SAMM的总体框架如下图所示
2018-04-08 16:28:50 | 来源:中培企业IT培训网
SAMM的总体框架如下图所示。
SAMM的每个安全实践是一个与安全相关的措施,以便保证相关业务功能的实现。所以,从总体来说,这十二个安全实践都是改进软件开发业务功能的独立部分。
对于每一个安全实践,SAMM设置了三个成熟度等级和一个隐含的零起点。每个等级的细节对不同实践有所不同,但它们普遍代表:
0:隐含的0起点代表实际没有实现该安全实践;
1:对安全实践有了初步了解并有所专门的设计和使用;
2:进一步提高了安全实践的效率和有效性;
3:在一定规模上综合、有效地掌握了安全实践。 ‘
对于某个特定的软件开发项目或软件开发企业,使用SAMM对其进行评估,有两种推荐的评估方法:
简单方法:对每项安全实践进行评估,并为得到的评估结果评定分数;
详细方法:对每项安全实践评估后,再执行额外的审计工作,以确保每个安全实践中规定的每一项措施都已执行,且已达到成功指标。
软件企业可以参考SAMM作为基准来衡量其软件安全保证计划。通过使用评估和记分卡,软件开发企业能够证明其软件安全性得到循序渐进的改善,软件开发企业还可以参考SAMM路线网模板,以指导建立或改善一个软件安全保证计划。
- 上一篇:SAMM(软件保证成熟度模型)
- 下一篇:BSlMM(BSI成熟度模型)