CMMI-ACQ 浅析.pptVIP

基于CMMI-ACQ的信息技术和服务安全采购模型 刘园瑶 * * 主要内容 1、引言 2、CMMI-ACQ基本介绍 3、ISO 27000系列简介 4、基于CMMI-ACQ的安全扩展 5 、信息技术和服务安全采购模型SAMEC 6 、总结与展望 * * 1 引言 Frederick P. Brooks.Jr.在1975年指出，购买成品软件是软件工程领域意义最深远的开发方向. 30多年来, 软件重用, COTS技术,组织选择从外部采购信息技术和服务的比例在不断增加。 * * 1 引言 调查表明影响IT项目成功的前十大风险中，采购与合同过程的不一致位居第三位，位居第二位则是需求的易变性。 由此可见，IT项目的成败和采购方有着非常重要的关系。 * * 1 引言 目前信息技术和服务的采购仍然存在很多问题（重要信息泄露、资源浪费、欺诈等） 所以说，采购的成功进行以及采购的安全性成为了采购过程中亟待解决的问题. * * 2 CMMI-ACQ基本介绍 2006年, CMM/CMMI模型推出了必威体育精装版的版本CMMI v1.2。CMMI v1.2提出了一个模型群,其中CMMI-ACQ是一个专门针对信息技术和服务采购的过程管理模型. * * 2 CMMI-ACQ基本介绍 模型针对采购过程中的关键问题提出了4类共22个过程域。与组织的信息技术和服务采购直接相关的是采购过程类别中的ARD、SSAD、ATM、AM、AVER和AVAL 6个过程域. 四类：Acquisition, Project Management , Process Management and Support * * 2 CMMI-ACQ基本介绍 CMMI一ACQ有22个过程域分别是: 序号 过程域 序号 过程域 1 合同管理 AM 12 组织过程定义 OPD 2 采购需求开发 ARD 13 组织过程焦点 OPF 3 采购技术管理 ATM 14 组织过程性能 OPP 4 采购确认 AVAL 15 组织培训 OT 5 采购验证 AVER 16 项目监控 PMC 6 原因分析与解决 CAR 17 项目计划 PP 7 配置管理 CM 18 过程与产品质量保证 PPQA 8 决策分析与解决 DAR 19 量化项目管理 QPM 9 集成项目管理 IPM 20 需求管理 REQM 10 度量与分析 MA 21 风险管理 RSKM 11 组织创新部署 OID 22 采购标书与供应商合同开发 SSAD * * 2 CMMI-ACQ基本介绍 六个过程域的主要目的： 采购需求开发:开发和分析客户和合同的要求 标书和供应商合同开发:准备相关的采购文件，选择供应商，并建立和维护供应商合同。 合同管理:保证供应商和采购方按照采购合同的要求一致执行。执行过程的具体活动，由项目管理的一组过程域完成。 采购技术管理:评价供应商的技术方案并管理技术接口 采购验证:确保选择的工作产品，例如子系统、服务等满足其制定的需求。 采购确认:演示确认采购的产品或服务在预期的环境中完全满足其预期的要求 * * 2 CMMI-ACQ基本介绍 CMMI-ACQ模型针对信息技术和服务的采购过程给出了一套完整的过程管理模型,能够帮助采购组织对采购、项目管理、过程管理和支持等过程进行规范化操作和持续的过程改进. CMMI-ACQ, 模型在框架和核心过程域上兼容一般信息技术和服务提供组织所采用的CMMI过程模型. * * 2 CMMI-ACQ基本介绍 However，由于CMMI-ACQ的广泛适用性,使得信息安全这一重要的属性被忽略. 安全属性的忽略并不是CMMI的失误,而是其目标所决定的。对于信息安全关键的部门有必要增加一些特殊的实践,以保证信息技术和服务采购过程中不对采购方的信息安全产生威胁. * * 3 ISO 27000系列简介 2005年,国际标准化组织发布了ISO27000信息安全管理的标准,其目的在于保护信息的机密性、完整性和可用性. ISO27000为信息安全管理提供了一个完整的框架. 信息安全组织、资产管理、人员安全、物理和环境安全、通信和运作管理、访问控制、信息系统的信息采集开发和维护、信息安全事故管理、业务持续性管理、符合性. * * 3 ISO 27000系列简介 但如何针对具体的采购过程,既要保证采购过程的合同、技术、产品、质量管理,又要保证相关的信息安全管理,在现有的模型框架下是比较困难的. * * 4 基于CMMI-ACQ的安全扩展 根据ISO27000中信息安全管理的标准,对CMMI-ACQ的采购过程的过程域进行了安全属性的扩展. 通过对CMMI-ACQ进行安全实践和目标的扩展,一方面不会改变组织