久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

摘要：信息安全風險評估服務是我國信息安全保障工作的重要環(huán)節(jié)之一，信息安全風險評估技術(shù)手段一直為行業(yè)內(nèi)所推崇。目前，因多方面因素影響，信息安全風險評估服務能力的水平在地區(qū)、行業(yè)間等呈現(xiàn)參差不齊的現(xiàn)象。結(jié)合SSE-CMM理論及信息安全風險評估服務的最優(yōu)實踐，提出風險評估服務能力成熟度模型概念，即RAS-CMM。RAS-CMM圍繞資源配置、技術(shù)過程、項目管理等能力因素對風險評估服務能力等級提出理論評價框架。

信息安全風險評估是信息安全保障工作的基礎(chǔ)和重要環(huán)節(jié)，我國信息安全風險評估工作得到國家一系列政策的支持?！秶倚畔⒒I(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)[2003]27號）》，《關(guān)于開展信息安全風險評估工作的意見（國信辦[2006]5號）》，《關(guān)于加強國家電子政務工程建設(shè)項目信息安全風險評估工作的通知（發(fā)改高技）[2008]2071號》等這些政策都明確提出信息安全風險評估的必要性，及對信息安全風險評估工作的重視。

同時，我國在標準化方面也做了大量工作。2007年6月14日，我國正式發(fā)布了國家標準GB/T20984─2007《信息安全技術(shù) 信息安全風險評估規(guī)范》，標志著我國開展信息安全風險評估工作有了正式的參考標準。該標準提出了風險評估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法，以及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式，適用于規(guī)范組織開展風險評估工作。后續(xù)的發(fā)布的還有GB/Z24364─2009《信息安全風險管理指南》， GB/T31509─2015《信息安全技術(shù) 信息安全風險評估實施指南》等標準。

新時期，國家對于風險評估工作空前重視。習主席在網(wǎng)絡(luò)安全和信息化工作座談會上的講話上指出“維護網(wǎng)絡(luò)安全，首先要知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險”，“準確把握網(wǎng)絡(luò)安全風險發(fā)生的規(guī)律、動向、趨勢”。足見國家對網(wǎng)絡(luò)安全風險的重視，開展信息安全風險評估工作的重要性。特別是，2016年11月7日發(fā)布，2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》中明確將信息安全安全風險評估服務工作上升為國家法律層面，為信息安全風險評估工作的推動發(fā)揮巨大作用。

本文結(jié)合一線風險評估測評經(jīng)驗與國際通用的能力成熟度的理論，提出了風險評估服務能力成熟度模型的概念。本文意在闡述信息安全風險評估服務能力成熟度模型的框架研究，為風險評估服務能力水平的評價提供參考依據(jù)。

1.1 信息安全風險評估服務過程描述

信息安全風險評估服務能力成熟度模型是依據(jù)風險評估服務生命過程, 風險評估服務提供方向風險評估服務需求方提供包括業(yè)務識別、資產(chǎn)識別、威脅識別、脆弱性識別、現(xiàn)有安全措施有效性分析和風險分析等為主線，對整個風險評估服務過程及過程中的多個過程域的服務能力等級進行測評的評估模型。信息安全風險評估服務生命周期框架流程圖如圖1所示：

圖1   風險評估實施流程圖

目前風險評估服務的形式因行業(yè)和地區(qū)的不同呈現(xiàn)多樣化，本文意在闡述基于GB/T20984的完整風險評估服務過程為主線，對能提供單個、多個過程域及整個風險評估服務的提供方從其服務過程中的資源配置、技術(shù)服務過程和項目管理過程等服務能力要素對風險評估服務提供方的服務能力成熟度進行等級評估。對于在具體風險評估服務的過程中不是針對整個生命周期進行服務的情況，可以對具體的服務過程域進行風險評估服務的能力等級進行評估。

1.2 信息安全風險評估服務能力要素

信息安全風險評估服務能力包括風險評估服務技術(shù)過程能力，信息安全風險評估服務的項目管理過程能力及風險評估服務資源配置能力等方面。這些服務能力也是信息安全風險評估服務的基本活動，這些活動能力的評估需信息系統(tǒng)服務的需求方、提供方和評估方配置相應的人力、設(shè)備、環(huán)境等資源和服務過程的管理才能構(gòu)成完整的風險評估服務能力。

因此，信息安全風險評估服務能力應由以下要素構(gòu)成，如圖2所示：

圖2 風險評估服務能力構(gòu)成要素

1）風險評估服務資源配置

在資源配置方面包括風險評估服務人員的專業(yè)技術(shù)能力和知識面、實施風險評估服務所需的工具設(shè)備、設(shè)施和環(huán)境。

2）風險評估服務技術(shù)過程

根據(jù)風險評估服務技術(shù)過程的各個過程域，包括業(yè)務識別、資產(chǎn)識別、威脅識別、脆弱性識別、現(xiàn)有安全措施有效性分析和風險分析等。

3）風險評估服務項目管理過程

實施風險評估服務需要進行項目管理過程。項目管理過程應覆蓋到風險評估服務的服務過程活動中。

1.3 風險評估服務能力成熟度模型

信息安全風險評估服務能力成熟度模型（RAS-CMM）是在系統(tǒng)安全工程能力成熟度模型（SSE-CMM）的基礎(chǔ)上，結(jié)合信息安全風險評估服務的最佳實踐，所形成的對風險評估服務能力成熟度進行度量的模型。

信息安全風險評估服務能力成熟度由能力維和域維構(gòu)成（如圖3所示）。

風險評估服務能力級別分為5級：1級是基本執(zhí)行級；，2級是計劃跟蹤級；3級是充分定義級；4級是量化控制級；5級是持續(xù)改進級。風險評估服務能力級別示意圖（如圖4所示）。

能力級別從1～5級逐級提高，標志著風險評估恢復服務能力成熟度的不斷提升。每個級別規(guī)定了對應的公共特征和通用實施。在本文中，高級別需要涵蓋低級別成熟度要求的所有內(nèi)容。但該級別只是規(guī)定了增加的內(nèi)容。

能力維由公共特征構(gòu)成，公共特征由通用實施（GP）構(gòu)成。對于某級別的所有通用實施滿足了該級別的公共特征，從而形成了此級別的能力。

圖3 風險評估服務能力成熟度模型

域維由過程域(PA)和資源配置組成。風險評估服務的過程域（PA）包括風險評估服務技術(shù)過程域、項目管理過程域。過程域由基本實施(BP)構(gòu)成，每個過程域的基本實施（BP）是構(gòu)成該過程域的基本要素，是該完成該過程活動的基本單元。對于不同級別的能力維，風險評估服務過程域的各個基本實施（BP）都是必須的。資源配置是完成風險評估服務活動的基本條件，針對不同能力級別，可能需要特定的資源配置條件。風險評估服務能力等級示意圖如圖4所示:

圖4 風險評估服務能力等級示意圖

1.4 風險評估服務能力要素

1.4.1 風險評估服務資源配置能力

風險評估服務的開展要具備資源配置能力，風險評估項目組要具備足夠支撐風險評估服務的基本資源，例如各類檢查表格、報告模板、漏掃工具、滲透工具、資產(chǎn)識別工具、威脅識別工具、合格的風險評估技術(shù)人才等。

1.4.2 風險評估服務技術(shù)過程能力

1.4.2.1 PA01-業(yè)務識別與分析

在識別組織的業(yè)務之前要掌握組織的發(fā)展戰(zhàn)略,由戰(zhàn)略推導出各業(yè)務發(fā)展情況，識別業(yè)務內(nèi)容，可通過訪談、文檔查閱、資料查閱等方式，針對業(yè)務屬性進行賦值分析，找到關(guān)鍵業(yè)務。業(yè)務是組織發(fā)展的核心，業(yè)務具有價值屬性、多樣性、復雜性等特點。

本過程域包括以下3個基本實施：

1)  BP.02.01——關(guān)鍵資產(chǎn)識別；

2)  BP.02.02——資產(chǎn)影響分析；

3)  BP.02.03——監(jiān)視資產(chǎn)影響變化。

1.4.2.2 PA02-資產(chǎn)識別與分析

根據(jù)資產(chǎn)與業(yè)務的關(guān)聯(lián)性或相關(guān)性進行資產(chǎn)識別，并根據(jù)資產(chǎn)的業(yè)務相關(guān)性、保密性、完整性和可用性等屬性對資產(chǎn)的影響進行優(yōu)先級排列。風險評估中資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度以及其上承載的業(yè)務安全程度產(chǎn)生影響。當承載的業(yè)務屬性發(fā)生變化時，資產(chǎn)的影響優(yōu)先級將發(fā)生變化。

本過程域包括以下3個基本實施：

1)  BP.02.01——關(guān)鍵資產(chǎn)識別；

2)  BP.02.02——資產(chǎn)影響分析；

3)  BP.02.03——監(jiān)視資產(chǎn)影響變化。

1.4.2.3 PA03-威脅識別與分析

業(yè)務及資產(chǎn)面臨的威脅是風險的發(fā)起者，如果不存在威脅，風險也就隨之不存在了，威脅構(gòu)成了風險發(fā)生的必要條件。威脅來源、動機、能力和頻率是威脅的屬性，威脅的屬性既是對威脅的描述，也構(gòu)成了評價威脅影響優(yōu)先級的必然因素。當環(huán)境等因素發(fā)生變化時，威脅的影響也會隨之發(fā)生變化。

本過程域包括以下3個基本實施：

1)  BP.03.01——威脅識別；

2)  BP.03.02——威脅影響分析；

3)  BP.03.03——監(jiān)視威脅變化。

1.4.2.4 PA04-脆弱性識別與分析

脆弱性是風險評估服務的重要環(huán)節(jié)，可從技術(shù)和管理兩個方面進行審視。脆弱性識別依據(jù)相關(guān)國際或國家安全標準、行業(yè)規(guī)范等，對應用在不同環(huán)境中的相同脆弱性，其嚴重程度是不同的。根據(jù)脆弱性對業(yè)務和資產(chǎn)的暴露程度，已有安全措施和脆弱性關(guān)聯(lián)識別分析結(jié)果等，采用優(yōu)先級排列的方式對已識別的脆弱性進行賦值。資產(chǎn)所處環(huán)境等因素變化，脆弱性的等級也隨之發(fā)生變化。

本過程域包括以下3個基本實施：

1)  BP.04.01——脆弱性識別；

2)  BP.04.02——脆弱性等級分析；

3)  BP.04.03——監(jiān)視脆弱性影響變化分析。

1.4.2.5 PA05-現(xiàn)有安全措施有效性識別與分析

對現(xiàn)有安全措施進行識別并評估其有效性，即是否真正地抵御了威脅，降低了脆弱性。對有效抵御威脅的安全措施繼續(xù)保持，對確認為不適當?shù)幕驘o法有效抵御威脅的安全措施應被取消或?qū)ζ溥M行修正。

本過程域包括以下2個基本實施：

1)  BP.05.01——現(xiàn)有安全措施識別；

2)  BP.05.02——現(xiàn)有安全措施有效性分析。

1.4.2.6 PA06-風險分析

在完成了業(yè)務識別、資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定風險等級。

本過程域包括以下4個基本實施：

1)  BP.04.01——選擇風險分析方法；

2)  BP.04.02——對暴露（指威脅、脆弱性和影響的組合）的標識與分析；

3)  BP.04.03——排列風險優(yōu)先級；

4) BP.04.04——監(jiān)視風險變化。

1.4.2.7 PA07-質(zhì)量保證

這個過程域的潛在目的是：只有整個服務過程都在持續(xù)測量和改進質(zhì)量的情況下才能產(chǎn)生高質(zhì)量的風險評估服務。在整個風險評估服務的過程中，為保證高質(zhì)量的服務，關(guān)鍵內(nèi)容就是測量、分析和修正措施，保證相關(guān)內(nèi)容的保密性等。該過程域的目標就是，實現(xiàn)預期的服務質(zhì)量。

本過程域包括以下3個基本實施：

1)  BP.09.01——測量產(chǎn)品質(zhì)量；

2)  BP.09.02——測量過程質(zhì)量；

3)  BP.09.03——質(zhì)量分析與修正。

1.4.2.8 PA08-配置管理

“管理配置”的目的是維持已標識的配置單元的數(shù)據(jù)和狀況，并對風險評估服務及其配置單元的變化進行分析和控制。

本過程域包括以下2個基本實施：

 BP.10.01——建立配置單元；

2） BP.10.02——維護工作產(chǎn)品基線。

1.4.2.9 PA09-項目風險管理

“管理風險”的目的是標識、評估、監(jiān)視和降低風險評估服務項目風險以便于風險評估服務項目取得成功。

本過程域包括以下3個基本實施：

1） BP.11.01——項目風險的識別和評估；

2） BP.11.02——項目風險的控制；

3） BP.11.03——跟蹤風險降低效果。

1.4.2.10 PA10-項目規(guī)劃

“項目規(guī)劃”的目的是建立項目計劃和規(guī)劃項目的技術(shù)過程，為在風險評估服務過程中涉及到的技術(shù)性工作的進度、費用、控制、跟蹤和商議性質(zhì)和范圍提供基礎(chǔ)。

本過程域包括以下2個基本實施：

1） BP.12.01——項目計劃；

2） BP.12.02——項目技術(shù)規(guī)劃。

1.4.2.11 PA11-項目監(jiān)控

“項目監(jiān)控”的目的是為項目計劃和技術(shù)過程得到有效執(zhí)行，并通過監(jiān)督和指導行為使得項目執(zhí)行過程滿足項目規(guī)劃的效果，對執(zhí)行計劃發(fā)生嚴重偏差時可及時進行修正。

本過程域包括以下2個基本實施：

1） BP.13.01——項目監(jiān)督和指導；

2） BP.13.02——問題分析與修正。

1.4.2.12 提供不斷發(fā)展的技能

“技能和知識提升”的目的在于確保項目組成員擁有必要的技能來達到項目的目標。所需的技能可以通過內(nèi)部培訓和外部來源中獲得。

本過程域包括以下3個基本實施：

1） BP.15.01——識別技能和知識需求；

2） BP.15.02——實施培訓；

 BP.15.03——技能和培訓評估。

2.1　風險評估服務過程能力概述

風險評估服務過程能力等級分為5級，由1級到5級遞增。每個級別包含了幾個公共特征，每個公共特征又包含若干個通用實施。通用實施是適用于所有過程的活動，是過程方面的管理，度量和制度化方面陳述。這些通用實施可在過程能力的評定中用于確定任何過程的能力。

能力級別具體定義如下所示：

1)  能力級別1——基本執(zhí)行；

2)  能力級別2——計劃跟蹤；

3)  能力級別3——充分定義；

4)  能力級別4——量化控制；

5)  能力級別5——持續(xù)改進。

2.2　能力級別1 — 基本執(zhí)行級

2.2.1　基本執(zhí)行級綜述

在此級別，過程域的基本實施通常被執(zhí)行。但基本實施的執(zhí)行可能未經(jīng)嚴格的計劃和跟蹤，而是基于個人的知識和努力。

該能力級別包含如下公共特征：

1)  公共特征1.1——執(zhí)行基本實施。此公共特征的通用實施只是保證過程域的基本實施以某種方式執(zhí)行，工作產(chǎn)品的一致性、性能和質(zhì)量會因缺乏適當控制而存在極大的差異。

該公共特征包含如下通用實施：

1)  GP1.1.1——執(zhí)行過程。執(zhí)行一個實現(xiàn)過程域的基本實施的過程，為服務需求方提供服務。

2.3　能力級別2 — 計劃與跟蹤級

2.3.1　計劃與跟蹤級綜述

此級別，過程域基本實施的執(zhí)行是經(jīng)計劃并被跟蹤的，并對實施情況進行驗證。工作產(chǎn)品符合指定的標準。通過測量來跟蹤過程域的執(zhí)行情況，能夠基于實際實施活動進行管理。與基本執(zhí)行級別間的主要區(qū)別是過程實施被計劃和管理。

該能力級別包含如下公共特征：

1)  公共特征2.1 ——規(guī)劃執(zhí)行；

2)  公共特征2.2 ——規(guī)范化執(zhí)行；

3)  公共特征2.3 ——驗證執(zhí)行；

4)  公共特征2.4 ——跟蹤執(zhí)行。

2.3.2　公共特征2.1— 規(guī)劃執(zhí)行

該公共特征的基本實施集中在過程域及相關(guān)的基本實施執(zhí)行的規(guī)劃方面。涉及到過程文檔的編制，適當執(zhí)行過程工具的提供，過程實施的計劃，過程執(zhí)行中的培訓，過程資源的分配以及過程執(zhí)行的責任分配。這些通用實施為規(guī)范化的過程執(zhí)行提供了最根本的基礎(chǔ)。

該公共特征包含如下通用實施：

1)  GP2.1.1 ——分配資源。為執(zhí)行過程域基本實施提供充份的資源，包括人（特別是關(guān)鍵人員）、技術(shù)、工具、設(shè)備等。

2)  GP2.1.2 ——分配責任。為服務過程分配任務和責任，包括內(nèi)部、外部和過程實施的所有相關(guān)方和個人。

3)  GP2.1.3 —— 文檔化過程。將過程域執(zhí)行的方法形成標準化和/或程序化文檔。

4)  GP2.1.4——提供工具。為支持過程域的執(zhí)行提供適當?shù)墓ぞ摺?/p>

5)  GP2.1.5 ——保證培訓。保證過程域執(zhí)行人員獲得適當?shù)倪^程執(zhí)行方面的培訓。

6) GP 2.1.6 ——規(guī)劃過程。對過程域的實施進行規(guī)劃。

2.3.3　公共特征2.2— 規(guī)范化執(zhí)行

該公共特征的通用實施注重于對過程實施的控制程度。列出了過程執(zhí)行計劃的使用、基于標準和程序的過程執(zhí)行、配置管理下依照過程產(chǎn)生的工作產(chǎn)品。

該公共特征包含如下通用實施：

1)  GP2.2.1 ——使用計劃、標準和程序。在執(zhí)行過程域中，使用文檔化的計劃、標準和/或程序指導實施。

2)  GP2.2.2 —— 進行配置管理。 將過程域的輸出適當?shù)闹糜谂渲霉芾硐?，進行版本控制和/或變更控制。

2.3.4　公共特征2.3— 驗證執(zhí)行

該公共特征的通用實施注重于確認過程按預定的方式執(zhí)行。因此這個通用實施涉及到驗證執(zhí)行過程與可應用的標準和程序是一致性的，以及對工作產(chǎn)品的審計。

該公共特征包含如下通用實施：

1)  GP2.3.1 ——驗證過程一致性。驗證過程與可用標準和/或程序的一致性。

2)  GP2.3.2 ——審計工作產(chǎn)品。驗證工作產(chǎn)品與可用標準和/或程序、需求及測量目標的一致性。

2.3.5　公共特征2.4— 跟蹤執(zhí)行

該公共特征的通用實施注重于控制項目進展的能力。因此，該過程通過計劃跟蹤過程執(zhí)行，當實施與計劃產(chǎn)生重大偏離時采取修正行動。這些通用實施形成了達到充分定義過程能力的根本基礎(chǔ)。

該公共特征包含如下通用實施：

1)  GP2.4.1 ——使用測量跟蹤。 根據(jù)計劃通過測量跟蹤過程域狀態(tài)。

2)  GP 2.4.2 ——采取修正措施。 當與計劃間有重大差別時適當?shù)夭扇⌒拚胧?/p>

2.4　能力級別3 — 充分定義級

2.4.1　充分定義級綜述

在此級別，基本實施按照充分定義的過程執(zhí)行。充分定義的過程是依據(jù)對文檔化的標準過程進行裁剪并經(jīng)批準的過程版本。此過程與計劃和跟蹤級的主要區(qū)別在于利用組織范圍內(nèi)的過程標準來管理和規(guī)劃。

該能力級別包括以下公共特征：

1)  公共特征3.1 ——定義標準過程；

2)  公共特征3.2 ——執(zhí)行已定義的過程；

3)  公共特征3.3 ——協(xié)調(diào)安全實施。

2.4.2　公共特征3.1— 定義標準過程

該公共特征的通用實施注重于標準過程的制度化。1個標準過程需要適合特定環(huán)境的使用，所以也應考慮到如何進行裁剪。定義標準化的過程文檔，滿足特定用途對標準過程進行的裁剪。這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ)。

該公共特征包括以下通用實施：

1)  GP3.1.1 ——過程標準化。 為組織定義1個文檔化的標準過程或過程族，描述了如何實現(xiàn)過程域的基本實施,建立通用的政策、標準和程序，這稱之為“標準過程定義”。

2)  GP3.1.2 ——裁剪標準過程。 裁剪標準過程族以建立1個滿足專門用途特定需要的定義過程。

2.4.3　公共特征3.2— 執(zhí)行已定義過程

該公共特征注重于充分定義過程的可重復執(zhí)行。提出了已定義過程的使用，針對有缺陷的過程結(jié)果的核查過程執(zhí)行及其結(jié)果數(shù)據(jù)的使用。

該公共特征包括如下通用實施：

1)  GP3.2.1 ——使用充分定義的過程。在過程域的實施中使用充分定義的過程。一個充分定義的過程應包含文檔化的、一致的和完整的政策、標準、輸入、進入條件、活動、程序、特定角色、測量、確認、模板、輸出及退出條件。

2)  GP3.2.2 ——執(zhí)行缺陷復查。對過程域的適當工作產(chǎn)品進行缺陷復查。

3)  GP3.2.3 ——使用充分定義的數(shù)據(jù)。: 通過使用執(zhí)行已定義過程的數(shù)據(jù)，來管理此過程, 在2級開始收集的測量數(shù)據(jù)，在這層得到更積極的應用并且為下級別的定量管理奠定了基礎(chǔ)。

2.4.4　公共特征3.3—協(xié)調(diào)實施

此公共特征側(cè)重于項目活動的協(xié)調(diào)。許多重大活動都是由項目中的不同工作組和代表項目的甲方共同完成的。缺乏協(xié)調(diào)將會導致工期延誤和不可比的結(jié)果。因此應確定組內(nèi)、組間、組外活動的協(xié)調(diào)機制。這些通用實施是獲得定量控制過程能力的必要基礎(chǔ)。

此公共特征包含以下通用實施：

1)  GP3.3.1 ——執(zhí)行組內(nèi)協(xié)調(diào)。協(xié)調(diào)項目組內(nèi)的溝通,保證了關(guān)于技術(shù)問題的決定是一致的。

2)  GP3.3.2 ——執(zhí)行組間協(xié)調(diào)。

3)  GP3.3.3 ——執(zhí)行外部協(xié)調(diào)。

2.5　能力級別4 — 量化控制級

2.5.1　量化控制級綜述

這個級別收集、分析執(zhí)行的詳細測量。這將獲得對過程能力和改進能力的量化理解以預測執(zhí)行情況。這個級別執(zhí)行的管理是客觀的，工作產(chǎn)品的質(zhì)量是量化的。此級別與充分定義級的主要區(qū)別在于定義的過程是定量的理解和控制。

該能力級別包括如下公共特征：

1)  公共特征4.1 —— 建立可測的質(zhì)量目標；

2)  公共特征4.2 —— 客觀地管理執(zhí)行。

2.5.2　公共特征4.1— 建立可測的質(zhì)量目標

該公共特征的通用實施側(cè)重于為項目過程的工作產(chǎn)品建立可測量目標。因此這個公共特征提出了質(zhì)量目標的建立，這些通用實施為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。

該公共特征包括如下通用實施：

1)  GP4.1.1 —— 建立質(zhì)量目標。為標準過程族的工作產(chǎn)品建立可測量的質(zhì)量目標,與服務需求方的特定要求和優(yōu)先級或項目策略的要求緊密聯(lián)系。測量的意義是對所使用過程得到充分理解，這樣便能夠設(shè)置并使用工作產(chǎn)品測量中間目標。

2.5.3　公共特征4.2— 客觀地管理執(zhí)行

該公共特征的通用實施側(cè)重于確定過程能力的量化測量并使用量化測量來管理這個過程,該公共特征提出量化地確定過程能力和以量化測量作為修正行動的基礎(chǔ)。

該公共特征包括如下通用實施：

1)  GP4.2.1 —— 確定過程能力。 量化地確定已定義過程的過程能力。

2)  GP4.2.2 ——使用過程能力。當過程未按定義過程能力執(zhí)行時，適當?shù)夭扇⌒拚袆印?/p>

2.6　能力級別5 — 持續(xù)改進級

2.6.1　持續(xù)改進級綜述

在這個級別上，基于項目的商務目標并針對過程的有效性和執(zhí)行效率建立量化執(zhí)行目標。通過執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來保證對這些目標進行持續(xù)過程改進。這級別與定量控制級的主要區(qū)別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解，進行連續(xù)調(diào)整和改進。

該能力級別包括如下公共特征：

1)  公共特征5.1 ——改進組織能力；

2)  公共特征5.2 ——改進過程有效性。

2.6.2　公共特征5.1— 改進組織能力

該公共特征的通用實施注重于在標準過程的使用進行比較和在這些不同使用之間進行比較。當這些過程被使用時，尋找改進標準過程的機會，分析產(chǎn)生的缺陷以標識對標準過程的其它可能改進。因此，這個公共特征對過程的有效性建立了目標、標識對標準過程的改進以及分析對標準過程的可能變更。

該公共特征包括如下通用實施：

1)  GP5.1.1 ——建立過程有效性目標。 為改進過程有效性，根據(jù)組織的業(yè)務目標和當前過程能力建立量化目標。

2)  GP5.1.2 ——持續(xù)改進標準過程。 通過改變標準過程族連續(xù)地改進過程，從而提高過程有效性。

2.6.3　公共特征5.2— 改進過程有效性

該公共特征的通用實施注重于制定連續(xù)受控改進狀態(tài)下的標準過程。因此這個公共特征提出消除標準過程產(chǎn)生缺陷的原因和持續(xù)改進的標準過程。

該公共特征包括如下通用實施：

1)  GP5.2.1——執(zhí)行因果分析。 執(zhí)行缺陷的因果分析。

2)  GP5.2.2 ——消除缺陷原因。有選擇的消除已定義過程中缺陷產(chǎn)生的。；

3)  GP5.2.3—— 持續(xù)改進已定義過程。通過改變已定義過程來連續(xù)地改進過程實施，以提高其。有效性。

目前，我國各行業(yè)、地區(qū)在依據(jù)國家法律、法規(guī)、標準等要求，結(jié)合行業(yè)和地區(qū)特點分析建立各行業(yè)、地區(qū)的行業(yè)與地區(qū)風險評估標準，開展風險評估工作。但是各行業(yè)、地區(qū)在開展信息安全風險評估工作的同時，因為行業(yè)發(fā)展的不同步、地區(qū)經(jīng)濟發(fā)展的不平衡，信息安全風險評估服務的水平參差不齊。無統(tǒng)一的對風險評估服務水平進行評價的可參考的依據(jù)，本文意在提出一個對風險評估服務能力水平進行評價的參考方法。

來源：《信息安全研究》