10.2 安全工程能力級別說明

此章包含了可應用于所有信息系統安全安全工程保障控制類的通用實施。這些通用實施可在過程域評定中用于確定任何過程域的能力級別。通用實施依據公共特征和能力級別進行分組。
通用實施劃分為如下的能力級別：
a) 能力級別0：未實施；
b) 能力級別1：基本執行；
c) 能力級別2：計劃和跟蹤；
d) 能力級別3：充分定義；
e) 能力級別4：量化控制；
f) 能力級別5：持續改進。

10.2.1　能力級別0 – 未實施

未實施級別沒有公共特征。在這個級別中通常不能成功執行過程域中的基本實施。此過程域的工作產品不易辨別或使用。

10.2.2　能力級別1 – 基本執行

過程域的基本實施通常被執行。基本實施的執行可能未經嚴格的計劃和跟蹤，而是基于個人的知識和努力。此過程域的工作產品可證實基本實施的執行。組織內的個人可識別出一個行動應被執行，并同意這個行動會在需要時執行。此過程域的工作產品是可識別的。
本能力級別包含下列公共特征：
a) 公共特征 1.1 – 執行基本實踐：此公共特征的通用實施只是保證過程域的基本實施以某種方式執行。然而，所產生的工作產品的一致性、性能和質量會因已有的控制的特別本質而存在極大的差異。
1) GP 1.1.1 – 執行過程：執行一個實現過程域的基本實踐的過程，從而為用戶提供工作產品和/或服務。

10.2.3　能力級別2 – 計劃和跟蹤

在這一級別上，過程域基本實踐的執行是經計劃并被跟蹤的。依據特定步驟的執行被驗證。工作產品符合指定的標準和需求。測量被用于跟蹤過程域的執行情況，因此，使組織能夠基于實際實施活動進行過程。與非正式實施級別間的主要區別是過程域實施被計劃和過程。
本能力級別包含下列公共特征：
a) 公共特征 2.1—計劃執行：此通用實踐引入了第一級的可測量的成熟度（例如：一個計劃）。它的目的是建立在供應商組織機構中所使用的基準能力。此計劃并不必成為組織機構的標準化過程，但它們應適用于特定人員組（例如：評估小組、網絡小組和威脅分析小組）。
1) GP2.1.1 —分派資源：為執行過程域提供充份的資源（包括時間、工具和人）。
2) GP2.1.2 —分配責任：為開發工作產品和/或提供過程域服務分配責任。
3) GP2.1.3 —文檔化過程：將過程域執行的方法形成標準化和/或程序化文檔。
4) GP2.1.4 —提供工具：為支持過程域的執行提供適當的工具。
5) GP2.1.5 —保證培訓：保證過程域執行人員獲得適當的過程執行方面的培訓。
6) GP2.1.6 —規劃過程：計劃過程域的執行。
b) 公共特征2.2 — 規范化執行：一旦建立一套基準文檔，組織機構必須提供其實現級別2所對應實施的相關證據。
1) GP 2.2.1 – 使用計劃、標準和流程：在執行過程域中，使用文檔化的計劃、標準和/或程序。
2) GP 2.2.2 – 進行配置過程：將過程域工作產品適當的置于版本控制和/或配置過程下。
c) 公共特征2.3 — 驗證執行：本通用實踐是級別2行動的確認和驗證。
1) GP 2.3.1 –驗證過程符合性：驗證過程與可用標準和/或程序的符合性。
2) GP 2.3.2 –審計工作產品：驗證工作產品與可適用的標準和/或需求的一致性。
d) 公共特征2.4 — 跟蹤執行：本通用實踐是用于搜集過程相關的測量，以此作為建立一個標準化的過程能力的基礎。修正行動用于精煉當前過程以確保創建最有效的標準。
1) GP 2.4.1 — 使用測量跟蹤：適用測量跟蹤過程域的狀態。
2) GP 2.4.2 — 采取修正措施：當過程與計劃間有重大差別時適當地采取修正措施。

10.2.4　能力級別3 – 充分定義

在這一級別，基本實踐使用已批準的、裁剪的標準和文檔化的過程版本按照充分定義的過程執行。充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程版本。這一過程與計劃和跟蹤級的主要區別在于利用組織范圍內而不是獨立行動的過程標準來過程和規劃。
該能力級別包括以下公共特征：
a) 公共特征3.1 – 定義標準過程：該公共特征的通用實踐注重于組織標準過程的制度化。制度化過程的起因和基礎可能是一個或多個相似過程在特定項目中的成功應用。一個組織機構的標準過程可能需要裁剪以適合特定環境的使用，所以如何進行裁剪也應考慮。因此，為組織提出了標準過程的文檔和為滿足特定用途對標準過程進行裁剪。這些通用過程形成了執行已定義過程的基礎。
1) GP 3.1.1 – 過程標準化：為組織文檔化一個過程或過程族，描述了如何實現過程域的基本實踐。
2) GP 3.1.2 – 裁剪標準過程：裁剪組織機構的標準過程族以建立一個滿足專門用途的特定需要的定義過程。
b) 公共特征3.2 – 執行已定義的過程：此公共特征的這些通用實踐注重于充分定義過程的可重復執行。因此它們解決了針對缺陷的制度化過程的使用、過程結果和工作產品的復查審閱，并解決了過程執行及其結果數據的使用。這些通用實踐構成了協調過程行動的重要基礎。
1) GP 3.2.1 – 使用充分定義的過程：在過程域的實施中使用充分定義的過程。
2) GP 3.2.2 – 執行缺陷復查：對過程域的相應工作產品進行缺陷復查。
3) GP 3.2.3 – 使用充分定義的數據：使用執行已定義過程的數據。
c) 公共特征3.3 – 協調安全實施
1) GP 3.3.1 –執行組內協調：在一個過程域行動組內的協調溝通。
2) GP 3.3.2 –執行組間協調：協調組織內不同組間的協調溝通。
3) GP 3.3.3 –執行外部協調：協調同外部組之間的協調溝通。

10.2.5　能力級別4 – 量化控制

收集、分析執行的詳細測量。這將通向對過程能力和改進能力的量化理解以進行可預測的執行。這個級執行的過程是客觀的，工作產品的質量是量化的。這一級與充分定義級的主要區別在于定義的過程是定量的理解和控制。
本能力級別包含下列公共特征：
a) 公共特征 4.1 – 建立可測量的質量目標：該公共特征的通用實踐注重于就組織過程開發的工作產品而言建立可測量目標。因此這個公共特征提出了質量目標的建立。這些通用實踐為客觀地執行過程提供了必須的基礎。
1) GP 4.1.1 – 建立質量目標：為組織標準過程族的工作產品建立可測量的質量目標。
b) 公共特征 4.2 – 客觀地過程執行：該公共特征的通用實踐注重于確定過程能力的量化測量并使用量化測量來進行過程。這個公共特征提出了確定量化過程能力和以量化測量作為修正行動的基礎。這些通用實踐構成了獲得持續改進能力的必要基礎。
1) GP 4.2.1 –確定過程能力：量化地確定已定義過程的過程能力。
2) GP 4.2.2 –使用過程能力：當過程未按過程能力執行時，適當地采取修正行動。

10.2.6　能力級別5 – 持續改進

在這個級別上，基于組織的業務目標建立了過程有效性和效率的量化執行目標。針對這些目標的持續性過程改進是通過執行已定義的過程和創新性的思路和技術的量化反饋開始的。這一級與定量控制級的主要區別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解，進行連續調整和改進。
本能力級別包含下列公共特征:
a) 公共特征 5.1 –改進組織機構的能力：該公共特征的通用實踐注重于在整個組織范圍內對標準過程的使用進行比較和在這些不同使用之間進行比較。當這些過程被使用時，尋找改進標準過程的機會，分析產生的缺陷以識別對標準過程的其它可能改進。因此，這個公共特征對過程的有效性建立了目標、標識對標準過程的改進以及分析對標準過程的可能變更。這些通用實踐構成了改進過程有效性的必要基礎
1) GP 5.1.1 – 建立過程有效性目標：根據組織的業務目標和當前過程能力，為改進標準過程族的過程有效性建立量化目標。
2) GP 5.1.2 – 持續改進標準過程：通過改變組織機構的標準過程持續地改進過程，從而提高其有效性。
b) 公共特征 5.2 –改進過程有效性：該公共特征的通用實踐注重于制定處于受控改進的連續狀態下的標準過程。
1) GP 5.2.1 –執行因果分析：執行缺陷的因果分析。
2) GP 5.2.2 –減少差錯起因：有選擇的減少已定義過程中缺陷產生的原因。
3) GP 5.2.3 –持續改進已定義過程：通過改變已定義過程來連續地改進過程實施，以提高其有效性。