信息安全工程能力成熟度級別有哪些

信息安全工程能力成熟度級別有以下這些：

• 未實施級：未實施級沒有公共特征。能力成熟度處于未實施級（0級）的組織，通常不能成功執行過程區域中的全部基本實施。能力成熟度為0級的過程區域輸出的工作產品不易辨別或使用。能力成熟度為0級的組織，不具有實施信息安全工程的基本能力，不適宜做為工程承建單位來負責實施一項工程。一個過程區域通常與某一有價值的安全工程服務相關。若某一組織在某一過程區域的能力成熟度為0級，則這一組織無法提供某一特定信息安全工程服務，如風險評估服務。

• 非正式執行級：非正式執行級關注的是一個組織或項目是否執行了包含基本實施的過程。這個級別的設計思想可以描述為“必須首先做它，然后才能管理它”。在這一級別，過程區域的基本實施均被執行。但基本實施的執行可能未經嚴格的計劃和跟蹤，即不能控制執行效果，效果取決于個人的能力，能力達到這一級別的工程組織，執行過程區域具備1個公共特征，即“執行基本實施”。此公共特征的GP只是保證過程區域的所有BP以某種方式執行。然而，工作產品的一致性、性能和質量會因缺乏適當控制而存在極大的差異。

• 計劃和跟蹤級：計劃和跟蹤級關注的是在項目層面是否有相應的定義、計劃，并按照事先的定義和計劃執行。這個級別的設計思想可描述為“在定義組織層面的過程之前，先要理解并做好項目層面應該執行的相關事項”。在這一級別上，項目組先制訂計劃和規范，再按計劃和規范執行過程區域的基本實施并跟蹤執行情況；驗證過程區域的執行是否符合預期目標，驗證工作產品能夠符合指定的需求。

• 充分定義級：充分定義級著重于合理裁剪組織層面的已定義過程。這個級別的設計思想可描述為“用從項目中總結出的良好經驗定義組織層面的過程”。在這一級別，基本實施按照充分定義的過程執行。充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程版本。

• 量化控制級：量化控制級著重于測量。測量是與組織業務目標緊密聯系在一起的。盡管以前級別的數據收集和項目測量是基本的活動，但只有達到充分定義級別時，數據才能在組織范圍內測量和應用。這個級別的設計思想可以描述為“只有知道它是什么，才能測量它”和“當測量的對象正確時，基于測量的管理才有意義”。收集并分析過程執行的詳細測量項，獲得對過程能力和能力改進的量化理解，并獲得預測過程執行情況的能力。

• 持續改進級：“沒有最好，只有更好”，“完美是追求的一種境界”。這個級別從前面各級所有管理活動的經驗中獲得發展的力量，并通過加強組織文化來保持這個力量。此方法強調文化的轉變，這種轉變又將使方法更有效。這個級別的設計思想可以描述為“一種持續改進的文化需要以完備的管理實施、已定義的過程和可測量的目標作為基礎”。在這個級別上，基于組織的業務目標并針對過程有效性和效率建立量化執行目標。通過執行已定義過程和運用創新的思想和技術并獲得量化反饋來針對這些目標持續改進過程。

• 評估能力成熟度級：在評估和改進組織過程能力時，公共特征和能力級別都是重要的。當評估組織能力時，如果這個組織在執行特定過程區域時只具備了一個特定級別的部分公共特征時，則這個組織在這個過程區域的能力成熟度達不到這一級別。例如，在執行“評估脆弱性”這一過程區域時，具備了2級能力成熟度級別的“規劃執行”、“規范化執行”、“跟蹤執行”的特征，如果缺乏“驗證執行”這一公共特征，那么，組織在“評估脆弱性”這一過程區域的能力成熟度達不到2級。另外，如果組織在實施過程區域時雖然具備了某一較高級別的所有公共特征，但不具備低級別的公共特征時，則這個組織不能獲得較高級別的所有收益，此組織的能力成熟度實際上也是達不到這一較高級別。由于上述原因，SSE-CMM的通用實施和公共特征按能力高低進行排序。當一個組織希望改進某個特定過程的能力時，各能力級別的公共特征包含的通用實施活動可為組織機構提供一個“能力改進路線圖”。

回答所涉及的環境：聯想天逸510S、Windows 10。