2023年4月6日,CMMI研究院发布了CMMI 3.0,3.0在架构上没有大的变化,新的3.0包括12个能力域,31个实践域,276个实践。
主要变化有:
- 新增加了一个能力域,管理数据(Managing Data),下面包括两个实践域PA:数据管理和数据质量
(注:2021年5月的CMMI V2.2增加了Security和Safety能力域(Managing Security and Safety))
- 2.0中有6个基准视图,3.0是8个场景标签(context specific tag):Agile Development、Data、Development、DevSecOps、People、Safety、Security、Services、Supplier Management
- 其它是一些名称上的变化,如2.0的CMMI产品套件在3.0里更名为绩效解决方案生态,内容还是原来的模型、评估方法、培训和认证、实施指南、系统和工具5块
CMMI 3.0的能力域-实践域-实践一览表(包括各级别实践分级数据):
安全能力域(Managing Security and Safety)
安全能力域下有3个实践域(注:当safety和security放在一起的时候,翻译比较困难,有将safety译为安全,security译为安保的,但在security领域,大家都习惯叫安全,没人叫安保,本文干脆保持原样)和27个实践
ESAF(Enabing Safety - 使能safety)
ESEC(Enabling Security – 使能Security)
MST(Managing Security Threats and Vulnerabilities - 管理安全威胁和脆弱性)。
其中使能security实践域中包括9个实践:
第1级
ESEC 1.1:识别并记录安全需求和问题。
ESEC 1.2:解决优先安全需求和问题。
第2级
ESEC 2.1:识别安全需求,保持更新,并用于制定安全方法和目标。
ESEC 2.2:开发、保持更新并遵循解决物理安全需求的方法。
ESEC 2.3:开发、保持更新并遵循解决任务、人员和流程相关安全需求的方法。
ESEC 2.4:开发、保持更新并遵循解决网络、技术和相关信息安全需求的方法。
第3级
ESEC 3.1:建立和部署组织安全运营能力。
ESEC 3.2:制定、遵循和实施组织安全策略、方法和架构;并保持更新。
ESEC 3.3:定期对整个组织进行安全审查和评估,并根据结果采取行动。
管理安全威胁和脆弱性实践域包括10个实践:
(注:考虑从管理体系角度,要关注和解决的不是技术上的漏洞,因此这里将vulnerability译为脆弱性)
第1级
MST 1.1:识别并记录安全威胁和脆弱性。
MST 1.2:采取行动解决安全威胁和脆弱性。
第2级
MST 2.1:开发、保持更新并遵循处理安全威胁和脆弱性的方法。
MST 2.2:制定并保持更新标准以评估安全威胁和脆弱性。
MST 2.3:使用记录的标准来确定、监控和解决操作期间出现的最关键的安全威胁和脆弱性的优先级。
MST 2.4:评估并报告为解决解决方案的关键安全威胁和脆弱性而采取的方法和行动的有效性。
第3级
MST 3.1:制定、保持更新并遵循组织安全策略、方法和架构,以评估、管理和验证威胁和脆弱性。
MST 3.2:分析安全验证和确认结果,以确保准确性、可比性、一致性和有效性组织。
MST 3.3:评估用于解决安全威胁和脆弱性的组织安全策略、方法和架构的有效性。
第4级
MST 4.1:采用威胁情报分析来开发和改进解决方案安全方法和架构,并使用统计和其他定量技术选择安全解决方案来解决威胁和脆弱性。
各种安全能力成熟度在实践中的应用考虑
现在有各种各样的安全成熟度模型,有系统安全工程SSE-CMM、美国国防部CMMC、美国能源部C2M2,国标的数据安全DSMM,还有软件安全的BSIMM, OWASP SAMM,虽然概念上都借鉴了CMU-SEI的CMM,但又各不相同。CMMI作为能力成熟度的正宗传人,其框架结构还是很好的,但要看security的具体实践,显然CMMI的内容只提供了部分非常概要的实践,很难真正对做好安全管理、开发、服务、采购等起到很好的指导。
最有可能的应用情况是,从企业运营(COO)的角度,以CMMI模型为框架来体系化的管理企业运营的各个方面,从安全(CSO/CISO)的角度,还是需要针对具体的领域,采取适用本领域的更加具体的参考模型和标准指南。