信息安全工程學夏魯寧第12講ssecmm評估方法課件

1、信息安全工程學第12講 SSE-CMM評估方法1信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSE-CMM評估方法（SSAM） SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段2信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSE-CMM評估方法（SSAM） SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段3信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM概述 如何按照SSE-CMM模型來評估一個工程組織的成熟度？ SSAM, SSE-CMM Appraisal Method 作為專門基于SSE-CMM的評估方法； 包含評估一個信息安全工程組織的工程過程能力和

2、成熟度所必需的信息及指南； 可用于組織級評估，也可用于項目級的評估 SSAM使用多重數(shù)據(jù)采集方法獲得被評估組織或項目中所實施過程的相關信息 采集途徑：問卷調(diào)查、人員訪談、證據(jù)分析4信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM評估的參與者 就大的范圍而言，實現(xiàn)SSAM 評估的參與方包括發(fā)起組織發(fā)起組織、評估組評估組織織及被評估組織被評估組織。5信息安全工程學-夏魯寧第12講SSE-CMM評估方法發(fā)起組織（發(fā)起者） 發(fā)起組織是評估過程的啟動者 責任： 定義評估范圍和目標 從評估組織中選擇可用的評估方案 對SSE-CMM模型進行裁減以適應需要 另外，發(fā)起組織可能需要為評估組織提供資金

3、6信息安全工程學-夏魯寧第12講SSE-CMM評估方法評估組織（評估者） 評估組織提供從事評估工作的人員 大多數(shù)情況下，評估組織將協(xié)助發(fā)起方選擇合適的評估方案，以及裁減SSE-CMM 評估人員在評估過程中要注意保持客觀態(tài)度，不要把偏見帶入工作中7信息安全工程學-夏魯寧第12講SSE-CMM評估方法被評估組織（被評估者） 被評估組織，顧名思義，是接受評估的組織 可能是組織的一個部門，也可能是整個組織 被評估組織要做的事情通常由發(fā)起方給出評估要求的時候確定，或者由競標會上投標的評估組織給出。它依賴公司的組織結(jié)構。8信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM評估的參與者 三種類型的

4、組織中，各包含若干個角色，下面的表格概括了主要的角色 注意，組織中的單個人可能同時扮演多個角色 對于自評估來說，評估參與者大多來自同一個組織，但是從評估的目標、功能來看，仿佛是來自不同的三個組織 但是，有興趣進行自評估的組織也可能把評估工作外包9信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM評估的參與者10類型類型角色名角色名稱稱描述描述主要職責主要職責從業(yè)資格從業(yè)資格發(fā)起組織發(fā)起者提出評估要求，啟動評估過程。定義評估目標；作為評估組織和被評估方組織之間的橋梁。 支持評估活動的能力。 評估組織評估組所有參與工作的評估組織成員。 參與評估。 每個評估組成員至少具備以下資歷中的一條：

5、1、 曾參與過SSE-CMM項目2、 10年以上安全工程經(jīng)驗3、 兩年以上工程過程改進經(jīng)驗4、 曾接受培訓或曾經(jīng)從事過其他學科CMM的評估工作，最好是SSE-CMM對于整個評估組而言，要保證具備上述資歷的人都存在。 信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM評估的參與者（續(xù)表）11類型類型角色名角色名稱稱描述描述主要職責主要職責從業(yè)資格從業(yè)資格組織者 領導評估組進行評估工作；對評估組的具體工作不能干涉，只是組織評估中的各種活動，并作為與發(fā)起組織和被評估組織的主要聯(lián)系人。 保證評估的順利進行；與發(fā)起者一起協(xié)調(diào)評估活動；制定和維護評估計劃。 具備上述評估組成員資歷的大部分，最好曾

6、經(jīng)作為組織者參與過評估工作。 證據(jù)管理員 維護證據(jù)的保管。 請求、收集和處理被評估組織提供的證據(jù)。 出色的配置管理能力 表決成員 評估組中具有表決資格的成員。 識別并分析數(shù)據(jù)和證據(jù)；開發(fā)評估發(fā)現(xiàn)報告和定級報告。 信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM評估的參與者（續(xù)表）12類型類型角色角色名稱名稱描述描述主要職責主要職責從業(yè)資格從業(yè)資格觀察員 評估組中的非表決人員，對評估組的工作沒有表決權。 協(xié)助表決人員和組織者；收集總結(jié)使用SSAM的經(jīng)驗。 足夠的SSE-CMM知識和SSAM知識。 被評估組織現(xiàn)場人員 所有參與評估的被評估組織員工。 參與評估發(fā)現(xiàn)報告的制定；解答評估人員

7、的問題。 被評估組織員工。 現(xiàn)場協(xié)調(diào)員 被評估方的聯(lián)系人。 評估期間協(xié)調(diào)被評估組織的活動；與發(fā)起者和組織者保持聯(lián)絡。 對被評估組織結(jié)構、業(yè)務功能、組織政策等的充分了解；在評估過程中有權決定涉及被評估組織的事務。 行政官員 被評估組織的高級別官員。 為評估提供支持。 有命令員工參與評估的權力。 信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSAM評估的參與者（續(xù)表）13類型類型角色角色名稱名稱描述描述主要職責主要職責從業(yè)資格從業(yè)資格行政官員發(fā)言人 行政官員的代言人 公開見面會中代表被評估組織發(fā)言。 被評估組織的行政官員之一。 項目經(jīng)理 待評估工程項目的負責人。 回復問卷調(diào)查，會談時解答評

8、估人員問題。 可以勘查待評估項目的安全工程相關部分。 項目員工 被評估方參與評估的普通員工。 面談時解答評估人員問題。 面談時解答評估人員問題。 信息安全工程學-夏魯寧第12講SSE-CMM評估方法每個參與者的工作量估計14評估角色評估角色建議的人數(shù)建議的人數(shù)每人工作量（小時）每人工作量（小時）總工作量（小時）總工作量（小時）發(fā)起者18080組織者2160320表決成員480320觀察員18080現(xiàn)場協(xié)調(diào)員1100100項目經(jīng)理1（每個項目）1030項目員工6（每個項目）472總計總計30無無1002信息安全工程學-夏魯寧第12講SSE-CMM評估方法評估類型 三方評估 發(fā)起、評估與被評估組織

9、是不同的3個組織 自評估 發(fā)起、評估與被評估組織都是同一個組織 如果是為了自身工程能力的改進，適宜使用自評估 如果評估目標是下列一種，要考慮進行三方評估： 基于工程合同的要求，考察合作方的資格； 獨立的比較供應商，看誰最具有資格； 基于檢驗目的，評估已有供應商； 確保用戶的期望被理解和滿足； 在理解供應商弱點的基礎上，管理項目風險。15信息安全工程學-夏魯寧第12講SSE-CMM評估方法評估階段16準備階段準備階段組建評估組執(zhí)行問卷調(diào)查鞏固證據(jù)分析證據(jù)/問卷計劃階段計劃階段收集初步證據(jù)制定評估計劃確立評估范圍現(xiàn)場階段現(xiàn)場階段行政官員表態(tài)/公開見面會會見項目經(jīng)理/項目員工分析數(shù)據(jù)建立評估發(fā)現(xiàn)制定

10、等級輪廓處理工作記錄開發(fā)最終報告報告階段報告階段生成最終評估報告向發(fā)起者報告評估結(jié)果處理評估的工作輸出報告獲得的經(jīng)驗教訓信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSE-CMM評估方法（SSAM） SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段17信息安全工程學-夏魯寧第12講SSE-CMM評估方法計劃階段18計劃階段：1 定義參數(shù)；2 準備計劃；3 安排后勤。確立評估范圍收集初步證據(jù)制定評估計劃工作環(huán)工作環(huán)節(jié)節(jié)描述描述輸出輸出確 立 評估范圍確定評估的目的和目標。對發(fā)起者評估目標的正確理解。收 集 初步證據(jù)被評估組織回答問卷，并提供支持證據(jù)。已完成的問卷；支持問卷回答的證據(jù)制

11、 定 評估計劃定義和批準評估方案和評估執(zhí)行方式。.評估組成員組成；評估方案和問卷。信息安全工程學-夏魯寧第12講SSE-CMM評估方法確立評估范圍 工作目標：確定評估對象和評估界限，以滿足發(fā)起者制定的評估目標 參與角色：19角色角色任務任務組織者協(xié)助提取評估參數(shù)，確定實際的評估對象。發(fā)起者定義評估的目的和目標。被評估組織提供組織和待評估項目的當前信息。信息安全工程學-夏魯寧第12講SSE-CMM評估方法確立評估范圍（續(xù)） 時間估計：12天。要取決于有多少個現(xiàn)場要評估，每個現(xiàn)場的評估復雜度，以及使用了多少個評估組 工作步驟： 1 確定評估目標 包括確定評估的原因和需要。典型的評估目標包括：通過確

12、認已知缺陷，來獲得一個等級；來提高組織的工程能力（基于缺陷的認識，識別需要提高的過程域）；來為下一步改進做準備。 發(fā)起者可能要求組織者協(xié)助確定評估目標。 20信息安全工程學-夏魯寧第12講SSE-CMM評估方法確立評估范圍（續(xù)） 2 組建評估組 選擇一個能保質(zhì)保量完成評估工作的評估組。發(fā)起者選擇一個能夠執(zhí)行SSE-CMM評估的組織，并在計劃階段將組織者安排進評估組中。 3定義被評估組織要素 被評估組織的某個或某些方面要作為評估范圍的一部分而被涉及到。這首先包括決定需要被評估的部門，也可能整個組織都需要評估。另外，待評估的項目將列表給出。這時還應該決定進行會談的次數(shù)，和需要參與會談的人員，包括項

13、目經(jīng)理和項目員工。 此外，評估結(jié)果通報給被評估組織的程序也要確定。 21信息安全工程學-夏魯寧第12講SSE-CMM評估方法確立評估范圍（續(xù)） 4 定義評估模型和評估方法 SSE-CMM項目一般不對SSE-CMM模型做出新的解釋（即默認按照SSE-CMM標準文檔中的解釋來施行），也不提供評估方法（SSAM不是SSE-CMM的一部分）。但是，特定的團體可能基于某些特殊需要，要對模型給出一些新的解釋。 在評估中，發(fā)起者一般需要得到對被評估組織工程能力成熟度等級的認證。SSAM中定義了衡量是否達到某個能力成熟度等級的準則，但是發(fā)起者可能特別重視某個等級，因而可能想重新定義達到此等級的準則。 22信息

14、安全工程學-夏魯寧第12講SSE-CMM評估方法收集初步證據(jù) 工作目標：確保在已定義的評估范圍內(nèi)需要的證據(jù)都被收集到 參與角色23角色角色任務任務組織者幫助發(fā)起者定義需求和收集證據(jù)。發(fā)起者定義對初步證據(jù)的需求和收集證據(jù)的方法；與組織者和現(xiàn)場協(xié)調(diào)員協(xié)作?，F(xiàn)場協(xié)調(diào)員提供所要求的證據(jù)。信息安全工程學-夏魯寧第12講SSE-CMM評估方法收集初步證據(jù)（續(xù)） 工作時間估計：12天 工作步驟：24步驟步驟描述描述定義證據(jù)需求發(fā)起者定義哪些證據(jù)需要在評估前收集，并將證據(jù)收集和存放在發(fā)起者處。發(fā)起者可能讓組織者協(xié)助進行這項工作。收集證據(jù)被評估組織的現(xiàn)場協(xié)調(diào)員發(fā)送所要求的證據(jù)給發(fā)起者，并確認對方收到。已完成的問

15、卷和支持證據(jù)可能會作為其中一部分予以發(fā)送。所有的支持證據(jù)應該歸類，指出支持的是哪些要求。為了效率考慮，現(xiàn)場協(xié)調(diào)員將提供這些信息。信息安全工程學-夏魯寧第12講SSE-CMM評估方法制定評估計劃 工作目標：提出和審議通過最終的評估計劃，并把參數(shù)和細節(jié)記入文檔。 參與角色 25角色角色任務任務組織者跟蹤評估計劃的制定和批準；為評估組提供評估手冊。評估組每人完成評估計劃的一部分，合成評估計劃。發(fā)起者批準評估計劃；與現(xiàn)場協(xié)調(diào)員保持聯(lián)絡，商議準備階段的工作程序和協(xié)助掃清評估的障礙；確保保密，評估組在獲得需要的證據(jù)之前，要簽署保密協(xié)議?，F(xiàn)場協(xié)調(diào)員確定各成員的工作日程，安排后勤事宜。信息安全工程學-夏魯寧第

16、12講SSE-CMM評估方法制定評估計劃（續(xù)） 時間估計：26個星期，取決于評估計劃的復雜度 工作步驟：26形成評估計劃文檔步驟步驟描述描述組建評估組組織者挑選人員組成評估組。定義報告步驟發(fā)起者定義評估報告提交的方式和接收方。這個定義的可能范圍是很廣的，下限是不提交報告，上限是讓評估組在現(xiàn)場階段結(jié)束后為組織成員做高級別的陳述，并在評估后提交一份詳盡的報告。定義日程發(fā)起者決定評估的時間框架。組織者和現(xiàn)場協(xié)調(diào)員協(xié)助討論日程的細節(jié)并達成一致。確定后勤支持現(xiàn)場協(xié)調(diào)員安排所有的后勤支持，包括為評估組提供辦公場所和食宿，介紹雙方人員，安排見面會，協(xié)調(diào)對組織內(nèi)部機構的訪問，和其他一切評估組需要的東西。把先前

17、所有計劃階段工作的結(jié)果形成文檔。信息安全工程學-夏魯寧第12講SSE-CMM評估方法后勤注意事項 供評估組使用的辦公場所： 評估期一般5天左右，要提供給評估組適當?shù)霓k公場所。 辦公場所的空間要足夠大，應該包含以下設施： 會議桌和椅子，要足夠整個組的人開會使用； 電話； 為計算機、投影儀等設備準備足夠的電源插口； 白板或者白壁。 可能還需要專門的與項目經(jīng)理或項目員工會談的會議室，和舉行評估結(jié)果匯報會的房間。27信息安全工程學-夏魯寧第12講SSE-CMM評估方法后勤注意事項（續(xù)） 考察設施，人和證據(jù)： 現(xiàn)場協(xié)調(diào)員要安排妥當所有需要的對相關設施的訪問，以免浪費時間。 可能的話，評估組應該得到授權可

18、以自由對相關的設施進行訪問，而無須由被評估組織的人員陪同。 發(fā)起者必須確認需要出席會談的人、需要聆聽評估結(jié)果匯報的人和其它評估計劃中要求的出席的人都是有效的，即需要他們出席的時候能夠保證出席。 需要的證據(jù)必須在評估進行之前就收集并且歸類。保密協(xié)議應該提前交給評估組，以便簽署。28信息安全工程學-夏魯寧第12講SSE-CMM評估方法后勤注意事項（續(xù)） 供應品： 彩色紙張（容易辨別和控制所有信息）； 適當?shù)娜萜鱽泶娣潘饺宋锲返幕蛎舾行畔ⅲ?復印機； 顯示工具（包括圖表和筆）； 如果禁止將紙張粘貼在墻上的話，需要提供白板，可翻頁圖表等平面設施。 食宿： 現(xiàn)場協(xié)調(diào)員應該協(xié)助安排評估組的住宿，使他們能夠

19、方便的往返于評估現(xiàn)場和駐地。 評估的日程很緊湊，所以建議在評估現(xiàn)場要給評估組安排就餐。29信息安全工程學-夏魯寧第12講SSE-CMM評估方法評估手冊注意事項 組織者應該給評估組每一個組員一個評估手冊 手冊應該包括如下內(nèi)容： SSE-CMM描述； SSE-CMM評估方法，既SSAM的描述； 評估計劃； 評估日程； 基礎規(guī)則； 待評估項目描述； 已完成的問卷調(diào)查表； 待評估項目的項目經(jīng)理和項目員工的簡介30信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSE-CMM評估方法（SSAM） SSAM概述 計劃階段 準備階段 現(xiàn)場階段 報告階段31信息安全工程學-夏魯寧第12講SSE-CMM評估

20、方法準備階段32準備階段：1 為評估組指示工作方向2 執(zhí)行問卷調(diào)查3 開始數(shù)據(jù)分析評估組準備執(zhí)行問卷調(diào)查鞏固證據(jù)分析證據(jù)/問卷活動活動描述描述輸出輸出評 估 組 準備確保評估組所有成員都了解SSE-CMM，并且面向本次評估工作接收了同樣的培訓。評估組的評估支持資料。執(zhí) 行 問 卷調(diào)查對被評估組織的項目經(jīng)理進行問卷調(diào)查，以獲取被評估組織的初步信息。已完成的問卷。鞏固證據(jù)整理問卷回答（成為標準格式），并收集有關這些回答的支持證據(jù)。收集到的證據(jù)和轉(zhuǎn)錄為標準格式的問卷數(shù)據(jù)。分析證據(jù)/問卷評估組對所有本階段收集到的證據(jù)進行檢查，并準備現(xiàn)場階段要向項目經(jīng)理提出的探索性問題（Exploratory Ques

21、tions）。要向項目經(jīng)理提出的探索性問題。信息安全工程學-夏魯寧第12講SSE-CMM評估方法評估組準備 工作目標：讓評估組里的每一個人都熟悉評估的內(nèi)容 主要參與者：33角色角色任務任務組織者與評估組一起回顧評估細節(jié)，并就不清楚的地方做解釋。評估組理解評估方法，和自己在評估中的職責。信息安全工程學-夏魯寧第12講SSE-CMM評估方法評估組準備（續(xù)） 工作時間估計：12天 工作步驟（下頁）34信息安全工程學-夏魯寧第12講SSE-CMM評估方法35步驟步驟描述描述回顧SSE-CMM在對SSE-CMM的回顧中，組織者回顧所有的普通實踐和基本實踐，和相關的工作輸出，能力成熟度等級，以及怎樣產(chǎn)生評

22、估發(fā)現(xiàn)和等級輪廓。這要假定所有的成員都已經(jīng)經(jīng)過了SSE-CMM的培訓，因而這個步驟不是對SSE-CMM模型的培訓，而是一種對方法概念的概括性回顧?；仡橲SAMSSAM的回顧應該包括四個評估階段的劃分及其步驟。用以回顧SSAM的時間長短取決于評估組成員對SSAM掌握的程度，和從事評估的經(jīng)驗。同樣，這也不應是SSAM的全面培訓，而只是對方法和概念的概括性回顧?；仡櫾u估計劃在評估計劃進行之前，所有保密問題必須考慮到，必要的話要簽署保密協(xié)議。在就保密問題達成一致以前，評估組不能討論任何與被評估組織內(nèi)部信息相關的話題。在分配完評估手冊后，組織者對評估工作，評估日程，可接受的工作輸出，發(fā)起者目標及其相關內(nèi)

23、容用SSE-CMM和SSAM做細節(jié)闡述，重點是要強調(diào)那些依照發(fā)起者的要求被裁減的組件。任何與模型的解釋和應用相關的問題必須在進行下一步工作前明確下來，否則評估將滯后于計劃日程指定評估組成員的角色評估組的成員要根據(jù)所負責的過程域被分配給特定的職責，評估組表決方式和決議格式等問題要定義好。信息安全工程學-夏魯寧第12講SSE-CMM評估方法執(zhí)行問卷調(diào)查 工作目標：開始進行問卷調(diào)查工作，獲取被評估組織的一些信息 主要參與者36角色角色任務任務項目經(jīng)理項目經(jīng)理根據(jù)問卷調(diào)查給出項目和組織的相關數(shù)據(jù)。組織者與項目經(jīng)理會談，進行問卷調(diào)查。現(xiàn)場協(xié)調(diào)員確保所有的參與者都能夠提供所需要的數(shù)據(jù)。信息安全工程學-夏魯

24、寧第12講SSE-CMM評估方法執(zhí)行問卷調(diào)查 （續(xù)） 時間估計：對每個人執(zhí)行問卷調(diào)查的時間約為48小時 工作步驟37步驟步驟指南指南進行問卷調(diào)查組織者與項目經(jīng)理會談，進行問卷調(diào)查。項目經(jīng)理回答問卷期間，組織者要始終在場，并提供指導。建議這項工作由一個小組來進行，小組可由組織者和其他了解SSE-CMM，可以為回答問卷的人提供指導的人組成。收集問卷組織者收集完成的問卷和支持證據(jù)。信息安全工程學-夏魯寧第12講SSE-CMM評估方法鞏固證據(jù) 工作目標：把問卷調(diào)查獲得的數(shù)據(jù)轉(zhuǎn)錄為可分析的格式，以便鑒別和收集支持證據(jù)（即支持問卷回答的證據(jù)） 主要參與者38角色角色任務任務評估組評估組以一定格式收集問卷數(shù)

25、據(jù)，以便分析。任何確定的證據(jù)都要通過證據(jù)管理員請求，并從現(xiàn)場協(xié)調(diào)員那里獲得。如果有證據(jù)接收到了，評估組就可以開始分析這些證據(jù)?，F(xiàn)場協(xié)調(diào)員提供評估組需要的證據(jù)，并給出證據(jù)的目錄。組織者、證據(jù)管理員領導評估組成員的工作，并跟蹤證據(jù)的獲取和使用。信息安全工程學-夏魯寧第12講SSE-CMM評估方法鞏固證據(jù) （續(xù)） 時間估計：23小時 工作步驟：39步驟步驟指南指南把問卷調(diào)查的數(shù)據(jù)傳遞給數(shù)據(jù)跟蹤機制。為了使問卷數(shù)據(jù)的分析更便利，項目經(jīng)理對問卷的回答應該被傳遞到電子化的跟蹤機制。在分析過程中，數(shù)據(jù)跟蹤工具將協(xié)助評估組辨別問卷回答中的數(shù)據(jù)類型，和項目經(jīng)理或被評估組織在問卷回答中的相互矛盾之處。收集證據(jù)，并

26、使用證據(jù)跟蹤工具進行跟蹤。作為評估組鞏固問卷數(shù)據(jù)的一部分，所有需要復查的支持證據(jù)將以表格形式一一列出，這是證據(jù)管理員的工作，現(xiàn)場協(xié)調(diào)員將協(xié)助他收集證據(jù)。但是，一旦證據(jù)從現(xiàn)場協(xié)調(diào)員那里得到了，證據(jù)管理員就對證據(jù)的接收、使用和處置負有責任。信息安全工程學-夏魯寧第12講SSE-CMM評估方法分析證據(jù)/問卷 工作目標：分析由被評估組織提供的問卷回答和支持證據(jù)，以便制定在與項目經(jīng)理會談時要提出的探索性問題 主要參與角色：40角色角色任務任務組織者、證據(jù)管理員指導評估組怎樣來描述探索性問題；提出證據(jù)請求，并跟蹤證據(jù)的使用。評估組分析數(shù)據(jù)跟蹤表，和可用的證據(jù)。表決成員制定并通過要向項目經(jīng)理提出的探索性問題

27、。并確定對證據(jù)的需求?，F(xiàn)場協(xié)調(diào)員收集表決成員通過證據(jù)管理員請求的證據(jù)。信息安全工程學-夏魯寧第12講SSE-CMM評估方法分析證據(jù)/問卷 （續(xù)） 工作時間估計：18小時 工作步驟：41產(chǎn)生探索性問題步驟步驟指南指南分析數(shù)據(jù)跟蹤表復查數(shù)據(jù)跟蹤表，找出問卷回答中的紕漏和矛盾。復查證據(jù)表決成員復查問卷中涉及到的證據(jù)。如果被引用的證據(jù)事先沒有提供，證據(jù)管理員應該向現(xiàn)場協(xié)調(diào)員請求提供這些證據(jù)。表決成員基于對數(shù)據(jù)跟蹤表和可用證據(jù)的分析，在組織者的指導下，產(chǎn)生出2040個需要向項目經(jīng)理提問的探索性問題。信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSE-CMM評估方法（SSAM） SSAM概述 計劃

28、階段 準備階段 現(xiàn)場階段 報告階段42信息安全工程學-夏魯寧第12講SSE-CMM評估方法現(xiàn)場階段43現(xiàn)場階段：1 為所有評估參與者確定工作內(nèi)容；2 進行會談；3 建立評估發(fā)現(xiàn)；4 完善評估發(fā)現(xiàn)；5 定義等級輪廓。會晤行政官員公開見面會與項目經(jīng)理會談鞏固并解釋項目經(jīng)理提供數(shù)據(jù)與員工會談鞏固并解釋員工提供數(shù)據(jù)分析數(shù)據(jù)跟蹤表產(chǎn)生初步的評估發(fā)現(xiàn)進一步會談和提問制定等級產(chǎn)生最終的評估發(fā)現(xiàn)處理評估記錄總結(jié)出正式報告信息安全工程學-夏魯寧第12講SSE-CMM評估方法會晤行政官員 工作目標：向高級別的行政官員介紹評估過程和日程安排 參與者：44角色角色任務任務組織者介紹評估和評估模型。評估組協(xié)助組織者介紹

29、評估工作。行政官員了解他們本人在現(xiàn)場階段評估工作中的角色。信息安全工程學-夏魯寧第12講SSE-CMM評估方法會晤行政官員（續(xù)） 時間估計：0.5小時 工作步驟：45步驟步驟指南指南評估討論組織者給出對SSE-CMM，SSAM和評估計劃的概要介紹。提問和回答組織者回答行政官員的有關問題。信息安全工程學-夏魯寧第12講SSE-CMM評估方法公開見面會 工作目標： 把評估過程和進度展示給所有參與評估的人； 讓行政官員介紹他們對評估的支持 參與角色：46角色角色任務任務行政官員代言人致歡迎詞；介紹組織者；介紹被評估組織對于評估工作的支持計劃。組織者介紹評估模型，評估方法和評估計劃。評估組協(xié)助組織者的

30、工作。評估工作參與者了解他們在現(xiàn)場階段評估活動中的角色。信息安全工程學-夏魯寧第12講SSE-CMM評估方法公開見面會（續(xù)） 工作時間估計：1小時 工作步驟：47步驟步驟指南指南行政官員表態(tài)行政官員代言人闡述對評估的支持。組織者講解組織者介紹SSE-CMM，SSAM，并解釋現(xiàn)場階段每個參與者的責任。問題和回答組織者解答與會者提出的問題。信息安全工程學-夏魯寧第12講SSE-CMM評估方法與項目經(jīng)理會談 工作目標： 請項目經(jīng)理就先前所做出的問卷回答做詳細闡述。這是通過評估組提出先前確定的探索性問題來實現(xiàn)的，項目經(jīng)理就探索性問題一一給出回答，并澄清評估組的疑問 主要參與者：48角色角色任務任務組織

31、者組織會談。項目經(jīng)理回答問題。評估組記錄會談內(nèi)容。信息安全工程學-夏魯寧第12講SSE-CMM評估方法與項目經(jīng)理會談（續(xù)） 時間估計： 每次會談1.5小時，中間要有15分鐘時間供評估組討論或休息 工作步驟：49步驟步驟指南指南開始會談組織者基于問卷數(shù)據(jù)提出問題，同時評估組記錄對方的回答。進一步提問評估組的表決成員就需要澄清的問題額外提問。過程檢查評估組執(zhí)行快速的過程檢查，確保會談中得到了所需的信息，并針對下次會談做適當調(diào)整。信息安全工程學-夏魯寧第12講SSE-CMM評估方法鞏固并解釋項目經(jīng)理提供數(shù)據(jù) 工作目標：消化吸收在與項目經(jīng)理的會談中得來的信息，并且將其轉(zhuǎn)化為數(shù)據(jù)跟蹤表中的數(shù)據(jù)，以利于分

32、析 參與者：50角色角色任務任務組織者提出指導和建議，供評估組參考。評估組回顧會談記錄，討論相關問題并以公式表述發(fā)掘到的信息。表決成員更新數(shù)據(jù)跟蹤表。信息安全工程學-夏魯寧第12講SSE-CMM評估方法鞏固并解釋項目經(jīng)理提供數(shù)據(jù) 時間估計：2小時 工作步驟：51步驟步驟指南指南會談記錄每個評估組成員回顧他自己的會談記錄。更新數(shù)據(jù)跟蹤表評估組討論項目經(jīng)理給出的回答，基于表決成員的意見，更新數(shù)據(jù)跟蹤表。解釋數(shù)據(jù)評估組回顧所有可用信息（數(shù)據(jù)跟蹤表，會談記錄，問卷回答，引用的證據(jù)），討論在后面與項目員工的會談中還要深入了解哪些方面。更新會談中要提出的問題基于對數(shù)據(jù)的分析，調(diào)整與項目員工會談時要提問的問

33、題。信息安全工程學-夏魯寧第12講SSE-CMM評估方法與員工會談 工作目標：是會見待評估項目涉及的員工，就先前確認的關鍵問題進行詢問，并識別新的問題 參與角色52角色角色任務任務組織者組織會談。相關員工回答問題。評估組記錄會談內(nèi)容。信息安全工程學-夏魯寧第12講SSE-CMM評估方法與員工會談 時間估計： 45分鐘，另有15分鐘討論或休息時間 工作步驟53步驟步驟指南指南開始會談組織者基于對與項目經(jīng)理會談的內(nèi)容，提出問題給工作人員；評估組負責記錄。進一步提問表決成員對尚需澄清的問題另外提問。過程檢查評估組執(zhí)行快速的過程檢查，確保會談中得到了所需的信息，并對下次會談做適當調(diào)整。信息安全工程學-

34、夏魯寧第12講SSE-CMM評估方法鞏固并解釋員工提供數(shù)據(jù) 工作目標： 消化吸收與項目成員的會談中評估組獲得的信息，初步為每個過程域確定等級 參與角色：54角色角色任務任務組織者提出指導和建議，供評估組參考。評估組回顧會談記錄，討論相關問題并以公式表述發(fā)掘到的信息。表決成員更新數(shù)據(jù)跟蹤表。信息安全工程學-夏魯寧第12講SSE-CMM評估方法鞏固并解釋員工提供數(shù)據(jù) 時間估計：2小時 工作步驟：55步驟步驟指南指南會談記錄每個評估組成員回顧他自己的會談記錄。更新數(shù)據(jù)跟蹤表評估組討論工作人員給出的回答，基于表決成員的表決，更新數(shù)據(jù)跟蹤表。籌劃評估組討論下一步的事務。另外基于前面的工作，可能要對日程做

35、出一些調(diào)整，特別是表決成員可能要向初步的評估發(fā)現(xiàn)中增加一些需要提問的問題或發(fā)現(xiàn)，以便解決證據(jù)的沖突，特別是影響到等級評定的地方。信息安全工程學-夏魯寧第12講SSE-CMM評估方法分析數(shù)據(jù)跟蹤表 工作目標：從零開始對數(shù)據(jù)跟蹤表進行徹底復查 參與角色56角色角色任務任務組織者提出指導和建議，供評估組參考。評估組回顧會談記錄，討論相關問題并以公式表述發(fā)掘到的信息。表決成員更新數(shù)據(jù)跟蹤表。信息安全工程學-夏魯寧第12講SSE-CMM評估方法分析數(shù)據(jù)跟蹤表 時間估計：13小時 工作步驟：57步驟步驟指南指南回顧會談記錄每個評估組成員回顧他自己的會談記錄。討論問題評估組提出會談過程中遇到的問題，組織者統(tǒng)

36、籌討論，確保所有的問題都涉及到。更新數(shù)據(jù)跟蹤表討論之后，基于表決成員的表決，更新數(shù)據(jù)跟蹤表。信息安全工程學-夏魯寧第12講SSE-CMM評估方法產(chǎn)生初步的評估發(fā)現(xiàn) 工作目標：是制定出一系列的評估發(fā)現(xiàn)，以反映對評估中累積的數(shù)據(jù)的綜合分析成果 參與角色： 58角色角色任務任務組織者組織評估組進行集體討論，并檢查初步評估發(fā)現(xiàn)的準備工作。表決成員把積累的數(shù)據(jù)總結(jié)為初步的評估發(fā)現(xiàn)。信息安全工程學-夏魯寧第12講SSE-CMM評估方法產(chǎn)生初步的評估發(fā)現(xiàn) 時間估計：4小時以上 工作步驟： 59步驟步驟指南指南給出候選的評估發(fā)現(xiàn)表決成員依據(jù)過程域/共同特性，記錄候選的評估發(fā)現(xiàn)。復查評估發(fā)現(xiàn)比較候選的評估發(fā)現(xiàn)，

37、剔除冗余的和可忽略的地方，形成一致的思路。最后，把最終報告中要包含的評估發(fā)現(xiàn)提交給表決成員來批準。記錄評估發(fā)現(xiàn)初步評估發(fā)現(xiàn)被確定并記錄下來。給出進一步的問題評估發(fā)現(xiàn)的形成過程中，可能要與項目經(jīng)理或工作人員進一步會談，以澄清一些東西。評估組應該明確所有要進一步確認的問題，這些問題是基于證據(jù)鞏固環(huán)節(jié)中的工作而提出的。信息安全工程學-夏魯寧第12講SSE-CMM評估方法進一步會談和提問 工作目標：解決初步評估發(fā)現(xiàn)中的問題，這些問題將影響等級的判定 參與角色：60角色角色任務任務組織者組織會談并提問。評估組記錄對方回答。項目經(jīng)理或工作人員回答問題。信息安全工程學-夏魯寧第12講SSE-CMM評估方法進

38、一步會談和提問 時間估計：12小時 工作步驟61步驟步驟指南指南組織會談組織者就評估組對上次會談結(jié)果的分析，提出問題，評估組成員記錄對方的回答。進一步提問表決成員進一步提問，以澄清一些模糊之處。過程檢查評估組執(zhí)行快速的過程檢查，確保會談中得到了所需的信息，并為下次會談做適當調(diào)整。信息安全工程學-夏魯寧第12講SSE-CMM評估方法制定等級 工作目標： 在消化吸收初步評估發(fā)現(xiàn)和進一步會談得到的信息的基礎上，把數(shù)據(jù)跟蹤表的結(jié)果轉(zhuǎn)化為等級輪廓，表述每一個過程域的能力成熟度等級 參與角色62角色角色任務任務組織者提出指導和建議，供評估組參考。評估組回顧會談記錄，討論相關問題并以公式表述發(fā)掘到的信息。表

39、決成員更新數(shù)據(jù)跟蹤表。信息安全工程學-夏魯寧第12講SSE-CMM評估方法制定等級 時間估計：46小時 工作步驟63步驟步驟指南指南回顧會談記錄每個評估組成員回顧他自己的會談記錄。更新數(shù)據(jù)跟蹤表評估組就進一步會談中得到的解答進行討論；組織者統(tǒng)籌討論，確保每個問題都討論到；數(shù)據(jù)跟蹤表將基于表決成員的一致意見得到更新。定級基于數(shù)據(jù)跟蹤表，表決成員為每一個過程域確定一個一致同意的等級。信息安全工程學-夏魯寧第12講SSE-CMM評估方法產(chǎn)生最終的評估發(fā)現(xiàn) 工作目標：考察過程域和等級輪廓，對本次評估的成果進行總的觀察。最終的評估發(fā)現(xiàn)是對初步評估發(fā)現(xiàn)的精煉 參與者：64角色角色任務任務組織者提供SSE-

40、CMM專家意見，并指導表決成員來表決。表決成員表決確定最終評估發(fā)現(xiàn)。信息安全工程學-夏魯寧第12講SSE-CMM評估方法產(chǎn)生最終的評估發(fā)現(xiàn) 時間估計：13小時 工作步驟：65步驟步驟指南指南復查數(shù)據(jù)評估組復查初步的評估發(fā)現(xiàn)、數(shù)據(jù)跟蹤表和進一步會談中得到的新的數(shù)據(jù)。這些信息使表決成員能夠明確哪些內(nèi)容需要被關注。把評估發(fā)現(xiàn)劃分優(yōu)先級按照發(fā)起者的意見，和表決成員對于被評估組織的優(yōu)勢和弱點的看法，對評估發(fā)現(xiàn)做優(yōu)先級劃分。批準評估發(fā)現(xiàn)每個評估發(fā)現(xiàn)都要提交給表決成員審批，表決成員必須客觀的對待每一個評估發(fā)現(xiàn)。制定簡報將評估發(fā)現(xiàn)寫成簡報，提交給發(fā)起者。信息安全工程學-夏魯寧第12講SSE-CMM評估方法處理

41、評估記錄 工作目標：將與評估有關的所有記錄進行適當?shù)奶幚?時間估計：12小時 參與者66角色角色任務任務組織者、證據(jù)管理員確保所有的記錄都被處理了；為仍需由評估組掌握的記錄提供保密控制；整理新的證據(jù)并提交給發(fā)起者。評估組收集所有的記錄和其他的中間工作輸出?，F(xiàn)場協(xié)調(diào)員銷毀所有的記錄和其他的中間工作輸出。發(fā)起者接收新的證據(jù)和工作輸出。信息安全工程學-夏魯寧第12講SSE-CMM評估方法總結(jié)評估報告 工作目標：給被評估組織提供評估結(jié)果 時間估計：0.51小時 參與角色67角色角色任務任務組織者按照發(fā)起人的指示，給出評估結(jié)果。評估組參與報告的總結(jié)?，F(xiàn)場協(xié)調(diào)員參與報告的總結(jié)。信息安全工程學-夏魯寧第12講SSE-CMM評估方法SSE-CMM評估方法（SSAM） SSA