摘要：信息安全風(fēng)險評估服務(wù)是我國信息安全保障工作的重要環(huán)節之一，信息安全風(fēng)險評估技術(shù)手段一直為行業(yè)內所推崇。目前，因多方面因素影響，信息安全風(fēng)險評估服務(wù)能力的水平在地區、行業(yè)間等呈現參差不齊的現象。結合SSE-CMM理論及信息安全風(fēng)險評估服務(wù)的最優(yōu)實(shí)踐，提出風(fēng)險評估服務(wù)能力成熟度模型概念，即RAS-CMM。RAS-CMM圍繞資源配置、技術(shù)過(guò)程、項目管理等能力因素對風(fēng)險評估服務(wù)能力等級提出理論評價(jià)框架。

信息安全風(fēng)險評估是信息安全保障工作的基礎和重要環(huán)節，我國信息安全風(fēng)險評估工作得到國家一系列政策的支持?！秶倚畔⒒I(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)（中辦發(fā)[2003]27號）》，《關(guān)于開(kāi)展信息安全風(fēng)險評估工作的意見(jiàn)（國信辦[2006]5號）》，《關(guān)于加強國家電子政務(wù)工程建設項目信息安全風(fēng)險評估工作的通知（發(fā)改高技）[2008]2071號》等這些政策都明確提出信息安全風(fēng)險評估的必要性，及對信息安全風(fēng)險評估工作的重視。

同時(shí)，我國在標準化方面也做了大量工作。2007年6月14日，我國正式發(fā)布了國家標準GB/T20984─2007《信息安全技術(shù) 信息安全風(fēng)險評估規范》，標志著(zhù)我國開(kāi)展信息安全風(fēng)險評估工作有了正式的參考標準。該標準提出了風(fēng)險評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評估方法，以及風(fēng)險評估在信息系統生命周期不同階段的實(shí)施要點(diǎn)和工作形式，適用于規范組織開(kāi)展風(fēng)險評估工作。后續的發(fā)布的還有GB/Z24364─2009《信息安全風(fēng)險管理指南》， GB/T31509─2015《信息安全技術(shù) 信息安全風(fēng)險評估實(shí)施指南》等標準。

新時(shí)期，國家對于風(fēng)險評估工作空前重視。習主席在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上的講話(huà)上指出“維護網(wǎng)絡(luò )安全，首先要知道風(fēng)險在哪里，是什么樣的風(fēng)險，什么時(shí)候發(fā)生風(fēng)險”，“準確把握網(wǎng)絡(luò )安全風(fēng)險發(fā)生的規律、動(dòng)向、趨勢”。足見(jiàn)國家對網(wǎng)絡(luò )安全風(fēng)險的重視，開(kāi)展信息安全風(fēng)險評估工作的重要性。特別是，2016年11月7日發(fā)布，2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò )安全法》中明確將信息安全安全風(fēng)險評估服務(wù)工作上升為國家法律層面，為信息安全風(fēng)險評估工作的推動(dòng)發(fā)揮巨大作用。

本文結合一線(xiàn)風(fēng)險評估測評經(jīng)驗與國際通用的能力成熟度的理論，提出了風(fēng)險評估服務(wù)能力成熟度模型的概念。本文意在闡述信息安全風(fēng)險評估服務(wù)能力成熟度模型的框架研究，為風(fēng)險評估服務(wù)能力水平的評價(jià)提供參考依據。

1.1 信息安全風(fēng)險評估服務(wù)過(guò)程描述

信息安全風(fēng)險評估服務(wù)能力成熟度模型是依據風(fēng)險評估服務(wù)生命過(guò)程, 風(fēng)險評估服務(wù)提供方向風(fēng)險評估服務(wù)需求方提供包括業(yè)務(wù)識別、資產(chǎn)識別、威脅識別、脆弱性識別、現有安全措施有效性分析和風(fēng)險分析等為主線(xiàn)，對整個(gè)風(fēng)險評估服務(wù)過(guò)程及過(guò)程中的多個(gè)過(guò)程域的服務(wù)能力等級進(jìn)行測評的評估模型。信息安全風(fēng)險評估服務(wù)生命周期框架流程圖如圖1所示：

圖1   風(fēng)險評估實(shí)施流程圖

目前風(fēng)險評估服務(wù)的形式因行業(yè)和地區的不同呈現多樣化，本文意在闡述基于GB/T20984的完整風(fēng)險評估服務(wù)過(guò)程為主線(xiàn)，對能提供單個(gè)、多個(gè)過(guò)程域及整個(gè)風(fēng)險評估服務(wù)的提供方從其服務(wù)過(guò)程中的資源配置、技術(shù)服務(wù)過(guò)程和項目管理過(guò)程等服務(wù)能力要素對風(fēng)險評估服務(wù)提供方的服務(wù)能力成熟度進(jìn)行等級評估。對于在具體風(fēng)險評估服務(wù)的過(guò)程中不是針對整個(gè)生命周期進(jìn)行服務(wù)的情況，可以對具體的服務(wù)過(guò)程域進(jìn)行風(fēng)險評估服務(wù)的能力等級進(jìn)行評估。

1.2 信息安全風(fēng)險評估服務(wù)能力要素

信息安全風(fēng)險評估服務(wù)能力包括風(fēng)險評估服務(wù)技術(shù)過(guò)程能力，信息安全風(fēng)險評估服務(wù)的項目管理過(guò)程能力及風(fēng)險評估服務(wù)資源配置能力等方面。這些服務(wù)能力也是信息安全風(fēng)險評估服務(wù)的基本活動(dòng)，這些活動(dòng)能力的評估需信息系統服務(wù)的需求方、提供方和評估方配置相應的人力、設備、環(huán)境等資源和服務(wù)過(guò)程的管理才能構成完整的風(fēng)險評估服務(wù)能力。

因此，信息安全風(fēng)險評估服務(wù)能力應由以下要素構成，如圖2所示：

圖2 風(fēng)險評估服務(wù)能力構成要素

1）風(fēng)險評估服務(wù)資源配置

在資源配置方面包括風(fēng)險評估服務(wù)人員的專(zhuān)業(yè)技術(shù)能力和知識面、實(shí)施風(fēng)險評估服務(wù)所需的工具設備、設施和環(huán)境。

2）風(fēng)險評估服務(wù)技術(shù)過(guò)程

根據風(fēng)險評估服務(wù)技術(shù)過(guò)程的各個(gè)過(guò)程域，包括業(yè)務(wù)識別、資產(chǎn)識別、威脅識別、脆弱性識別、現有安全措施有效性分析和風(fēng)險分析等。

3）風(fēng)險評估服務(wù)項目管理過(guò)程

實(shí)施風(fēng)險評估服務(wù)需要進(jìn)行項目管理過(guò)程。項目管理過(guò)程應覆蓋到風(fēng)險評估服務(wù)的服務(wù)過(guò)程活動(dòng)中。

1.3 風(fēng)險評估服務(wù)能力成熟度模型

信息安全風(fēng)險評估服務(wù)能力成熟度模型（RAS-CMM）是在系統安全工程能力成熟度模型（SSE-CMM）的基礎上，結合信息安全風(fēng)險評估服務(wù)的最佳實(shí)踐，所形成的對風(fēng)險評估服務(wù)能力成熟度進(jìn)行度量的模型。

信息安全風(fēng)險評估服務(wù)能力成熟度由能力維和域維構成（如圖3所示）。

風(fēng)險評估服務(wù)能力級別分為5級：1級是基本執行級；，2級是計劃跟蹤級；3級是充分定義級；4級是量化控制級；5級是持續改進(jìn)級。風(fēng)險評估服務(wù)能力級別示意圖（如圖4所示）。

能力級別從1～5級逐級提高，標志著(zhù)風(fēng)險評估恢復服務(wù)能力成熟度的不斷提升。每個(gè)級別規定了對應的公共特征和通用實(shí)施。在本文中，高級別需要涵蓋低級別成熟度要求的所有內容。但該級別只是規定了增加的內容。

能力維由公共特征構成，公共特征由通用實(shí)施（GP）構成。對于某級別的所有通用實(shí)施滿(mǎn)足了該級別的公共特征，從而形成了此級別的能力。

圖3 風(fēng)險評估服務(wù)能力成熟度模型

域維由過(guò)程域(PA)和資源配置組成。風(fēng)險評估服務(wù)的過(guò)程域（PA）包括風(fēng)險評估服務(wù)技術(shù)過(guò)程域、項目管理過(guò)程域。過(guò)程域由基本實(shí)施(BP)構成，每個(gè)過(guò)程域的基本實(shí)施（BP）是構成該過(guò)程域的基本要素，是該完成該過(guò)程活動(dòng)的基本單元。對于不同級別的能力維，風(fēng)險評估服務(wù)過(guò)程域的各個(gè)基本實(shí)施（BP）都是必須的。資源配置是完成風(fēng)險評估服務(wù)活動(dòng)的基本條件，針對不同能力級別，可能需要特定的資源配置條件。風(fēng)險評估服務(wù)能力等級示意圖如圖4所示:

圖4 風(fēng)險評估服務(wù)能力等級示意圖

1.4 風(fēng)險評估服務(wù)能力要素

1.4.1 風(fēng)險評估服務(wù)資源配置能力

風(fēng)險評估服務(wù)的開(kāi)展要具備資源配置能力，風(fēng)險評估項目組要具備足夠支撐風(fēng)險評估服務(wù)的基本資源，例如各類(lèi)檢查表格、報告模板、漏掃工具、滲透工具、資產(chǎn)識別工具、威脅識別工具、合格的風(fēng)險評估技術(shù)人才等。

1.4.2 風(fēng)險評估服務(wù)技術(shù)過(guò)程能力

1.4.2.1 PA01-業(yè)務(wù)識別與分析

在識別組織的業(yè)務(wù)之前要掌握組織的發(fā)展戰略,由戰略推導出各業(yè)務(wù)發(fā)展情況，識別業(yè)務(wù)內容，可通過(guò)訪(fǎng)談、文檔查閱、資料查閱等方式，針對業(yè)務(wù)屬性進(jìn)行賦值分析，找到關(guān)鍵業(yè)務(wù)。業(yè)務(wù)是組織發(fā)展的核心，業(yè)務(wù)具有價(jià)值屬性、多樣性、復雜性等特點(diǎn)。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1)  BP.02.01——關(guān)鍵資產(chǎn)識別；

2)  BP.02.02——資產(chǎn)影響分析；

3)  BP.02.03——監視資產(chǎn)影響變化。

1.4.2.2 PA02-資產(chǎn)識別與分析

根據資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)性或相關(guān)性進(jìn)行資產(chǎn)識別，并根據資產(chǎn)的業(yè)務(wù)相關(guān)性、保密性、完整性和可用性等屬性對資產(chǎn)的影響進(jìn)行優(yōu)先級排列。風(fēng)險評估中資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度以及其上承載的業(yè)務(wù)安全程度產(chǎn)生影響。當承載的業(yè)務(wù)屬性發(fā)生變化時(shí)，資產(chǎn)的影響優(yōu)先級將發(fā)生變化。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1)  BP.02.01——關(guān)鍵資產(chǎn)識別；

2)  BP.02.02——資產(chǎn)影響分析；

3)  BP.02.03——監視資產(chǎn)影響變化。

1.4.2.3 PA03-威脅識別與分析

業(yè)務(wù)及資產(chǎn)面臨的威脅是風(fēng)險的發(fā)起者，如果不存在威脅，風(fēng)險也就隨之不存在了，威脅構成了風(fēng)險發(fā)生的必要條件。威脅來(lái)源、動(dòng)機、能力和頻率是威脅的屬性，威脅的屬性既是對威脅的描述，也構成了評價(jià)威脅影響優(yōu)先級的必然因素。當環(huán)境等因素發(fā)生變化時(shí)，威脅的影響也會(huì )隨之發(fā)生變化。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1)  BP.03.01——威脅識別；

2)  BP.03.02——威脅影響分析；

3)  BP.03.03——監視威脅變化。

1.4.2.4 PA04-脆弱性識別與分析

脆弱性是風(fēng)險評估服務(wù)的重要環(huán)節，可從技術(shù)和管理兩個(gè)方面進(jìn)行審視。脆弱性識別依據相關(guān)國際或國家安全標準、行業(yè)規范等，對應用在不同環(huán)境中的相同脆弱性，其嚴重程度是不同的。根據脆弱性對業(yè)務(wù)和資產(chǎn)的暴露程度，已有安全措施和脆弱性關(guān)聯(lián)識別分析結果等，采用優(yōu)先級排列的方式對已識別的脆弱性進(jìn)行賦值。資產(chǎn)所處環(huán)境等因素變化，脆弱性的等級也隨之發(fā)生變化。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1)  BP.04.01——脆弱性識別；

2)  BP.04.02——脆弱性等級分析；

3)  BP.04.03——監視脆弱性影響變化分析。

1.4.2.5 PA05-現有安全措施有效性識別與分析

對現有安全措施進(jìn)行識別并評估其有效性，即是否真正地抵御了威脅，降低了脆弱性。對有效抵御威脅的安全措施繼續保持，對確認為不適當的或無(wú)法有效抵御威脅的安全措施應被取消或對其進(jìn)行修正。

本過(guò)程域包括以下2個(gè)基本實(shí)施：

1)  BP.05.01——現有安全措施識別；

2)  BP.05.02——現有安全措施有效性分析。

1.4.2.6 PA06-風(fēng)險分析

在完成了業(yè)務(wù)識別、資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當的方法與工具確定風(fēng)險等級。

本過(guò)程域包括以下4個(gè)基本實(shí)施：

1)  BP.04.01——選擇風(fēng)險分析方法；

2)  BP.04.02——對暴露（指威脅、脆弱性和影響的組合）的標識與分析；

3)  BP.04.03——排列風(fēng)險優(yōu)先級；

4) BP.04.04——監視風(fēng)險變化。

1.4.2.7 PA07-質(zhì)量保證

這個(gè)過(guò)程域的潛在目的是：只有整個(gè)服務(wù)過(guò)程都在持續測量和改進(jìn)質(zhì)量的情況下才能產(chǎn)生高質(zhì)量的風(fēng)險評估服務(wù)。在整個(gè)風(fēng)險評估服務(wù)的過(guò)程中，為保證高質(zhì)量的服務(wù)，關(guān)鍵內容就是測量、分析和修正措施，保證相關(guān)內容的保密性等。該過(guò)程域的目標就是，實(shí)現預期的服務(wù)質(zhì)量。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1)  BP.09.01——測量產(chǎn)品質(zhì)量；

2)  BP.09.02——測量過(guò)程質(zhì)量；

3)  BP.09.03——質(zhì)量分析與修正。

1.4.2.8 PA08-配置管理

“管理配置”的目的是維持已標識的配置單元的數據和狀況，并對風(fēng)險評估服務(wù)及其配置單元的變化進(jìn)行分析和控制。

本過(guò)程域包括以下2個(gè)基本實(shí)施：

 BP.10.01——建立配置單元；

2） BP.10.02——維護工作產(chǎn)品基線(xiàn)。

1.4.2.9 PA09-項目風(fēng)險管理

“管理風(fēng)險”的目的是標識、評估、監視和降低風(fēng)險評估服務(wù)項目風(fēng)險以便于風(fēng)險評估服務(wù)項目取得成功。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1） BP.11.01——項目風(fēng)險的識別和評估；

2） BP.11.02——項目風(fēng)險的控制；

3） BP.11.03——跟蹤風(fēng)險降低效果。

1.4.2.10 PA10-項目規劃

“項目規劃”的目的是建立項目計劃和規劃項目的技術(shù)過(guò)程，為在風(fēng)險評估服務(wù)過(guò)程中涉及到的技術(shù)性工作的進(jìn)度、費用、控制、跟蹤和商議性質(zhì)和范圍提供基礎。

本過(guò)程域包括以下2個(gè)基本實(shí)施：

1） BP.12.01——項目計劃；

2） BP.12.02——項目技術(shù)規劃。

1.4.2.11 PA11-項目監控

“項目監控”的目的是為項目計劃和技術(shù)過(guò)程得到有效執行，并通過(guò)監督和指導行為使得項目執行過(guò)程滿(mǎn)足項目規劃的效果，對執行計劃發(fā)生嚴重偏差時(shí)可及時(shí)進(jìn)行修正。

本過(guò)程域包括以下2個(gè)基本實(shí)施：

1） BP.13.01——項目監督和指導；

2） BP.13.02——問(wèn)題分析與修正。

1.4.2.12 提供不斷發(fā)展的技能

“技能和知識提升”的目的在于確保項目組成員擁有必要的技能來(lái)達到項目的目標。所需的技能可以通過(guò)內部培訓和外部來(lái)源中獲得。

本過(guò)程域包括以下3個(gè)基本實(shí)施：

1） BP.15.01——識別技能和知識需求；

2） BP.15.02——實(shí)施培訓；

 BP.15.03——技能和培訓評估。

2.1　風(fēng)險評估服務(wù)過(guò)程能力概述

風(fēng)險評估服務(wù)過(guò)程能力等級分為5級，由1級到5級遞增。每個(gè)級別包含了幾個(gè)公共特征，每個(gè)公共特征又包含若干個(gè)通用實(shí)施。通用實(shí)施是適用于所有過(guò)程的活動(dòng)，是過(guò)程方面的管理，度量和制度化方面陳述。這些通用實(shí)施可在過(guò)程能力的評定中用于確定任何過(guò)程的能力。

能力級別具體定義如下所示：

1)  能力級別1——基本執行；

2)  能力級別2——計劃跟蹤；

3)  能力級別3——充分定義；

4)  能力級別4——量化控制；

5)  能力級別5——持續改進(jìn)。

2.2　能力級別1 — 基本執行級

2.2.1　基本執行級綜述

在此級別，過(guò)程域的基本實(shí)施通常被執行。但基本實(shí)施的執行可能未經(jīng)嚴格的計劃和跟蹤，而是基于個(gè)人的知識和努力。

該能力級別包含如下公共特征：

1)  公共特征1.1——執行基本實(shí)施。此公共特征的通用實(shí)施只是保證過(guò)程域的基本實(shí)施以某種方式執行，工作產(chǎn)品的一致性、性能和質(zhì)量會(huì )因缺乏適當控制而存在極大的差異。

該公共特征包含如下通用實(shí)施：

1)  GP1.1.1——執行過(guò)程。執行一個(gè)實(shí)現過(guò)程域的基本實(shí)施的過(guò)程，為服務(wù)需求方提供服務(wù)。

2.3　能力級別2 — 計劃與跟蹤級

2.3.1　計劃與跟蹤級綜述

此級別，過(guò)程域基本實(shí)施的執行是經(jīng)計劃并被跟蹤的，并對實(shí)施情況進(jìn)行驗證。工作產(chǎn)品符合指定的標準。通過(guò)測量來(lái)跟蹤過(guò)程域的執行情況，能夠基于實(shí)際實(shí)施活動(dòng)進(jìn)行管理。與基本執行級別間的主要區別是過(guò)程實(shí)施被計劃和管理。

該能力級別包含如下公共特征：

1)  公共特征2.1 ——規劃執行；

2)  公共特征2.2 ——規范化執行；

3)  公共特征2.3 ——驗證執行；

4)  公共特征2.4 ——跟蹤執行。

2.3.2　公共特征2.1— 規劃執行

該公共特征的基本實(shí)施集中在過(guò)程域及相關(guān)的基本實(shí)施執行的規劃方面。涉及到過(guò)程文檔的編制，適當執行過(guò)程工具的提供，過(guò)程實(shí)施的計劃，過(guò)程執行中的培訓，過(guò)程資源的分配以及過(guò)程執行的責任分配。這些通用實(shí)施為規范化的過(guò)程執行提供了最根本的基礎。

該公共特征包含如下通用實(shí)施：

1)  GP2.1.1 ——分配資源。為執行過(guò)程域基本實(shí)施提供充份的資源，包括人（特別是關(guān)鍵人員）、技術(shù)、工具、設備等。

2)  GP2.1.2 ——分配責任。為服務(wù)過(guò)程分配任務(wù)和責任，包括內部、外部和過(guò)程實(shí)施的所有相關(guān)方和個(gè)人。

3)  GP2.1.3 —— 文檔化過(guò)程。將過(guò)程域執行的方法形成標準化和/或程序化文檔。

4)  GP2.1.4——提供工具。為支持過(guò)程域的執行提供適當的工具。

5)  GP2.1.5 ——保證培訓。保證過(guò)程域執行人員獲得適當的過(guò)程執行方面的培訓。

6) GP 2.1.6 ——規劃過(guò)程。對過(guò)程域的實(shí)施進(jìn)行規劃。

2.3.3　公共特征2.2— 規范化執行

該公共特征的通用實(shí)施注重于對過(guò)程實(shí)施的控制程度。列出了過(guò)程執行計劃的使用、基于標準和程序的過(guò)程執行、配置管理下依照過(guò)程產(chǎn)生的工作產(chǎn)品。

該公共特征包含如下通用實(shí)施：

1)  GP2.2.1 ——使用計劃、標準和程序。在執行過(guò)程域中，使用文檔化的計劃、標準和/或程序指導實(shí)施。

2)  GP2.2.2 —— 進(jìn)行配置管理。 將過(guò)程域的輸出適當的置于配置管理下，進(jìn)行版本控制和/或變更控制。

2.3.4　公共特征2.3— 驗證執行

該公共特征的通用實(shí)施注重于確認過(guò)程按預定的方式執行。因此這個(gè)通用實(shí)施涉及到驗證執行過(guò)程與可應用的標準和程序是一致性的，以及對工作產(chǎn)品的審計。

該公共特征包含如下通用實(shí)施：

1)  GP2.3.1 ——驗證過(guò)程一致性。驗證過(guò)程與可用標準和/或程序的一致性。

2)  GP2.3.2 ——審計工作產(chǎn)品。驗證工作產(chǎn)品與可用標準和/或程序、需求及測量目標的一致性。

2.3.5　公共特征2.4— 跟蹤執行

該公共特征的通用實(shí)施注重于控制項目進(jìn)展的能力。因此，該過(guò)程通過(guò)計劃跟蹤過(guò)程執行，當實(shí)施與計劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng)。這些通用實(shí)施形成了達到充分定義過(guò)程能力的根本基礎。

該公共特征包含如下通用實(shí)施：

1)  GP2.4.1 ——使用測量跟蹤。 根據計劃通過(guò)測量跟蹤過(guò)程域狀態(tài)。

2)  GP 2.4.2 ——采取修正措施。 當與計劃間有重大差別時(shí)適當地采取修正措施。

2.4　能力級別3 — 充分定義級

2.4.1　充分定義級綜述

在此級別，基本實(shí)施按照充分定義的過(guò)程執行。充分定義的過(guò)程是依據對文檔化的標準過(guò)程進(jìn)行裁剪并經(jīng)批準的過(guò)程版本。此過(guò)程與計劃和跟蹤級的主要區別在于利用組織范圍內的過(guò)程標準來(lái)管理和規劃。

該能力級別包括以下公共特征：

1)  公共特征3.1 ——定義標準過(guò)程；

2)  公共特征3.2 ——執行已定義的過(guò)程；

3)  公共特征3.3 ——協(xié)調安全實(shí)施。

2.4.2　公共特征3.1— 定義標準過(guò)程

該公共特征的通用實(shí)施注重于標準過(guò)程的制度化。1個(gè)標準過(guò)程需要適合特定環(huán)境的使用，所以也應考慮到如何進(jìn)行裁剪。定義標準化的過(guò)程文檔，滿(mǎn)足特定用途對標準過(guò)程進(jìn)行的裁剪。這些通用過(guò)程形成了執行已定義過(guò)程必要的基礎。

該公共特征包括以下通用實(shí)施：

1)  GP3.1.1 ——過(guò)程標準化。 為組織定義1個(gè)文檔化的標準過(guò)程或過(guò)程族，描述了如何實(shí)現過(guò)程域的基本實(shí)施,建立通用的政策、標準和程序，這稱(chēng)之為“標準過(guò)程定義”。

2)  GP3.1.2 ——裁剪標準過(guò)程。 裁剪標準過(guò)程族以建立1個(gè)滿(mǎn)足專(zhuān)門(mén)用途特定需要的定義過(guò)程。

2.4.3　公共特征3.2— 執行已定義過(guò)程

該公共特征注重于充分定義過(guò)程的可重復執行。提出了已定義過(guò)程的使用，針對有缺陷的過(guò)程結果的核查過(guò)程執行及其結果數據的使用。

該公共特征包括如下通用實(shí)施：

1)  GP3.2.1 ——使用充分定義的過(guò)程。在過(guò)程域的實(shí)施中使用充分定義的過(guò)程。一個(gè)充分定義的過(guò)程應包含文檔化的、一致的和完整的政策、標準、輸入、進(jìn)入條件、活動(dòng)、程序、特定角色、測量、確認、模板、輸出及退出條件。

2)  GP3.2.2 ——執行缺陷復查。對過(guò)程域的適當工作產(chǎn)品進(jìn)行缺陷復查。

3)  GP3.2.3 ——使用充分定義的數據。: 通過(guò)使用執行已定義過(guò)程的數據，來(lái)管理此過(guò)程, 在2級開(kāi)始收集的測量數據，在這層得到更積極的應用并且為下級別的定量管理奠定了基礎。

2.4.4　公共特征3.3—協(xié)調實(shí)施

此公共特征側重于項目活動(dòng)的協(xié)調。許多重大活動(dòng)都是由項目中的不同工作組和代表項目的甲方共同完成的。缺乏協(xié)調將會(huì )導致工期延誤和不可比的結果。因此應確定組內、組間、組外活動(dòng)的協(xié)調機制。這些通用實(shí)施是獲得定量控制過(guò)程能力的必要基礎。

此公共特征包含以下通用實(shí)施：

1)  GP3.3.1 ——執行組內協(xié)調。協(xié)調項目組內的溝通,保證了關(guān)于技術(shù)問(wèn)題的決定是一致的。

2)  GP3.3.2 ——執行組間協(xié)調。

3)  GP3.3.3 ——執行外部協(xié)調。

2.5　能力級別4 — 量化控制級

2.5.1　量化控制級綜述

這個(gè)級別收集、分析執行的詳細測量。這將獲得對過(guò)程能力和改進(jìn)能力的量化理解以預測執行情況。這個(gè)級別執行的管理是客觀(guān)的，工作產(chǎn)品的質(zhì)量是量化的。此級別與充分定義級的主要區別在于定義的過(guò)程是定量的理解和控制。

該能力級別包括如下公共特征：

1)  公共特征4.1 —— 建立可測的質(zhì)量目標；

2)  公共特征4.2 —— 客觀(guān)地管理執行。

2.5.2　公共特征4.1— 建立可測的質(zhì)量目標

該公共特征的通用實(shí)施側重于為項目過(guò)程的工作產(chǎn)品建立可測量目標。因此這個(gè)公共特征提出了質(zhì)量目標的建立，這些通用實(shí)施為客觀(guān)地執行管理提供了必要的基礎。

該公共特征包括如下通用實(shí)施：

1)  GP4.1.1 —— 建立質(zhì)量目標。為標準過(guò)程族的工作產(chǎn)品建立可測量的質(zhì)量目標,與服務(wù)需求方的特定要求和優(yōu)先級或項目策略的要求緊密聯(lián)系。測量的意義是對所使用過(guò)程得到充分理解，這樣便能夠設置并使用工作產(chǎn)品測量中間目標。

2.5.3　公共特征4.2— 客觀(guān)地管理執行

該公共特征的通用實(shí)施側重于確定過(guò)程能力的量化測量并使用量化測量來(lái)管理這個(gè)過(guò)程,該公共特征提出量化地確定過(guò)程能力和以量化測量作為修正行動(dòng)的基礎。

該公共特征包括如下通用實(shí)施：

1)  GP4.2.1 —— 確定過(guò)程能力。 量化地確定已定義過(guò)程的過(guò)程能力。

2)  GP4.2.2 ——使用過(guò)程能力。當過(guò)程未按定義過(guò)程能力執行時(shí)，適當地采取修正行動(dòng)。

2.6　能力級別5 — 持續改進(jìn)級

2.6.1　持續改進(jìn)級綜述

在這個(gè)級別上，基于項目的商務(wù)目標并針對過(guò)程的有效性和執行效率建立量化執行目標。通過(guò)執行已定義過(guò)程和有創(chuàng )建的新概念、新技術(shù)的量化反饋來(lái)保證對這些目標進(jìn)行持續過(guò)程改進(jìn)。這級別與定量控制級的主要區別在于已定義的過(guò)程和標準過(guò)程基于對這些過(guò)程變化效果的量化理解，進(jìn)行連續調整和改進(jìn)。

該能力級別包括如下公共特征：

1)  公共特征5.1 ——改進(jìn)組織能力；

2)  公共特征5.2 ——改進(jìn)過(guò)程有效性。

2.6.2　公共特征5.1— 改進(jìn)組織能力

該公共特征的通用實(shí)施注重于在標準過(guò)程的使用進(jìn)行比較和在這些不同使用之間進(jìn)行比較。當這些過(guò)程被使用時(shí)，尋找改進(jìn)標準過(guò)程的機會(huì )，分析產(chǎn)生的缺陷以標識對標準過(guò)程的其它可能改進(jìn)。因此，這個(gè)公共特征對過(guò)程的有效性建立了目標、標識對標準過(guò)程的改進(jìn)以及分析對標準過(guò)程的可能變更。

該公共特征包括如下通用實(shí)施：

1)  GP5.1.1 ——建立過(guò)程有效性目標。 為改進(jìn)過(guò)程有效性，根據組織的業(yè)務(wù)目標和當前過(guò)程能力建立量化目標。

2)  GP5.1.2 ——持續改進(jìn)標準過(guò)程。 通過(guò)改變標準過(guò)程族連續地改進(jìn)過(guò)程，從而提高過(guò)程有效性。

2.6.3　公共特征5.2— 改進(jìn)過(guò)程有效性

該公共特征的通用實(shí)施注重于制定連續受控改進(jìn)狀態(tài)下的標準過(guò)程。因此這個(gè)公共特征提出消除標準過(guò)程產(chǎn)生缺陷的原因和持續改進(jìn)的標準過(guò)程。

該公共特征包括如下通用實(shí)施：

1)  GP5.2.1——執行因果分析。 執行缺陷的因果分析。

2)  GP5.2.2 ——消除缺陷原因。有選擇的消除已定義過(guò)程中缺陷產(chǎn)生的。；

3)  GP5.2.3—— 持續改進(jìn)已定義過(guò)程。通過(guò)改變已定義過(guò)程來(lái)連續地改進(jìn)過(guò)程實(shí)施，以提高其。有效性。

目前，我國各行業(yè)、地區在依據國家法律、法規、標準等要求，結合行業(yè)和地區特點(diǎn)分析建立各行業(yè)、地區的行業(yè)與地區風(fēng)險評估標準，開(kāi)展風(fēng)險評估工作。但是各行業(yè)、地區在開(kāi)展信息安全風(fēng)險評估工作的同時(shí)，因為行業(yè)發(fā)展的不同步、地區經(jīng)濟發(fā)展的不平衡，信息安全風(fēng)險評估服務(wù)的水平參差不齊。無(wú)統一的對風(fēng)險評估服務(wù)水平進(jìn)行評價(jià)的可參考的依據，本文意在提出一個(gè)對風(fēng)險評估服務(wù)能力水平進(jìn)行評價(jià)的參考方法。

來(lái)源：《信息安全研究》