《信息安全工程學(xué)-夏魯寧》第12講sse-cmm評估方法x

1、信息安全工程學(xué),第12講 SSE-CMM評估方法,1,.,SSE-CMM評估方法（SSAM）,SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段,2,.,SSE-CMM評估方法（SSAM）,SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段,3,.,SSAM概述,如何按照SSE-CMM模型來評估一個工程組織的成熟度？ SSAM, SSE-CMM Appraisal Method 作為專門基于SSE-CMM的評估方法； 包含評估一個信息安全工程組織的工程過程能力和成熟度所必需的信息及指南； 可用于組織級評估，也可用于項目級的評估 SSAM使用多重數(shù)據(jù)采集方法獲得被評估組織或項目中所實施過程的

2、相關(guān)信息 采集途徑：問卷調(diào)查、人員訪談、證據(jù)分析,4,.,SSAM評估的參與者,就大的范圍而言，實現(xiàn)SSAM 評估的參與方包括發(fā)起組織、評估組織及被評估組織。,5,.,發(fā)起組織（發(fā)起者）,發(fā)起組織是評估過程的啟動者 責(zé)任： 定義評估范圍和目標 從評估組織中選擇可用的評估方案 對SSE-CMM模型進行裁減以適應(yīng)需要 另外，發(fā)起組織可能需要為評估組織提供資金,6,.,評估組織（評估者）,評估組織提供從事評估工作的人員 大多數(shù)情況下，評估組織將協(xié)助發(fā)起方選擇合適的評估方案，以及裁減SSE-CMM 評估人員在評估過程中要注意保持客觀態(tài)度，不要把偏見帶入工作中,7,.,被評估組織（被評估者）,被評估組織

3、，顧名思義，是接受評估的組織 可能是組織的一個部門，也可能是整個組織 被評估組織要做的事情通常由發(fā)起方給出評估要求的時候確定，或者由競標會上投標的評估組織給出。它依賴公司的組織結(jié)構(gòu)。,8,.,SSAM評估的參與者,三種類型的組織中，各包含若干個角色，下面的表格概括了主要的角色 注意，組織中的單個人可能同時扮演多個角色 對于自評估來說，評估參與者大多來自同一個組織，但是從評估的目標、功能來看，仿佛是來自不同的三個組織 但是，有興趣進行自評估的組織也可能把評估工作外包,9,.,SSAM評估的參與者,10,.,SSAM評估的參與者（續(xù)表）,11,.,SSAM評估的參與者（續(xù)表）,12,.,SSAM評

4、估的參與者（續(xù)表）,13,.,每個參與者的工作量估計,14,.,評估類型,三方評估 發(fā)起、評估與被評估組織是不同的3個組織 自評估 發(fā)起、評估與被評估組織都是同一個組織 如果是為了自身工程能力的改進，適宜使用自評估 如果評估目標是下列一種，要考慮進行三方評估： 基于工程合同的要求，考察合作方的資格； 獨立的比較供應(yīng)商，看誰最具有資格； 基于檢驗?zāi)康?，評估已有供應(yīng)商； 確保用戶的期望被理解和滿足； 在理解供應(yīng)商弱點的基礎(chǔ)上，管理項目風(fēng)險。,15,.,評估階段,16,.,SSE-CMM評估方法（SSAM）,SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段,17,.,計劃階段,18,.,確立評估

5、范圍,工作目標：確定評估對象和評估界限，以滿足發(fā)起者制定的評估目標 參與角色：,19,.,確立評估范圍（續(xù)）,時間估計：12天。要取決于有多少個現(xiàn)場要評估，每個現(xiàn)場的評估復(fù)雜度，以及使用了多少個評估組 工作步驟： 1 確定評估目標 包括確定評估的原因和需要。典型的評估目標包括：通過確認已知缺陷，來獲得一個等級；來提高組織的工程能力（基于缺陷的認識，識別需要提高的過程域）；來為下一步改進做準備。 發(fā)起者可能要求組織者協(xié)助確定評估目標。,20,.,確立評估范圍（續(xù)）,2 組建評估組 選擇一個能保質(zhì)保量完成評估工作的評估組。發(fā)起者選擇一個能夠執(zhí)行SSE-CMM評估的組織，并在計劃階段將組織者安排進評

6、估組中。 3定義被評估組織要素 被評估組織的某個或某些方面要作為評估范圍的一部分而被涉及到。這首先包括決定需要被評估的部門，也可能整個組織都需要評估。另外，待評估的項目將列表給出。這時還應(yīng)該決定進行會談的次數(shù)，和需要參與會談的人員，包括項目經(jīng)理和項目員工。 此外，評估結(jié)果通報給被評估組織的程序也要確定。,21,.,確立評估范圍（續(xù)）,4 定義評估模型和評估方法 SSE-CMM項目一般不對SSE-CMM模型做出新的解釋（即默認按照SSE-CMM標準文檔中的解釋來施行），也不提供評估方法（SSAM不是SSE-CMM的一部分）。但是，特定的團體可能基于某些特殊需要，要對模型給出一些新的解釋。 在評估

7、中，發(fā)起者一般需要得到對被評估組織工程能力成熟度等級的認證。SSAM中定義了衡量是否達到某個能力成熟度等級的準則，但是發(fā)起者可能特別重視某個等級，因而可能想重新定義達到此等級的準則。,22,.,收集初步證據(jù),工作目標：確保在已定義的評估范圍內(nèi)需要的證據(jù)都被收集到 參與角色,23,.,收集初步證據(jù)（續(xù)）,工作時間估計：12天 工作步驟：,24,.,制定評估計劃,工作目標：提出和審議通過最終的評估計劃，并把參數(shù)和細節(jié)記入文檔。 參與角色,25,.,制定評估計劃（續(xù)）,時間估計：26個星期，取決于評估計劃的復(fù)雜度 工作步驟：,26,.,后勤注意事項,供評估組使用的辦公場所： 評估期一般5天左右，要提

8、供給評估組適當(dāng)?shù)霓k公場所。 辦公場所的空間要足夠大，應(yīng)該包含以下設(shè)施： 會議桌和椅子，要足夠整個組的人開會使用； 電話； 為計算機、投影儀等設(shè)備準備足夠的電源插口； 白板或者白壁。 可能還需要專門的與項目經(jīng)理或項目員工會談的會議室，和舉行評估結(jié)果匯報會的房間。,27,.,后勤注意事項（續(xù)）,考察設(shè)施，人和證據(jù)： 現(xiàn)場協(xié)調(diào)員要安排妥當(dāng)所有需要的對相關(guān)設(shè)施的訪問，以免浪費時間。 可能的話，評估組應(yīng)該得到授權(quán)可以自由對相關(guān)的設(shè)施進行訪問，而無須由被評估組織的人員陪同。 發(fā)起者必須確認需要出席會談的人、需要聆聽評估結(jié)果匯報的人和其它評估計劃中要求的出席的人都是有效的，即需要他們出席的時候能夠保證出席。

9、 需要的證據(jù)必須在評估進行之前就收集并且歸類。保密協(xié)議應(yīng)該提前交給評估組，以便簽署。,28,表5.2 評估工作各角色的工作時間估計,.,后勤注意事項（續(xù)）,供應(yīng)品： 彩色紙張（容易辨別和控制所有信息）； 適當(dāng)?shù)娜萜鱽泶娣潘饺宋锲返幕蛎舾行畔ⅲ?復(fù)印機； 顯示工具（包括圖表和筆）； 如果禁止將紙張粘貼在墻上的話，需要提供白板，可翻頁圖表等平面設(shè)施。 食宿： 現(xiàn)場協(xié)調(diào)員應(yīng)該協(xié)助安排評估組的住宿，使他們能夠方便的往返于評估現(xiàn)場和駐地。 評估的日程很緊湊，所以建議在評估現(xiàn)場要給評估組安排就餐。,29,.,評估手冊注意事項,組織者應(yīng)該給評估組每一個組員一個評估手冊 手冊應(yīng)該包括如下內(nèi)容： SSE-CMM

10、描述； SSE-CMM評估方法，既SSAM的描述； 評估計劃； 評估日程； 基礎(chǔ)規(guī)則； 待評估項目描述； 已完成的問卷調(diào)查表； 待評估項目的項目經(jīng)理和項目員工的簡介,30,表5.2 評估工作各角色的工作時間估計,.,SSE-CMM評估方法（SSAM）,SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段,31,.,準備階段,32,.,評估組準備,工作目標：讓評估組里的每一個人都熟悉評估的內(nèi)容 主要參與者：,33,.,評估組準備（續(xù)）,工作時間估計：12天 工作步驟（下頁）,34,.,35,.,執(zhí)行問卷調(diào)查,工作目標：開始進行問卷調(diào)查工作，獲取被評估組織的一些信息 主要參與者,36,.,執(zhí)行問卷

11、調(diào)查 （續(xù)）,時間估計：對每個人執(zhí)行問卷調(diào)查的時間約為48小時 工作步驟,37,.,鞏固證據(jù),工作目標：把問卷調(diào)查獲得的數(shù)據(jù)轉(zhuǎn)錄為可分析的格式，以便鑒別和收集支持證據(jù)（即支持問卷回答的證據(jù)） 主要參與者,38,.,鞏固證據(jù) （續(xù)）,時間估計：23小時 工作步驟：,39,.,分析證據(jù)/問卷,工作目標：分析由被評估組織提供的問卷回答和支持證據(jù)，以便制定在與項目經(jīng)理會談時要提出的探索性問題 主要參與角色：,40,.,分析證據(jù)/問卷 （續(xù)）,工作時間估計：18小時 工作步驟：,41,.,SSE-CMM評估方法（SSAM）,SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段,42,.,現(xiàn)場階段,43,

12、.,會晤行政官員,工作目標：向高級別的行政官員介紹評估過程和日程安排 參與者：,44,.,會晤行政官員（續(xù)）,時間估計：0.5小時 工作步驟：,45,.,公開見面會,工作目標： 把評估過程和進度展示給所有參與評估的人； 讓行政官員介紹他們對評估的支持 參與角色：,46,.,公開見面會（續(xù)）,工作時間估計：1小時 工作步驟：,47,.,與項目經(jīng)理會談,工作目標： 請項目經(jīng)理就先前所做出的問卷回答做詳細闡述。這是通過評估組提出先前確定的探索性問題來實現(xiàn)的，項目經(jīng)理就探索性問題一一給出回答，并澄清評估組的疑問 主要參與者：,48,.,與項目經(jīng)理會談（續(xù)）,時間估計： 每次會談1.5小時，中間要有15

13、分鐘時間供評估組討論或休息 工作步驟：,49,.,鞏固并解釋項目經(jīng)理提供數(shù)據(jù),工作目標：消化吸收在與項目經(jīng)理的會談中得來的信息，并且將其轉(zhuǎn)化為數(shù)據(jù)跟蹤表中的數(shù)據(jù)，以利于分析 參與者：,50,.,鞏固并解釋項目經(jīng)理提供數(shù)據(jù),時間估計：2小時 工作步驟：,51,.,與員工會談,工作目標：是會見待評估項目涉及的員工，就先前確認的關(guān)鍵問題進行詢問，并識別新的問題 參與角色,52,.,與員工會談,時間估計： 45分鐘，另有15分鐘討論或休息時間 工作步驟,53,.,鞏固并解釋員工提供數(shù)據(jù),工作目標： 消化吸收與項目成員的會談中評估組獲得的信息，初步為每個過程域確定等級 參與角色：,54,.,鞏固并解釋員

14、工提供數(shù)據(jù),時間估計：2小時 工作步驟：,55,.,分析數(shù)據(jù)跟蹤表,工作目標：從零開始對數(shù)據(jù)跟蹤表進行徹底復(fù)查 參與角色,56,.,分析數(shù)據(jù)跟蹤表,時間估計：13小時 工作步驟：,57,.,產(chǎn)生初步的評估發(fā)現(xiàn),工作目標：是制定出一系列的評估發(fā)現(xiàn)，以反映對評估中累積的數(shù)據(jù)的綜合分析成果 參與角色：,58,.,產(chǎn)生初步的評估發(fā)現(xiàn),時間估計：4小時以上 工作步驟：,59,.,進一步會談和提問,工作目標：解決初步評估發(fā)現(xiàn)中的問題，這些問題將影響等級的判定 參與角色：,60,.,進一步會談和提問,時間估計：12小時 工作步驟,61,.,制定等級,工作目標： 在消化吸收初步評估發(fā)現(xiàn)和進一步會談得到的信息的

15、基礎(chǔ)上，把數(shù)據(jù)跟蹤表的結(jié)果轉(zhuǎn)化為等級輪廓，表述每一個過程域的能力成熟度等級 參與角色,62,.,制定等級,時間估計：46小時 工作步驟,63,.,產(chǎn)生最終的評估發(fā)現(xiàn),工作目標：考察過程域和等級輪廓，對本次評估的成果進行總的觀察。最終的評估發(fā)現(xiàn)是對初步評估發(fā)現(xiàn)的精煉 參與者：,64,.,產(chǎn)生最終的評估發(fā)現(xiàn),時間估計：13小時 工作步驟：,65,.,處理評估記錄,工作目標：將與評估有關(guān)的所有記錄進行適當(dāng)?shù)奶幚?時間估計：12小時 參與者,66,.,總結(jié)評估報告,工作目標：給被評估組織提供評估結(jié)果 時間估計：0.51小時 參與角色,67,.,SSE-CMM評估方法（SSAM）,SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段,68,.,報告階段,69,.,開發(fā)最終報告,工作目標：準確反映在評估過程中獲得的信息 參與者,70,.,開發(fā)最終報告（續(xù)）,時間估計：12小時 工作步驟：,71,.,匯報評估結(jié)