CMMI-ACQ浅析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
展
1、CMMI-ACQ和ISO27000都在各自的领域建立了很好的过程管理模型. 2、however,软件采购组织想要同时采用CMMI-ACQ采购过程模型和ISO27000信息安 全管理模型, 2种模型在结构和要求上的是不一致的. 3、必然会给采购组织的有效管理带来较重的负担,甚至还会因为模型之间的可能的不一 致导致潜在的安全隐患. So, we should consider CMMI-ACQ与ISO27000的对应
2 CMMI-ACQ基本介绍
CMMI一ACQ有22个过程域分别是:
2 CMMI-ACQ基本介绍
六个过程域的主要目的:
采购需求开发:开发和分析客户和合同的要求 标书和供应商合同开发:准备相关的采购文件,选择供应商,并建立和维护供应商合同。 合同管理:保证供应商和采购方按照采购合同的要求一致执行。执行过程的具体活动,由项目管理的一组过 程域完成。 采购技术管理:评价供应商的技术方案并管理技术接口 采购验证:确保选择的工作产品,例如子系统、服务等满足其制定的需求。 采购确认:演示确认采购的产品或服务在预期的环境中完全满足其预期的要求
5 信息技术和服务安全采购模型SAMEC
依据CMMI-ACQ的结构对采购类的6个过程域:采购需求开发(ARD),标书和供应商合同开发(SSAD),采购技术管理(ATM),采购验 证(AVER),采购确认(AVAL)和合同管理(AM)按照ISO27000标准进行了相关安全管理扩展SM(security management),分别提出了: ARD过程域上5个安全扩展实践ESP1.1-ESP1.5 (extended specific practice); SSAD过程域上3个安全扩展实践ESP2.1-ESP2.3; ATM过程域上6个安全扩展实践ESP3.1- ESP3.6; AVER过程域上5个安全扩展实践ESP4.1-ESP4.5; AVAL过程域上3个安全扩展实践ESP5.1-ESP5.3 AM过程域上安全扩展目标ESG6 (extended specific goal)和3个安全扩展实践ESP6.1-ESP6.3
3 ISO 27000系列简介
但如何针对具体的采购过程,既要保证采购 过程的合同、技术、产品、质量管理,又要保 证相关的信息安全管理,在现有的模型框架下 是比较困难的.
4 基于CMMI-ACQ的安全扩展
根据ISO27000中信息安全管理的标准,对 CMMI-ACQ的采购过程的过程域进行了安全属 性的扩展. 通过对CMMI-ACQ进行安全实践和目标的扩 展,一方面不会改变组织使用CMMI-ACQ的习 惯,另一方面也达到了关注安全属性,保障信息 技术和服务采购安全性的目标.
4 基于CMMI-ACQ的安全扩展
CMMI-ACQ与ISO27000的对应: 1、分析CMMI-ACQ和ISO27000,重点关注 ISO27000标准过程中对采购过程安全性
的要求和指导. 2、按照ISO27002的标准,提取和总结出10
个采购过程中所需的安全要求SR1-SR10. 3、将安全要求对应到CMMI-ACQ的6个采购
1 引言
调查表明影响IT项目成功的前十大风险中,采购与合同过程的不一致位居第 三位,位居第二位则是需求的易变性。
由此可见,IT项目的成败和采购方有着非常重要的关系。
1 引言
目前信息技术和服务的采购仍然存在很多 问题(重要信息泄露、资源浪费、欺诈等) 所以说,采购的成功进行以及采购的安全 性成为了采购过程中亟待解决的问题.
过程域上.
4 基于CMMI-ACQ的安全扩展
1、由于在实际应用中, CMMI模型广泛应用, 较好的应用基础,so,扩展时, 保留CMMIACQ的基本组织形式. 2、对ISO27000中和采购相关的信息安全管 理的要求和实践进行抽取和裁剪,将与采购 相关的安全管理要求以安全实践或安全目 标的形式扩展到CMMI-ACQ模型上.
2 CMMI-ACQ基本介绍
However,由于CMMI-ACQ的广泛适用性,使 得信息安全这一重要的属性被忽略. 安全属性的忽略并不是CMMI的失误,而是其 目标所决定的。对于信息安全关键的部门有 必要增加一些特殊的实践,以保证信息技术和 服务采购过程中不对采购方的信息安全产生 威胁.
3 ISO 27000系列简介
2 CMMI-ACQ基本介绍
CMMI-ACQ模型针对信息技术和服务的采购 过程给出了一套完整的过程管理模型,能够帮 助采购组织对采购、项目管理、过程管理和 支持等过程进行规范化操作和持续的过程改 进. CMMI-ACQ, 模型在框架和核心过程域上兼 容一般信息技术和服务提供组织所采用的 CMMI过程模型.
2 CMMI-ACQ基本介绍
2006年, CMM/CMMI模型推出了最新的版本 CMMI v1.2。CMMI v1.2提出了一个模型群,其 中CMMI-ACQ是一个专门针对信息技术和服务 采购的过程管理模型.
2 CMMI-ACQ基本介绍
模型针对采购过程中的关键问题提出了4类 共22个过程域。与组织的信息技术和服务采 购直接相关的是采购过程类别中的ARD、 SSAD、ATM、AM、AVER和AVAL 6个过程域. 四类:Acquisition, Project Management , Process Management and Support
大家好
1
大家好
2
基于CMMI-ACQ的信息技 术和服务安全采购模型
刘园瑶
主要内容
1、引言 2、CMMI-ACQ基本介绍 3、ISO 27000系列简介 4、基于CMMI-ACQ的安全扩展 5、信息技术和服务安全采购模型SAMEC 6、总结与展望
1 引言
Frederick P. Brooks.Jr.在1975年指出,购买 成品软件是软件工程领域意义最深远的开发 方向. 30多年来, 软件重用, COTS技术,组织选择从 外部采购信息技术和服务的比例在不断增加。
2005年,国际标准化组织发布了ISO27000信 息安全管理的标准,其目的在于保护信息的机 密性、完整性和可用性.
ISO27000为信息安全管理提供了一个完整 的框架.
信息安全组织、资产管理、人员安全、物理和环境安 全、通信和运作管理、访问控制、信息系统的信息采集 开发和维护、信息安全事故管理、业务持续性管理、符 合性.
1、CMMI-ACQ和ISO27000都在各自的领域建立了很好的过程管理模型. 2、however,软件采购组织想要同时采用CMMI-ACQ采购过程模型和ISO27000信息安 全管理模型, 2种模型在结构和要求上的是不一致的. 3、必然会给采购组织的有效管理带来较重的负担,甚至还会因为模型之间的可能的不一 致导致潜在的安全隐患. So, we should consider CMMI-ACQ与ISO27000的对应
2 CMMI-ACQ基本介绍
CMMI一ACQ有22个过程域分别是:
2 CMMI-ACQ基本介绍
六个过程域的主要目的:
采购需求开发:开发和分析客户和合同的要求 标书和供应商合同开发:准备相关的采购文件,选择供应商,并建立和维护供应商合同。 合同管理:保证供应商和采购方按照采购合同的要求一致执行。执行过程的具体活动,由项目管理的一组过 程域完成。 采购技术管理:评价供应商的技术方案并管理技术接口 采购验证:确保选择的工作产品,例如子系统、服务等满足其制定的需求。 采购确认:演示确认采购的产品或服务在预期的环境中完全满足其预期的要求
5 信息技术和服务安全采购模型SAMEC
依据CMMI-ACQ的结构对采购类的6个过程域:采购需求开发(ARD),标书和供应商合同开发(SSAD),采购技术管理(ATM),采购验 证(AVER),采购确认(AVAL)和合同管理(AM)按照ISO27000标准进行了相关安全管理扩展SM(security management),分别提出了: ARD过程域上5个安全扩展实践ESP1.1-ESP1.5 (extended specific practice); SSAD过程域上3个安全扩展实践ESP2.1-ESP2.3; ATM过程域上6个安全扩展实践ESP3.1- ESP3.6; AVER过程域上5个安全扩展实践ESP4.1-ESP4.5; AVAL过程域上3个安全扩展实践ESP5.1-ESP5.3 AM过程域上安全扩展目标ESG6 (extended specific goal)和3个安全扩展实践ESP6.1-ESP6.3
3 ISO 27000系列简介
但如何针对具体的采购过程,既要保证采购 过程的合同、技术、产品、质量管理,又要保 证相关的信息安全管理,在现有的模型框架下 是比较困难的.
4 基于CMMI-ACQ的安全扩展
根据ISO27000中信息安全管理的标准,对 CMMI-ACQ的采购过程的过程域进行了安全属 性的扩展. 通过对CMMI-ACQ进行安全实践和目标的扩 展,一方面不会改变组织使用CMMI-ACQ的习 惯,另一方面也达到了关注安全属性,保障信息 技术和服务采购安全性的目标.
4 基于CMMI-ACQ的安全扩展
CMMI-ACQ与ISO27000的对应: 1、分析CMMI-ACQ和ISO27000,重点关注 ISO27000标准过程中对采购过程安全性
的要求和指导. 2、按照ISO27002的标准,提取和总结出10
个采购过程中所需的安全要求SR1-SR10. 3、将安全要求对应到CMMI-ACQ的6个采购
1 引言
调查表明影响IT项目成功的前十大风险中,采购与合同过程的不一致位居第 三位,位居第二位则是需求的易变性。
由此可见,IT项目的成败和采购方有着非常重要的关系。
1 引言
目前信息技术和服务的采购仍然存在很多 问题(重要信息泄露、资源浪费、欺诈等) 所以说,采购的成功进行以及采购的安全 性成为了采购过程中亟待解决的问题.
过程域上.
4 基于CMMI-ACQ的安全扩展
1、由于在实际应用中, CMMI模型广泛应用, 较好的应用基础,so,扩展时, 保留CMMIACQ的基本组织形式. 2、对ISO27000中和采购相关的信息安全管 理的要求和实践进行抽取和裁剪,将与采购 相关的安全管理要求以安全实践或安全目 标的形式扩展到CMMI-ACQ模型上.
2 CMMI-ACQ基本介绍
However,由于CMMI-ACQ的广泛适用性,使 得信息安全这一重要的属性被忽略. 安全属性的忽略并不是CMMI的失误,而是其 目标所决定的。对于信息安全关键的部门有 必要增加一些特殊的实践,以保证信息技术和 服务采购过程中不对采购方的信息安全产生 威胁.
3 ISO 27000系列简介
2 CMMI-ACQ基本介绍
CMMI-ACQ模型针对信息技术和服务的采购 过程给出了一套完整的过程管理模型,能够帮 助采购组织对采购、项目管理、过程管理和 支持等过程进行规范化操作和持续的过程改 进. CMMI-ACQ, 模型在框架和核心过程域上兼 容一般信息技术和服务提供组织所采用的 CMMI过程模型.
2 CMMI-ACQ基本介绍
2006年, CMM/CMMI模型推出了最新的版本 CMMI v1.2。CMMI v1.2提出了一个模型群,其 中CMMI-ACQ是一个专门针对信息技术和服务 采购的过程管理模型.
2 CMMI-ACQ基本介绍
模型针对采购过程中的关键问题提出了4类 共22个过程域。与组织的信息技术和服务采 购直接相关的是采购过程类别中的ARD、 SSAD、ATM、AM、AVER和AVAL 6个过程域. 四类:Acquisition, Project Management , Process Management and Support
大家好
1
大家好
2
基于CMMI-ACQ的信息技 术和服务安全采购模型
刘园瑶
主要内容
1、引言 2、CMMI-ACQ基本介绍 3、ISO 27000系列简介 4、基于CMMI-ACQ的安全扩展 5、信息技术和服务安全采购模型SAMEC 6、总结与展望
1 引言
Frederick P. Brooks.Jr.在1975年指出,购买 成品软件是软件工程领域意义最深远的开发 方向. 30多年来, 软件重用, COTS技术,组织选择从 外部采购信息技术和服务的比例在不断增加。
2005年,国际标准化组织发布了ISO27000信 息安全管理的标准,其目的在于保护信息的机 密性、完整性和可用性.
ISO27000为信息安全管理提供了一个完整 的框架.
信息安全组织、资产管理、人员安全、物理和环境安 全、通信和运作管理、访问控制、信息系统的信息采集 开发和维护、信息安全事故管理、业务持续性管理、符 合性.