18.2 安全技術架構能力成熟度級說明

此章包含了可應用于所有建立和完善信息技術系統安全技術體系結構的實施。這些實施可用于確定組織機構建立和完善安全技術體系結構的能力級別。
實施劃分為如下的能力級別：
a) 能力級別0：未實施；
b) 能力級別1：基本執行；
c) 能力級別2：計劃和跟蹤；
d) 能力級別3：充分定義；
e) 能力級別4：量化控制；
f) 能力級別5：持續改進。

18.2.1　能力級別0 – 未實施

未實施級別。在這個級別中，組織機構可能已經采用了一些具體的安全技術保障控制措施，但從整體上而言，組織機構并沒有考慮整體的安全技術架構。

18.2.2　能力級別1 – 基本執行級

基本執行級別。在這個級別中，組織機構正在進行一些非正式的安全技術體系架構過程。
本能力級別的特征是：
a) 安全技術體系架構過程是隨意和非正式的；
b) 某些技術體系架構過程得以定義；
c) 在技術和業務領域，沒有統一一致的安全技術體系架構過程；
d) 安全技術體系結構的成功依賴于某些個人的工作；
e) 工作的質量不能保持穩定一致；
f) 在安全技術體系架構過程和可能的過程改進中幾乎不存在溝通。

18.2.3　能力級別2 – 計劃和跟蹤級

計劃和跟蹤級別。在這個級別中，組織機構正在開發安全技術體系結構。
本能力級別的特征是：
a) 組織機構已經建立和文檔化了基本的安全技術體系結構；
b) 職責已經分配，相關工作正在進行；
c) 安全技術體系架構過程已經開發了清晰的角色和職責；
d) 對組織機構當前狀態有清晰的理解；
e) 已經標識了安全技術的原則、基線和目標。

18.2.4　能力級別3 – 充分定義級

充分定義級別。在這個級別中，組織機構有計劃和跟蹤的安全技術體系結構，包括詳細的書面流程和技術參考模型。
本能力級別的特征是：
a) 安全技術體系結構得到了充分的定義和溝通；
b) 安全技術體系結構的設計基于某種可重復的，結構化的方法；
c) 安全技術體系架構過程的大部分內容得到了執行；
d) 差距分析、移植計劃、技術參考模型、標準輪廓得以完成；
f) 在進行項目時，考慮了成本收益；
g) 標識了目標和方法；
h) 定期提供了培訓和意識教育；
i) 安全技術體系結構是戰略規劃和預算過程的綜合組成部分。

18.2.5　能力級別4 – 量化控制級

量化控制級別。在這個級別中，安全技術體系架構過程在組織機構中是可管理和可測量的。
本能力級別的特征是：
a) 安全技術體系結構已用于指導開發和采購；
b) 安全技術體系結構的設計基于某種可重復的，半形式化的方法；
c) 安全技術體系結構定期進行升級以更新安全體系架構的內容，并且基于所得到的反饋和經驗教訓調整戰略規劃和預算過程；
d) 根據安全技術體系結構的標準對安全技術體系結構進行了評審審核；
e) 同安全技術體系架構過程相關的質量度量是可以觀察和測量的。這些度量包括產安全技術架構新版本的周期時間、技術環境的穩定性，以及實施新安全系統或升級應用或系統安全的時間；
f) 組織機構人員理解安全技術體系結構及其使用。

18.2.6　能力級別5 – 持續改進級

持續改進級別。在這個級別中，安全技術體系架構過程得以持續改進。
本能力級別的特征是：
a) 安全技術體系結構的設計基于某種形式化的方法；
b) 在安全技術體系結構中，安全技術體系結構的度量用于驅動持續的過程改進；
c) 此過程也為業務過程重組和其他特征提供輸入。