前言：尋找寫作靈感？中文期刊網用心挑選的信息安全審計下的CMMI的研發，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

信息安全管理體系（InformationSecurityManagementSystem，以下簡稱為ISMS）和能力成熟度模型集成（CapabilityMaturityModelIntegration，以下簡稱為CMMI），是當前較為流行的并被大多數軟件企業普遍接受和引入的認證體系。其中ISMS是按照ISO/IEC27001標準《信息技術安全技術信息安全管理體系要求》的要求進行建立的，要求組織機構單位制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系；CMMIDEV2.0是美國卡耐基梅隆大學軟件工程研究所（SoftwareEngineeringInstitute，SEI）在2018年推出的最新軟件過程改進模型，著力強調高層全程參與以提升企業能力，涵蓋了軟件研發過程的20個實踐域，是一個軟件、產品和系統開發的優良實踐過程改進模型，能夠全方位指導組織提升績效。當前組織在導入這兩個體系時，往往將其視為獨立的系統分別實施，一方面加大了企業導入的工作量和成本，另一方面也不利于組織在企業中推廣和實施。但事實上ISMS中關于權責分離與訪問控制、外包管理、安全需求分析、安全設計與研發、安全測試與驗收，變更控制等條款的要求都與CMMI的部分實踐高度相關。如何將這兩個體系更好的進行融合，既能滿足ISMS的審計要求，同時也能達成CMMI實踐的要求并同時提升組織流程的一致性是業界一直關注的焦點問題，也是本文會闡述的重點。

1ISMS與CMMI的對應關系

按照ISMS管理體系的要求，本文整理了CMMI相關條款與之對應的實踐域，從軟件研發的角度而言，我們把兩者之間的對應關系分為需求、設計編碼與集成、測試與驗收、配置管理與變更、外包管理、風險管理、治理（GOV）和過程資產開發共八個大類，如表1所示。

2基于ISMS要求的CMMI研發流程調整

2.1行動能力域。（1）ISO27000的條款4.2理解相關方的需求和期望和A.14.1.1安全需求分析和規范這兩個條款要求識別信息安全管理體系的相關方及他們對信息安全相關的要求（其中包括法律，法規要求和合同義務），在當前CMMI2.0體系的實踐域需求開發和管理（RDM）中有挖掘需求的實踐要求，需要在需求開發和管理的過程中增加識別信息安全需求的活動，并在輸出的模板調研記錄和需求規格說明書中增加信息安全的需求章節的描述。（2）ISO27000的條款A.14.2開發和支持過程中的安全要求確保在整個信息系統生命周期中的信息安全設計與實施。在當前CMMI2.0體系的實踐域技術解決方案（TS）中的活動中增加安全設計活動，并在輸出的模板概要設計、詳細設計增加基于信息安全需求進行設計的章節，在開發管理過程中增加安全編碼規范和編碼過程中對代碼進行安全審計。（3）ISO27000的條款A.14.2.7外包開發中要求組織宜管理和監視外包系統開發活動，在當前cmmi2.0體系的實踐域供方協定管理（SAM）中有針對供應商和供應商的績效進行監視和評價，需要增加對供應商的安全管理的監控，對供應商的項目管理過程中的安全性進行監控。（4）ISO27000的條款A.14.2.8系統安全測試、A.14.2.9系統驗收測試要求在開發的過程中，必須測試功能的安全性、在建立新系統，升級系統和更新版本時，必須建立驗收測試程序和相關標準。在當前CMMI2.0體系的實踐域驗收和確認（VV）中需要增加獨立的安全測試規范與安全測試模板。并輸出：安全測試方案，安全測試用例，安全測試報告。（5）ISO27000的條款A.14.3測試數據要求確保測試數據的安全,需要根據數據的保密級別進行相應的處理。如需要保密的數據需要進行脫敏處理。當前CMMI2.0體系的實踐域驗收和確認（VV）中測試管理規范中增加對測試數據的管理規則。

2.2管理能力域。在ISO27000的條款8.2和8.3條款是針對信息安全的風險進行評估和處理，在A.6.1.5項目管理中的信息安全中特別強調在項目研發過程中要在項目管理中考慮信息安全的風險。在信息安全管理體系中識別風險需要考慮：資產價值，弱點、威脅。資產價值：首先識別資產，軟件類別（重要軟件、一般軟件），處理的數據（絕密，機密、內部數據、公開數據）等。再次識別資產的（完整性，保密性和可用性）來計算出資產價值以識別重要資產。弱點庫：例如缺乏軟件分發管理機制、缺乏軟件開發/采購安全保障機制、程序設計漏洞、缺乏漏洞管理機制威脅：例如蓄意破壞/篡改、非授權訪問/使用、數據丟失、操作失誤當前CMMI2.0體系要求中，并未對安全風險進行明確要求，為了滿足ISMS的審計要求，需要在風險與管理機會實踐域中定義流程時，將對安全風險的識別作為必需的選項，并在模板中明確標識需要識別安全相關的風險，修改對應風險評估參數為：資產價值、弱點、威脅以此來計算風險值，其計算公式為：風險值=資產價值×弱點值×威脅值。

2.3實現能力域。ISO27000的條款的A.14.2.3運行平臺變更后對應用的技術評審、A.14.2.2系統變更控制規程、A.14.2.4軟件包變更的限制要求針對變更管理有流程來進行控制、A.14.2.3運行平臺變更后對應用的技術評審都要要求對變更進行影響分析并執行適當的評審。當前CMMI2.0體系的實踐域配置管理（CM）要求過程已經明確定義了變更的管理過程和CCB組織的建立。需要特別指明CCB的成員應該包括公司的信息安全管理員，以平衡變更是否會引起信息安全方面的問題。ISO27000的條款A.8.2信息分類、A.9.4.5程序源碼的訪問控制要求按照不同的信息分類級別來進行文件和源代碼的訪問管理。當前CMMI2.0體系的實踐域配置管理（CM）有目錄角色的訪談權限列表，需要增加基于文檔的秘級來進行權限列表的分配，以控制未授權的訪問。

2.4提高能力域。ISO27000的條款A6.1.2職責分離，要求有沖突的職責和權限應被分開，減少對資產未經授權或無意的修改與誤用。當前CMMI2.0體系的實踐域治理（GOV）要求過程活動中職責分明，因此在該要求的基礎上需要進一步的識別是否有沖突的職責和權限需要特別區分并識別。ISO27000的條款A.14.2.6安全的開發環境和A.12.1.4開發，測試和運行環境的分離：要求應建立并適當保護開發環境安全，并集成涵蓋整個系統開發周期的工作，分別建立對應的測試和運行環境。當前CMMI2.0體系的實踐域過程資產開發（PAD）中要求組織建立組織級和項目級的標準工作環境，因此需要在標準工作環境中特別分離出標準的安全開發環境、測試環境和運行環境，指導有安全開發的項目來進行環境的建設。

3小結

本文針對ISO27000的審計條款要求，結合基于CMMI建立的研發制度來進行研發管理制度改進，以滿足公司信息安全管理的要求和信息安全管理體系審計要求的同時提升研發管理的信息安全。將這兩種制度在一定的程度上做融合以提升企業在同時導入這兩個體系時實施的效率和實施的有效性。

作者:蒲冬梅 單位:廣州賽寶認證中心服務有限公司