国数据安全法》要求建立健全全流程数据安全管理制度,依照法律、法规开展数据处理活动。《中国人民银行业务领域数据安全管理办法(征求意见稿)》提出了金融领域的数据安全保护总体要求、数据分类分级、数据安全保护措施等方面的要求。为了帮助金融机构落实相关国家、行业数据安全要求,提出一种基于数据安全能力成熟度模型的数据安全能力体系构建方法,从组织建设、制度流程、技术工具和人员能力四个维度分别建设数据安全能力。所提方法可以帮助金融机构全面提升数据安全防护能力,从而满足合规需求以及自身发展需要。

云原生安全能力成熟度模型研究

构建云原生安全能力成熟度模型,旨在为电信运营商提供一个精准评估和持续增强云原生安全实践的方法论。该模型采用多维度评估方法,结合行业最佳实践和组织战略需求,综合考量了基础设施安全、云原生基础架构安全、应用安全、研发运营安全和安全运维5个关键领域,定义了5个成熟度等级,并制定了详细的评价指标和实施策略。通过该模型,运营商能够全面评估其云原生安全水平,识别安全短板,并制定相应的改进措施。

基于DSMM模型的数据安全评估模型研究与设计

文章从数据安全评估的角度出发,基于数据安全治理框架和数据安全能力成熟度模型,并结合网络安全等级保护制度2.0,对数据安全相关技术和评估方法进行研究分析,在此基础上提出一种“管理+技术”的数据安全评估模型。该模型以数据为中心,结合各组织在业务发展中的不同安全需求进行调整,评估项具备较好的通用性,可用于具有信息系统的组织机构进行评估,开展数据安全保障工作。

基于概率犹豫模糊集的医疗数据安全风险评估

医疗数据一直以来都深受网络攻击和窃取行为的威胁。因缺乏相关的标准和规范,我国的医疗数据安全风险事前评估沿用网络安全风险评估体系。基于数据安全能力成熟度模型,从医疗数据全生命周期角度出发,以医疗系统业务流为主线,对医疗数据安全风险进行分析,构建了医疗数据安全风险评估模型,并提出一种基于概率犹豫模糊集的层次分析和逼近理想解排序法,用于对安全风险模型进行量化分析。

基于SSE-CMM的电力信息安全工程评估

研究了利用系统安全工程能力成熟度模型(SSE-CMM)进行电力信息系统安全工程过程能力评估的方法和步骤,提出了结合BS 7799(ISO/IEC 17799)指导安全工程过程评估内容的新思路,讨论了一种通过问卷答案来生成量化评估结果的评分体系。在该评分体系中,通过定义“完成指数”这一概念使得评估流程易于实现,增强了SSE-CMM应用于电力信息安全评估的可操作性。

基于SSE-CMM的电力通信系统安全性评估

SSE-CMM是一种衡量安全工程实践能力的方法,其目标是将安全工程发展为一整套有意义的、成熟的及可靠的学科。文章简介了SSE-CMM的模型,包括概念、发展历程、应用目标与范围、核心内容以及评估方法。具体阐述了以SSE-CMM模型为度量依据对电力系统通信安全状况进行评估的解决方案。

基于SSE-CMM的数据网系统安全风险评估方案

介绍了基于系统安全工程能力成熟度模型(SSE-CMM)和我国电信数据网系统结构,给出了一种新的电信数据网风险评估方案的模型框架。此方案框架对电信数据网的风险评估具有实际指导价值。

系统安全工程在农业信息化中的应用

介绍了SSE-CMM的模型;具体阐述了以SSE-CMM模型为依据对农业信息化系统安全状况进行评估的执行方案,包括评估的整体思路、方案的设计和技术关键;重点对SSE-CMM模型与农业信息系统之间映射和关联的部分对应关系以及对农业信息系统进行调研的部分条目进行了阐述;最后,介绍了此模型在农业信息化安全评估中的应用前景。

基于SSE-CMM的安全评估工程过程的研究

简单介绍了SSE-CMM的工程过程,讨论了基于工程过程对电力系统通信网络安全状况进行评估和改进的解决方案,提出了基于此过程的电力系统通信安全管理模式的思想,对此过程中各个过程域进行了映射与关联。

基于度量学的认证认可方法研究

IT系统在生命期中运行、应用和连接时一般要经历持续的改变。而很多变化只有在三年一度的C＆A过程中才能捕获到;这将增加系统风险的暴露。通过结构化、循序渐进的方法,提高安全度量标准,优化风险评估过程,改进认证认可方法。

基于SSE-CMM的电力生产系统安全性评估

根据电力生产系统安全特性,利用系统安全工程能力成熟度模型对电力生产系统进行映射、关联、裁剪得到电力生产系统安全工程过程域并构建基本实践,结合能力级别定义和要求得出了每个过程域的能力级别。以某电力生产系统为例,应用SSE-CMM模型,通过调研取证,获得了该电力生产系统安全工程能力成熟度水平,为电力生产系统安全性整改提供基础决策依据。

基于DSMM国家标准的数据安全治理应用实践

以贵州为数据安全治理“试验田”,遵循GB/T 37988—2019《信息安全技术数据安全能力成熟度模型》,形成以DSMM国家标准为抓手的数据安全治理“贵州实践”,向全国输出标准应用实践,构建了基于DSMM的以“法规标准”为指引、以“评估检测”为手段、以“咨询服务、技术产品、人才培养”为支撑的“五维一体”数据安全治理体系。