GB∕T 20261-2020 信息安全技術(shù) 系統(tǒng)安全工程 能力成熟度模型

代替GB/T20261—2006信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型國家市場(chǎng)監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T20261—2020 Ⅲ V V 12規(guī)范性引用文件 13術(shù)語和定義 2 64.1安全工程的開發(fā)背景 64.2安全工程的重要性 74.3安全工程組織 7 74.5安全工程和其他學(xué)科 84.6安全工程專業(yè) 8 85.1安全工程過程概述 85.2SSE-CMM@體系結(jié)構(gòu)描述 5.3匯總表 6安全基本實(shí)踐 6.1安全基本實(shí)踐概述 6.3PA02——評(píng)估影響 236.4PA03——評(píng)估安全風(fēng)險(xiǎn) 6.5PA04——評(píng)估威脅 6.6PA05——評(píng)估脆弱性 6.7PA06——建立保障論據(jù) 6.8PA07——協(xié)調(diào)安全 6.9PA08——監(jiān)視安全態(tài)勢(shì) 6.10PA09——提供安全輸入 6.11PA10——確定安全需要 6.12PA11——驗(yàn)證和確認(rèn)安全 附錄A(資料性附錄)本標(biāo)準(zhǔn)與ISO/IEC21827:2008相比的結(jié)構(gòu)變化情況 附錄B(資料性附錄)本標(biāo)準(zhǔn)與ISO/IEC21827:2008的技術(shù)性差異及其原因 附錄C(規(guī)范性附錄)通用實(shí)踐 ⅡGB/T20261—2020C.1總則 C.4能力等級(jí)3——充分定義 C.6能力等級(jí)5——持續(xù)改進(jìn) 附錄D(規(guī)范性附錄)項(xiàng)目與組織基本實(shí)踐 D.1綜述 D.2一般安全注意事項(xiàng) D.3PA12——確保質(zhì)量 D.5PA14——管理項(xiàng)目風(fēng)險(xiǎn) D.6PA15——監(jiān)督和控制技術(shù)工作 D.7PA16——策劃技術(shù)工作 D.8PA17——定義組織系統(tǒng)工程過程 D.9PA18——改進(jìn)組織系統(tǒng)工程過程 D.10PA19——管理產(chǎn)品線演化 D.11PA20——管理系統(tǒng)工程支持環(huán)境 D.12PA21——提供持續(xù)發(fā)展的技能和知識(shí) D.13PA22——與供方協(xié)調(diào) 附錄E(資料性附錄)能力成熟度模型概念 E.1概述 E.2過程改進(jìn) E.3預(yù)期結(jié)果 E.4常見誤解 附錄F(資料性附錄)信息安全服務(wù)與安全工程過程域?qū)?yīng)表 附錄G(資料性附錄)GB/T20261—XXXX與GB/T20261—2006主要變化對(duì)比表 參考文獻(xiàn) Ⅲ本標(biāo)準(zhǔn)代替GB/T20261—2006《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》,與GB/T20261———修改了部分規(guī)范性引用文件(見第2章，2006年版的第2章);理”;(見第3章，2006年版的第3章);——修改了部分章條標(biāo)題，合并、調(diào)整和刪除了部分內(nèi)容關(guān)聯(lián)和不適合作為國家標(biāo)準(zhǔn)的內(nèi)容(見——?jiǎng)h除了原第5章，原第6章、第7章調(diào)整為第5章、第6章(2006年版的第5章，第6章、第7——增加了第6章中BP.06.03定義安全測(cè)量，以及ISO/IEC21827:2008相對(duì)于ISO/IEC21827:2002增加及修訂的內(nèi)容(見第6章);——修改了附錄C中對(duì)能力等級(jí)的5個(gè)級(jí)別的定義，與現(xiàn)行標(biāo)準(zhǔn)——修改了附錄D中的系列過程域編號(hào)與過程域描述不匹配的錯(cuò)誤信息(見D.6.1.1、D.7.7.3、—增加了附錄中為便于標(biāo)準(zhǔn)模型與現(xiàn)行安全服務(wù)映射關(guān)系的附錄F(見附錄F);本標(biāo)準(zhǔn)使用重新起草法修改采用ISO/IEC21827:2008《信息技術(shù)安全技術(shù)系統(tǒng)安全工程能本標(biāo)準(zhǔn)與ISO/IEC21827:2008相比在結(jié)構(gòu)上有一定調(diào)整，附錄A中列出了本標(biāo)準(zhǔn)與ISO/IEC21827:2008的章條標(biāo)號(hào)對(duì)照一覽表。本標(biāo)準(zhǔn)與ISO/IEC21827:2008相比存在技術(shù)性差異，附錄B中給出了相應(yīng)的技術(shù)差異及原因的—-GB/T20261—2006。本標(biāo)準(zhǔn)依據(jù)國際標(biāo)準(zhǔn)最新版本(ISO/IEC21827:2008),結(jié)合國內(nèi)最優(yōu)實(shí)踐，從系統(tǒng)安全工程的科安全專家都要求有合適的方法和實(shí)踐。部分組織關(guān)注高層次問題(例如涉及運(yùn)行使用或系統(tǒng)體系結(jié)SSE-CMM@1)是針對(duì)所有此類組織而設(shè)計(jì)的。使用SSE-CMM@并不意味著一個(gè)組織就比另一個(gè)組織更關(guān)注安全，也不意味著任何SSE-CMM⑩使用方法是必需的。組織的業(yè)務(wù)核心也不會(huì)因?yàn)槭褂帽緲?biāo)準(zhǔn)與過程評(píng)估系列標(biāo)準(zhǔn)(ISO/IEC330XX系列),特別是ISO/IEC33020有關(guān)，因?yàn)樗鼈兌忌?)安全服務(wù)提供者2)對(duì)策開發(fā)者在一個(gè)組專注對(duì)策開發(fā)的情況下，可能要通過SSE-CMM@的實(shí)踐組合來描述組織的過程能力特3)產(chǎn)品開發(fā)者一些與產(chǎn)品和項(xiàng)目背景有關(guān)的問題對(duì)產(chǎn)品的構(gòu)思、生產(chǎn)、交付和維護(hù)方法有影響。下列問題對(duì)SSE-●客戶基本類型(產(chǎn)品、系統(tǒng)和服務(wù));V●保障要求(高與低);●對(duì)開發(fā)和運(yùn)行組織的支持。這些是作為組織或行業(yè)部門如何確定在其環(huán)境中正確使用S4)特定的行業(yè)部門●方法——安全工程評(píng)價(jià)組織(例如認(rèn)證機(jī)構(gòu)和評(píng)價(jià)機(jī)構(gòu))用于確定組織能力(作為系統(tǒng)或產(chǎn)品●標(biāo)準(zhǔn)機(jī)制——客戶用于評(píng)價(jià)提供者的安全工程能力。產(chǎn)品往往要在確定它們的特性是必要的之后很長時(shí)間并且那些已部署的安全系統(tǒng)不再應(yīng)付當(dāng)前威脅這種情況要求組織以更成熟的方式實(shí)施安全工程。特別是在生產(chǎn)和準(zhǔn)備安全系統(tǒng)和可信產(chǎn)品時(shí)，●連續(xù)性——在以前的工作中獲取的知識(shí)應(yīng)用于今后的工作中；●可重復(fù)性——確保項(xiàng)目可以成功重復(fù)的方法；●有效性——有助于開發(fā)者和評(píng)價(jià)者更有效工作的方法；●保障——指出安全要求的置信度。SSE-CMM@,以改進(jìn)所要交付的安全系統(tǒng)、可信產(chǎn)品和安全工程服務(wù)的質(zhì)量和可用性以及降低其成本●專注于度量到的組織能力(成熟度)和改進(jìn)。V2)對(duì)于獲取組織獲取者包括從外部/內(nèi)部來源獲得的系統(tǒng)、產(chǎn)品和服務(wù)的組織和最終用戶。對(duì)于這些組織，SSE-●可重用的標(biāo)準(zhǔn)置標(biāo)語言和評(píng)價(jià)手段；●產(chǎn)品或服務(wù)達(dá)到可預(yù)計(jì)、可重復(fù)的信任程度。3)對(duì)于評(píng)價(jià)組織●安全工程以及與其他學(xué)科的集成可信；●用證據(jù)證明能力，減少安全評(píng)價(jià)工作量。1信息技術(shù)安全(ITS)領(lǐng)域內(nèi)的某個(gè)系統(tǒng)或者若干相關(guān)系統(tǒng)實(shí)現(xiàn)安全的要求。在ITS領(lǐng)域內(nèi)，SSE-信息安全技術(shù)術(shù)語信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:ISO/IEC15288系統(tǒng)和軟件工程系統(tǒng)生存周期過程(Systemsandsoftwareengineering—Processassessment—Processmeasurementframeworkforas2列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T25069—2010中的某些術(shù)語和[GB/T25069—2010,定義2.1[GB/T25069—2010,[GB/T25069—2010,[GB/T25069—2010,定義2.33[GB/T29246—2017,定義2.9]經(jīng)過一個(gè)正式評(píng)審并通過的規(guī)約或產(chǎn)品，作為后續(xù)開發(fā)的基礎(chǔ)。對(duì)其變系統(tǒng)工程過程中應(yīng)存在的性質(zhì)，只有當(dāng)所有這些性質(zhì)完全實(shí)現(xiàn)后，才可說滿足了這個(gè)過程域的[GB/T25069—2010[GB/T25069—2010,4[GB/T20985.1—2017,定義3.3][GB/T20985.1—2017,定義3.4][GB/T29246—2017,定義2.40][GB/T25069—2010,[GB/T25069—2010,定義2.1.7][GB/T29246—2017,定義2.61]5[GB/T30271—2013,定義3.1.10]可靠性reliability與預(yù)期行為和結(jié)果一致的特性。[GB/T29246—2017,定義2.62]殘余風(fēng)險(xiǎn)residualrisk風(fēng)險(xiǎn)處置后余下的風(fēng)險(xiǎn)。[GB/T29246—2017,定義2.64]對(duì)目標(biāo)的不確定性影響。風(fēng)險(xiǎn)分析riskanalysis理解風(fēng)險(xiǎn)本質(zhì)和確定風(fēng)險(xiǎn)等級(jí)的過程。[GB/T29246—2017,定義2.70]指導(dǎo)和控制組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。[GB/T29246—2017,定義2.安全策略securitypolicy用于治理組織及其系統(tǒng)內(nèi)如何管理、保護(hù)和分發(fā)資產(chǎn)(包括敏感信息)的規(guī)則、指導(dǎo)和實(shí)踐，特別是那些影響系統(tǒng)及相關(guān)要素的。安全相關(guān)要求securityrelatedrequirement直接作用于系統(tǒng)安全運(yùn)行或者強(qiáng)制執(zhí)行規(guī)定安全策略的要求。具有物理存在和既定目的的、完全由集成的、交互的組件組成的離散的可區(qū)分實(shí)體，每個(gè)組件不單獨(dú)符合所要求的總體目的。6[GB/T29246—2017,定義2.87][GB/T29246—2017,定義2.88][GB/T29246—2017,定義2.89]7●開發(fā)者；●產(chǎn)品銷售商；●集成商；●系統(tǒng)管理員；●可信的第三方(認(rèn)證機(jī)構(gòu));●咨詢/服務(wù)機(jī)構(gòu)。8●概念階段；●生產(chǎn)階段；●支持階段；●退役階段。●人機(jī)工程；●通信工程；●硬件工程；●企業(yè)管理。9安全需要略等提供保障論據(jù)保障論據(jù)SSE-CMM⑩體系結(jié)構(gòu)將安全工程過程的基本特征從其過程的管理和制度化特征中清晰地分離出度，域維具體內(nèi)容在第6章中描述，能力維的通用實(shí)踐和能力成熟度概念分別在附錄C和附錄E中描用實(shí)踐通過檢查組織分配資源的過程來判斷該組織完成工作的能力程度。按照?qǐng)D5,可以得到一種檢(通用實(shí)踐)(通用實(shí)踐)SSE-CMM@共包括130個(gè)基本實(shí)踐，分布在22個(gè)過程域中，其中的62個(gè)基本實(shí)踐分布在6.2所述安全工程領(lǐng)域的11個(gè)過程中；其余68個(gè)基本實(shí)踐分布在11個(gè)描述項(xiàng)目和組織的過程域中，這些過程只在設(shè)計(jì)階段或在一個(gè)抽象的層次上執(zhí)行，那么它就不能被認(rèn)為已經(jīng)實(shí)現(xiàn)了一個(gè)基本實(shí)踐。因此，●適用于企業(yè)的生存周期；●不和其他基本實(shí)踐重疊；●不是簡單的反映最新技術(shù)水平；●可以在不同的業(yè)務(wù)背景中使用不同的方法；●與有價(jià)值的安全工程服務(wù)相關(guān)；●適用于企業(yè)的生存周期；●能夠作為一個(gè)獨(dú)特的過程進(jìn)行改進(jìn)；●能夠由具有相關(guān)利害關(guān)系的組織進(jìn)行改進(jìn)；●包含所有為滿足該過程域的目標(biāo)所需求的基本實(shí)踐。下面列出SSE-CMM@的11個(gè)安全工程過程域。在第6章中將詳細(xì)描述這些過程域的內(nèi)容，并定義它們的基本實(shí)踐，附錄F中闡述了常見信息安全服務(wù)原則只有做它才能夠管理它基本執(zhí)行級(jí)關(guān)注的是一個(gè)組織是否執(zhí)行某個(gè)只有知道了“它”是什么,才能測(cè)量它圍測(cè)量和使用數(shù)據(jù)只有測(cè)量正確的對(duì)象時(shí)，對(duì)測(cè)量的管理的管理實(shí)踐、已定義的過程和可測(cè)量的目標(biāo)形成的基礎(chǔ)通過所有在以前各個(gè)等級(jí)中觀察到的管理實(shí)踐的改進(jìn)下述公共特征描述了為達(dá)到每個(gè)等級(jí)必需的安全工程成熟度等級(jí)1:等級(jí)2:等級(jí)3:等級(jí)4:等級(jí)5:SSE-CMM⑩并不對(duì)通用實(shí)踐的選擇和執(zhí)行有特殊要求。一個(gè)組織通?？梢宰杂傻啬芰Φ燃?jí)上。例如，假如某個(gè)組織沒有實(shí)施某過程域2級(jí)的一個(gè)通用實(shí)踐，應(yīng)給這個(gè)組織定級(jí)為1級(jí)。各項(xiàng)典型改進(jìn)工作的邏輯順序也有它的基本原理。這種活動(dòng)順序用SSE-CMM@體系結(jié)構(gòu)能力等級(jí)的SSE-CMM⑩包括5個(gè)等級(jí)，如圖6所示。級(jí)與ISO/IEC33020的等級(jí)之間的映射關(guān)系。ISO/IEC33020的測(cè)量框架[在SSE-CMM@中沒有明確地定義等級(jí)0,而是隱含指出該等級(jí)]表2(續(xù))ISO/IEC33020的測(cè)量框架公共特征2.2規(guī)范執(zhí)行公共特征2.3驗(yàn)證執(zhí)行能力等級(jí)3充分定義GP2.1.5———確保培訓(xùn)公共特征3.3協(xié)調(diào)實(shí)踐[沒有直接對(duì)應(yīng)的內(nèi)容]能力等級(jí)4量化控制公共特征4.2客觀管理性能能力等級(jí)5持續(xù)改進(jìn)公共特征5.1改進(jìn)組織能力本標(biāo)準(zhǔn)和ISO/IEC15288的基本概念和使用的方●本標(biāo)準(zhǔn)的過程域直接對(duì)應(yīng)到ISO/IEC15288的過程；●本標(biāo)準(zhǔn)的基本實(shí)踐直接對(duì)應(yīng)到ISO/IEC15288的活動(dòng)；●本標(biāo)準(zhǔn)的工作產(chǎn)品直接對(duì)應(yīng)到ISO/IEC15288的成果；●本標(biāo)準(zhǔn)的過程描述與ISO/IEC15288的過程描述相同。下面的表3給出本標(biāo)準(zhǔn)的過程域和ISO/IEC15288的過程之間的主要關(guān)系對(duì)照。XXXXXXXXXXXX項(xiàng)目計(jì)劃X項(xiàng)目評(píng)估和控制XXXXXXXXXXXXXX表3(續(xù))備注X設(shè)計(jì)定義X系統(tǒng)分析X實(shí)施XXXX維護(hù)XXX備注圖例X:過程和過程域之間有關(guān)系；NRC:沒有圖7用關(guān)系表格抽象地表示了SSE-CMMO模型。需要注意的是踐組成，基本實(shí)踐的描述參見第6章和附錄D;每個(gè)公共特征由若干個(gè)通用實(shí)踐組成，5.1改進(jìn)組織能力3.3協(xié)調(diào)實(shí)踐2.4跟蹤執(zhí)行2.3驗(yàn)證執(zhí)行2.2規(guī)范執(zhí)行1.1執(zhí)行基本實(shí)踐過程域過程域PA22與供方協(xié)調(diào)一個(gè)組織可以按照任何一個(gè)單一的過程域或多個(gè)過程域的組合來接6.2PA01——管理安全控制“管理安全控制”的目的是確保系統(tǒng)運(yùn)行時(shí)能實(shí)際達(dá)到系統(tǒng)預(yù)期安全，而這些系統(tǒng)預(yù)期安全是被集成到系統(tǒng)設(shè)計(jì)中的。正確地配置和使用安全控制。BP.01.01建立安全控制的職責(zé)和可核查性，并且傳達(dá)給組織中每個(gè)成員。BP.01.02管理系統(tǒng)安全控制的配置。BP.01.03管理針對(duì)所有用戶和管理員的安全意識(shí)、培訓(xùn)和教育計(jì)劃。BP.01.04管理安全服務(wù)和控制機(jī)制的定期維護(hù)和管理。該過程域提出管理和維護(hù)針對(duì)開發(fā)環(huán)境和操作系統(tǒng)的安全控制機(jī)制所要求的活動(dòng)。進(jìn)一步地，隨著時(shí)間的推移，這個(gè)過程域還將有助于確保安全等級(jí)不會(huì)下降。對(duì)新設(shè)施的控制措施的管理應(yīng)和現(xiàn)有設(shè)施的控制措施管理結(jié)合在一起。在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足，具6.2.2BP.01.01——建立安全職責(zé)建立安全控制的職責(zé)和可核查性，并且傳達(dá)給組織中每個(gè)成員。安全的某些方面可通過通用的管理結(jié)構(gòu)進(jìn)行管理，而有些方面則需要更專業(yè)的管理?！窠M織安全架構(gòu)圖——確定與安全相關(guān)的組織成員和他們的角色；●描述安全角色的文檔——描述每個(gè)與安全相關(guān)的組織的角色及其職責(zé)；●所有軟件升級(jí)的記錄——跟蹤所有軟件和系統(tǒng)升級(jí)軟件的許可證、序列號(hào)和收據(jù)，包括日期、●所有分發(fā)問題的記錄——包括軟件分發(fā)期間遇到的任何問題以及如何解決的描述；●要求的安全變更——跟蹤因安全原因或安全影響在系統(tǒng)要求的任何變更，以便有助于確保這●設(shè)計(jì)文檔的安全變更——跟蹤因安全原因或安全影響在系統(tǒng)設(shè)計(jì)的任何變更，以便有助于確●安全評(píng)審——描述與預(yù)期的控制實(shí)現(xiàn)相關(guān)的系統(tǒng)安全控制的當(dāng)前狀態(tài)；●已開展的意識(shí)、培訓(xùn)和教育的日志以及培訓(xùn)的結(jié)果———跟蹤用戶對(duì)組織和系統(tǒng)安全的理解●用戶團(tuán)體關(guān)于安全的知識(shí)程度、意識(shí)和培訓(xùn)的定期復(fù)審結(jié)果——評(píng)審組織對(duì)安全的理解情況，安全服務(wù)和機(jī)制的一般管理和其他服務(wù)和機(jī)制的管理類似，包括●定期維護(hù)和管理評(píng)審——包含近期系統(tǒng)安全管理和維護(hù)工作的分析；●管理和維護(hù)故障——跟蹤系統(tǒng)安全管理和維護(hù)問題，以便識(shí)別哪些地●管理和維護(hù)異常情況——相對(duì)于正常管理和維護(hù)規(guī)程的異常情況的描述，包括異常情況的原●敏感信息列表——系統(tǒng)中各種信息以及如何保護(hù)這些信息的描述；●脫敏、降級(jí)和處置——確保在降低某信息的敏感等級(jí)時(shí)或在對(duì)媒介實(shí)施脫敏或處置時(shí)不產(chǎn)生這個(gè)過程域所產(chǎn)生的影響信息將連同PA04的威脅信息和PA05的脆弱性信息用于PA03。盡管6.3.2BP.02.01——排列能力優(yōu)先順序響和緩解組織可能遭受到的影響。進(jìn)而可能影響到其他基本實(shí)踐和過程域中處理風(fēng)險(xiǎn)的順序。因此，●系統(tǒng)優(yōu)先權(quán)列表和影響調(diào)節(jié)因素；●系統(tǒng)能力輪廓——描述系統(tǒng)的能力及其對(duì)系統(tǒng)目標(biāo)的重要性。多資產(chǎn)是無形的或隱含的。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)提●制定財(cái)務(wù)費(fèi)用；6.3.5BP.02.04——識(shí)別度量關(guān)系●影響度量組合規(guī)則——組合影響度量的規(guī)則描述。以BP.02.01和BP.02.02中識(shí)別的資產(chǎn)和能力作為起點(diǎn)，識(shí)別可能導(dǎo)致?lián)p害的后果。對(duì)于每個(gè)資一旦建立相對(duì)完整的列表，就可以使用在BP.02.03和BP.02.04中識(shí)別的度量來描述這些影響的●暴露影響列表——潛在的影響和相關(guān)度量的列表。影響評(píng)估的基礎(chǔ)是BP.02.03中建立的影響度量，而影響組合的基礎(chǔ)是BP.02.04中建立的規(guī)則?！裼绊懽兓瘓?bào)告——描述影響的變化?！癜凑找讯x的方法排列風(fēng)險(xiǎn)的優(yōu)先次序。BP.03.01選擇用于對(duì)已定義環(huán)境中系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析這個(gè)過程域產(chǎn)生的風(fēng)險(xiǎn)信息依賴于從PA04得到的威脅信息、從PA05得到的脆弱性信息以及從PA02得到的影響信息。雖然這些有關(guān)收集威脅、脆弱性和影響信息的活動(dòng)分別單獨(dú)歸類到幾個(gè)單獨(dú)需要采取行動(dòng)。風(fēng)險(xiǎn)信息是PA10中確定安全需要和PA09在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足。●風(fēng)險(xiǎn)識(shí)別方法——描述識(shí)別風(fēng)險(xiǎn)的方法；●風(fēng)險(xiǎn)評(píng)估方法——描述分析風(fēng)險(xiǎn)并進(jìn)行評(píng)價(jià)的方法；●系統(tǒng)暴露列表——系統(tǒng)暴露的描述。●暴露優(yōu)先權(quán)表——計(jì)算出的風(fēng)險(xiǎn)的優(yōu)先順序表。據(jù)的不確定性。這往往影響到風(fēng)險(xiǎn)處理策略。這個(gè)基本實(shí)踐要使用BP.04.05“評(píng)估威脅可能性”和6.4.6BP.03.05——排序風(fēng)險(xiǎn)該過程域產(chǎn)生的威脅信息，連同PA05的脆弱信息以及PA02的影由于威脅會(huì)變化，因此為了確保通過這個(gè)過程域掌握的情況始終得到維護(hù)，應(yīng)對(duì)威脅情況定期●適用的自然威脅表格——形成文檔的自然威脅的特征和可能性表格。評(píng)估所要求的大量信息可以從保險(xiǎn)精算表和自然現(xiàn)象事件數(shù)據(jù)庫獲得。雖然這些信息是有價(jià)值●威脅場(chǎng)景描述——威脅發(fā)生狀況的描述；●威脅嚴(yán)重程度估計(jì)——與威脅相關(guān)的可能性的測(cè)量。多數(shù)自然威脅和許多人為威脅都有相應(yīng)的度量單位。例如地震的里氏等級(jí)。在絕大部分情況下，●有對(duì)應(yīng)的度量單位和位置范圍的威脅表格?！裢{方描述——能力評(píng)估和描述。的脆弱性和提供整個(gè)系統(tǒng)的脆弱性評(píng)估。與安全風(fēng)險(xiǎn)和評(píng)估脆弱性相關(guān)的術(shù)語在許多環(huán)境中用法不陷外，能被特定意圖所利用的系統(tǒng)的某個(gè)方面。這個(gè)過程域產(chǎn)生的脆弱性信息連同PA04的威脅信息和PA02的影響信息一起供PA03使用。雖在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足。這個(gè)基本實(shí)踐包括定義確定系統(tǒng)的安全脆弱性并且在某種程度上允許識(shí)別并描述其特征的方法?！翊嗳跣苑治龈袷健枋龃嗳跣苑治鼋Y(jié)果●滲透研究——以識(shí)別未知脆弱性為目標(biāo)的攻擊場(chǎng)景分析和實(shí)施；●攻擊場(chǎng)景——將實(shí)施的特定攻擊的描述。系統(tǒng)的安全功能和非安全功能都有可能存在脆弱性。在很多情況●描述引起各種攻擊的系統(tǒng)脆弱性的列表；●包括攻擊測(cè)試結(jié)果(例如脆弱性)的滲透輪廓圖。●脆弱性變化報(bào)告——描述新的或者已經(jīng)變化的脆弱性的文檔?！癜踩Ｕ夏繕?biāo)陳述——客戶對(duì)系統(tǒng)安全特征中必需的信任等級(jí)的需求?！衽c保證目標(biāo)和保證策略相一致的測(cè)量項(xiàng)列表。6.7.5BP.06.04——控制保障證據(jù)●安全保障證據(jù)庫——存儲(chǔ)所有在開發(fā)、測(cè)試和使用期間產(chǎn)生的證據(jù)?？梢圆捎脭?shù)據(jù)庫、工程筆●保障證據(jù)分析結(jié)果——識(shí)別和總結(jié)證據(jù)庫中證據(jù)的優(yōu)缺點(diǎn)?！耥?xiàng)目組所有成員在履行其職責(zé)所需的范圍內(nèi)了解并介入安全工程活動(dòng)；●通報(bào)和協(xié)調(diào)與安全相關(guān)的決策和建議。在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足?！窠M織標(biāo)準(zhǔn)——描述在各種工作組和客戶之間交流與安全相關(guān)的信息的過程和規(guī)程。●溝通計(jì)劃——包括共享的信息、會(huì)議次數(shù)以及工作組成員與其他組成員之間使用的過程和●溝通所需的基礎(chǔ)設(shè)施——工作組成員與其他組成員之間有效地共享信息所必需的基礎(chǔ)設(shè)施和●解決沖突的規(guī)程——描述有效地解決組織單位內(nèi)和組織單位間的沖突的方法；●檢測(cè)和跟蹤與內(nèi)部和外部安全有關(guān)的事件；●按照策略對(duì)事件做出響應(yīng)；安全態(tài)勢(shì)指出系統(tǒng)及其環(huán)境為了應(yīng)付當(dāng)前威脅、脆弱性和對(duì)系統(tǒng)生于正被討論的某個(gè)事件發(fā)生之前、之后或同時(shí)發(fā)生的其他事件。這個(gè)過程在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足?！袷录R(shí)別參數(shù)——描述通過系統(tǒng)的各個(gè)組成部分要收集哪些和不收集哪些事件；●所有當(dāng)前單一事件警報(bào)狀態(tài)列表——識(shí)別所有基于(由多個(gè)日志形成的)事件的行動(dòng)請(qǐng)求；●所有已發(fā)生的警報(bào)狀態(tài)的定期報(bào)告——從多個(gè)系統(tǒng)合成警報(bào)列表，并6.9.3BP.08.02——監(jiān)視變化●變化報(bào)告——識(shí)別任何可能影響到系統(tǒng)的安全態(tài)勢(shì)的外部或內(nèi)部變化；●變化重要程度的定期評(píng)估——對(duì)安全態(tài)勢(shì)中的變化實(shí)施分析，以確定它們的影響以及所需的●事件響應(yīng)說明——描述針對(duì)發(fā)生安全事件時(shí)的合適的響應(yīng)；●有關(guān)檢測(cè)到的每個(gè)侵入事件的報(bào)告——描述每個(gè)檢測(cè)到的侵入事件并且提供全部有關(guān)的細(xì)在開發(fā)和運(yùn)行環(huán)境中都可能發(fā)生安全事件。這些事件可能以不同方式影響正在開發(fā)或運(yùn)行的系統(tǒng)。防范黑客成熟的技術(shù)攻擊或者惡意代碼(病毒、蠕蟲等)需要使用的與防止隨機(jī)事件不同的方式?！穸ㄆ谠u(píng)審——描述執(zhí)行系統(tǒng)安全定期評(píng)審的規(guī)程，包括涉及誰、將檢查哪些內(nèi)容以及輸出的●意外事故計(jì)劃——識(shí)別可接受的系統(tǒng)最長停機(jī)時(shí)間、系統(tǒng)的基本元素、系統(tǒng)恢復(fù)的戰(zhàn)略和計(jì)●所有歸檔日志和相關(guān)的保留期的列表——識(shí)別哪里是安全監(jiān)視相關(guān)產(chǎn)品的存放地方和什么時(shí)●隨機(jī)選擇的歸檔日志的有效性和可用性的定期測(cè)試結(jié)果——分析隨機(jī)選擇的日志和確定它們●解決方案反映了提供的安全輸入。計(jì)和實(shí)現(xiàn)安全活動(dòng)合并成一個(gè)單一的過程域，強(qiáng)調(diào)處于不同的抽象層次上的這些活動(dòng)是非常相似的。在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足。6.10.2BP.09.01——理解安全輸入需要●安全工程與其他學(xué)科之間的協(xié)議——安全工程如何向其他學(xué)科提供輸入(例如文檔、備忘錄、●所需輸入的描述——提供安全輸入的每種機(jī)制的標(biāo)準(zhǔn)定義。6.10.3BP.09.02——確定安全約束條件和考慮這個(gè)基本實(shí)踐的目的是識(shí)別做出明智的工程選擇所必需的所有安全約束●安全設(shè)計(jì)準(zhǔn)則——為做出有關(guān)整個(gè)系統(tǒng)或者產(chǎn)品設(shè)計(jì)的決策所必需的安全約束條件和注意●安全實(shí)現(xiàn)規(guī)則——適用于某個(gè)系統(tǒng)或者產(chǎn)品的實(shí)現(xiàn)(例如特殊機(jī)制的應(yīng)用、編碼標(biāo)準(zhǔn))的安全●文檔編制要求——為支持安全要求所必需的特定文檔(例如管理員手冊(cè)、用戶手冊(cè)、特定設(shè)計(jì)●系統(tǒng)體系結(jié)構(gòu)的安全視圖——在抽象層次上按照滿足安全要求的方法描述系統(tǒng)體系結(jié)構(gòu)各個(gè)●安全設(shè)計(jì)文檔——包括系統(tǒng)中的資產(chǎn)和信息流的詳細(xì)內(nèi)容，以及將加強(qiáng)安全或與安全相關(guān)的●信任分析(防護(hù)措施之間的關(guān)系和依賴)——描述安全服務(wù)和機(jī)制是如何相互關(guān)聯(lián)和相互依(BP.09.04)的一部分。這個(gè)活動(dòng)與提供安全工程指南(BP.09.05)相關(guān)，一旦確定首選的候選解決方案6.10.5BP.09.04——分析描述這個(gè)基本實(shí)踐的目的是分析工程候選方案并且排列優(yōu)先順序。使用在BP.09.02中所識(shí)別的安全限制條件和注意事項(xiàng)，安全工程師能夠評(píng)價(jià)每個(gè)工程候選方案并這些工程候選方案并不只限于已識(shí)別的候選方案(BP.09.03),還可能包括從其他學(xué)科的角度提出●權(quán)衡分析研究結(jié)果和建議——包括對(duì)所有BP.09.02中提供的、考慮了安全約束條件和注意事●體系結(jié)構(gòu)建議——給出支持開發(fā)滿足安全要求的系統(tǒng)體系結(jié)構(gòu)的原則或約束條件；●設(shè)計(jì)建議——給出指導(dǎo)系統(tǒng)設(shè)計(jì)的原則或約束條件；●實(shí)現(xiàn)建議——給出指導(dǎo)系統(tǒng)實(shí)現(xiàn)的原則或約束條件；●安全體系結(jié)構(gòu)建議——給出定義系統(tǒng)安全特征的原則或約束條件；●設(shè)計(jì)標(biāo)準(zhǔn)、原理、原則——有關(guān)如何設(shè)計(jì)系統(tǒng)的約束條件(例如最小的權(quán)限、安全控制的獨(dú)立性);●編碼標(biāo)準(zhǔn)——有關(guān)如何實(shí)現(xiàn)系統(tǒng)的約束條件?！窆芾韱T手冊(cè)——在以安全方式安裝、配置、運(yùn)行和退役系統(tǒng)時(shí)系統(tǒng)管理員的作用和權(quán)限的●客戶安全需要陳述——對(duì)客戶所要求的安全的高層次描述。目標(biāo)的一般接受者?？赡苄枰R(shí)別和區(qū)別不同的用戶群體。例如，普通客戶可能有不同于管理員的這個(gè)基本實(shí)踐的目的是收集所有影響系統(tǒng)安全的外部影響。適用性的決●安全輪廓——安全環(huán)境(威脅、組織的策略);安全目標(biāo)(例如將要對(duì)抗的威脅);安全功能要求組織外部的許多因素也在不同程度上影響該組織的安全需要。這些因素包括政治定位和政治焦●預(yù)期的威脅環(huán)境——對(duì)需要予以保護(hù)的系統(tǒng)資產(chǎn)的任何已知的或者假設(shè)的威脅；包括系統(tǒng)安全邊界不必要與系統(tǒng)邊界相同。例如安全邊界可能包含系統(tǒng)所在設(shè)施和操作系統(tǒng)的人員，6.11.5BP.10.04——捕獲系統(tǒng)運(yùn)行的安全視圖6.11.6BP.10.05——捕獲高層次安全目標(biāo)安全目標(biāo)應(yīng)盡可能不依賴于任何具體的實(shí)現(xiàn)。如果具體的約束條在確定安全約束條件和注意事項(xiàng)以及支持做出基于可靠信息的工程選擇時(shí)，應(yīng)在PA09“提供安全輸●批準(zhǔn)的安全目標(biāo)——說明對(duì)抗所識(shí)別的威脅和(或)遵循所識(shí)別的安全策略(客戶接受的)的●安全相關(guān)的要求基線——在各個(gè)指定里程碑所有適用方(特定客戶)達(dá)成協(xié)議的、一組最低限●解決方案滿足安全要求；●解決方案滿足客戶的運(yùn)行安全需要。在跟蹤本過程域的執(zhí)行情況時(shí)，可以通過檢查各基本實(shí)踐的趨勢(shì)來判斷保障論據(jù)是否會(huì)被滿足?！耱?yàn)證和確認(rèn)計(jì)劃——驗(yàn)證和確認(rèn)工作的定義(包括資源、日程安排、將驗(yàn)證和確認(rèn)的工作產(chǎn)品6.12.3BP.11.02——定義驗(yàn)證和確認(rèn)方法●測(cè)試規(guī)程——每個(gè)解決方案的測(cè)試中采用的步驟的定義；●追蹤方法——驗(yàn)證和確認(rèn)結(jié)果如何追蹤到客戶的安全需要和要求的描述。該基本實(shí)踐的目的是通過顯示解決方案與更高層次的抽象相關(guān)聯(lián)的要求(包括已識(shí)別的、作為●問題報(bào)告——驗(yàn)證解決方案滿足需求的過程中發(fā)現(xiàn)的不一致之處。的測(cè)試環(huán)境中測(cè)試解決方案。所使用的方法在BP.●問題報(bào)告——確認(rèn)解決方案滿足安全需要的過程中發(fā)現(xiàn)的不一致之處；●無效解決方案——不滿足客戶安全需要的解決方案。本標(biāo)準(zhǔn)與ISO/IEC21827:2008具體章條編號(hào)對(duì)照情況見表A.1。表A.1本標(biāo)準(zhǔn)與ISO/IEC21827:2008的具體章條編號(hào)對(duì)照情況表A.1(續(xù))4 5表A.1(續(xù))附錄A 附錄B附錄C附錄A附錄D附錄E附錄F本標(biāo)準(zhǔn)與ISO/IEC21827:2008的技術(shù)性差異表B.1給出了本標(biāo)準(zhǔn)與ISO/IEC21827:2008的技術(shù)性差異及其原因。表B.1本標(biāo)準(zhǔn)與ISO/IEC21827:2008的技術(shù)性差異及其原因原因2關(guān)于規(guī)范性引用文件，本部分做了具體技術(shù)性差異的調(diào)整，以適應(yīng)我國技術(shù)條件，調(diào)整情況集中反映在第2章“規(guī)范性引用文件”中，具體調(diào)整如下：-—?jiǎng)h除了原國際標(biāo)準(zhǔn)中已作廢的ISO/IEC15504-2;適應(yīng)我國技術(shù)條件。同時(shí)，增加了3程域”(見3.30)4修改ISO/IEC21827:2008中4.1(背景全工程的開發(fā)原因)合并為現(xiàn)在的4.1(安全工程的開發(fā)背景)4將ISO/IEC21827:2008中4.3(安全工程的重要性)與ISO/IEC21827:2008中6.1.1(安全工程描述)合并為現(xiàn)在的4.2(安全工程的重要性)標(biāo)準(zhǔn)語言更簡潔明了，重點(diǎn)突出。原內(nèi)容是從國際角度敘述的，我國不適用于這種敘述4調(diào)整ISO/IEC21827:2008中6.1.14刪除了ISO/IEC21827:2008中6.1.5的“企業(yè)工程”、“測(cè)試工程”,6.1.6中的“通信安全”“計(jì)算機(jī)安全”的銜接5刪除了ISO/IEC21827:2008中第5章，21827:2008中第6章、第7章調(diào)整為本標(biāo)準(zhǔn)的第5章、5修改了ISO/IEC21827:2008中第準(zhǔn)5.15準(zhǔn)5.2.15的通用實(shí)踐和能力成熟度概念分別在附錄C和附錄E中描述”明確標(biāo)準(zhǔn)內(nèi)容結(jié)構(gòu)關(guān)系5增加了5.2.2中“附錄F中闡述了常見信息安全服務(wù)與過程域的映射關(guān)系”明確標(biāo)準(zhǔn)內(nèi)容結(jié)構(gòu)關(guān)系原因5修改了ISO/IEC21827:2008中6.3.1第5修改了ISO/IEC21827:2008中6.3.“129個(gè)基本實(shí)踐”修改為“130個(gè)基本實(shí)踐”ISO/IEC21827:2008錯(cuò)誤內(nèi)容6修改了ISO/IEC21827:2008中第7章第一、二、三段內(nèi)容為本標(biāo)準(zhǔn)6.1附錄遵從GB/T20000.2—2009規(guī)則附錄修改了ISO/IEC21827:2008中附錄的編號(hào)為本標(biāo)準(zhǔn)附錄C、附錄D、附錄E附錄附錄F更能便于行業(yè)對(duì)于本標(biāo)準(zhǔn)的利用，附錄G便于本標(biāo)準(zhǔn)與上一(規(guī)范性附錄)C.1總則本附錄包含通用實(shí)踐(即適用于所有過程的實(shí)踐)。通用實(shí)踐用于過程評(píng)估，以確定任一過程的能力。通用實(shí)踐按公共特征和能力等級(jí)分組。通用實(shí)踐分成以下能力等級(jí)：●能力等級(jí)1——基本執(zhí)行；●能力等級(jí)4——量化控制；●能力等級(jí)持續(xù)改進(jìn)。能力等級(jí)的通用格式如圖C.1所示。概要描述包含能力等級(jí)簡短概括。每個(gè)等級(jí)分成包含一組通用實(shí)踐的若干公共特征。每個(gè)通用實(shí)踐在隨后的公共特征中詳細(xì)描述。圖C.1能力等級(jí)格式C.2能力等級(jí)1——基本執(zhí)行C.2.1能力等級(jí)公共特征C.2.1.1公共特征通用實(shí)踐C.2.1.1.1概要描述過程域基本實(shí)踐的執(zhí)行是普遍的。這些基本實(shí)踐的執(zhí)行可以不進(jìn)行嚴(yán)格的計(jì)劃和跟蹤。具體的執(zhí)行情況依靠個(gè)人的知識(shí)水平和努力程度。過程域的工作產(chǎn)品證實(shí)了它們的執(zhí)行。組織里的人意識(shí)到應(yīng)采取某項(xiàng)措施，并且普遍認(rèn)為該措施會(huì)在需要的時(shí)候根據(jù)要求被執(zhí)行。該過程中存在可識(shí)別的工作C.2.1.1.2公共特征列表能力等級(jí)由下列公共特征組成：●公共特征1.1———執(zhí)行基本實(shí)踐。C.2.2公共特征1.1——執(zhí)行基本實(shí)踐C.2.2.1公共特征通用實(shí)踐C.2.2.1.1概要描述該公共特征的通用實(shí)踐僅僅確保該過程域的基本實(shí)踐按某種方法執(zhí)行。然而，由于缺乏控制，產(chǎn)生的工作產(chǎn)品的一致性或性能以及質(zhì)量可能波動(dòng)很大。C.2.2.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：C.2.2.2.1描述執(zhí)行實(shí)現(xiàn)該過程域的基本實(shí)踐的過程，以便向需求方提供工作產(chǎn)品和(或)服務(wù)。C.2.2.2.2注釋這個(gè)過程可以稱為“基本過程”。該過程域的需求方可以是組織內(nèi)部的或外部的。C.3能力等級(jí)2——計(jì)劃跟蹤過程域中的基本實(shí)踐是有計(jì)劃且被跟蹤執(zhí)行的，工作產(chǎn)品符合規(guī)定的標(biāo)準(zhǔn)和要求。采取測(cè)量來跟蹤過程域的執(zhí)行，因此組織能夠根據(jù)實(shí)際執(zhí)行情況管理其活動(dòng)。與等級(jí)1“基本執(zhí)行”的主要區(qū)別在于，該過程的執(zhí)行是經(jīng)過計(jì)劃的和受到管理的。C.3.1能力等級(jí)公共特征C.3.1.1公共特征通用實(shí)踐C.3.1.1.1概要描述該能力等級(jí)由下列公共特征組成：●公共特征2.1——計(jì)劃執(zhí)行；●公共特征2.2———規(guī)范執(zhí)行●公共特征2.3———驗(yàn)證執(zhí)行；●公共特征2.4———跟蹤執(zhí)行。C.3.2公共特征2.1——計(jì)劃執(zhí)行C.3.2.1公共特征通用實(shí)踐C.3.2.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是執(zhí)行該過程域及其相應(yīng)的基本實(shí)踐進(jìn)行的計(jì)劃內(nèi)容。因此，過C.3.2.2.3關(guān)系C.3.2.3.3關(guān)系與其他通用實(shí)踐的關(guān)系：這是等級(jí)2過程描述。該過程描述將隨著過程能力的提高而演變(見在這個(gè)等級(jí)上描述過程的標(biāo)準(zhǔn)和規(guī)程可能包括測(cè)量，因此可以用測(cè)量來跟蹤執(zhí)行(見公共特征與其他通用實(shí)踐的關(guān)系：工具變更可能是過程改進(jìn)的一部分(見有關(guān)過程改進(jìn)的實(shí)踐GP5.1.2,C.3.3公共特征2.2——規(guī)范執(zhí)行C.3.3.1公共特征通用實(shí)踐C.3.3.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是在過程上投入的總量控制。因此，過程執(zhí)行計(jì)劃的使用、過程按照標(biāo)準(zhǔn)和規(guī)程的執(zhí)行以及對(duì)過程產(chǎn)生的工作產(chǎn)品的配置管理都要涉及。這些通用實(shí)踐形成一個(gè)驗(yàn)證過程執(zhí)行情況的重要基礎(chǔ)。C.3.3.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：C.3.3.2.1描述在實(shí)施過程域的過程中使用文檔化的計(jì)劃、標(biāo)準(zhǔn)和(或)規(guī)程。按過程描述執(zhí)行的過程稱為“已描述的過程”。應(yīng)在標(biāo)準(zhǔn)、規(guī)程和計(jì)劃中定義過程測(cè)量項(xiàng)。與其他通用實(shí)踐的關(guān)系：使用的標(biāo)準(zhǔn)和規(guī)程在GP2.1.3中形成文檔，使用的計(jì)劃在GP2.1.6中形成文檔。這個(gè)實(shí)踐是GP1.1.1的進(jìn)化并將演化到GP3.2.1。C.3.3.3GP2.2.2——實(shí)施配置管理C.3.3.3.1描述合適時(shí)，將過程域的工作產(chǎn)品置于版本控制或配置管理下。C.3.3.3.3關(guān)系在過程域PA13“管理配置”中描述了配置管理學(xué)科中支持系統(tǒng)工程所需的典型實(shí)踐。過程域PA13“管理配置”關(guān)注的是配置管理的通用實(shí)踐，這個(gè)通用實(shí)踐關(guān)注與正在調(diào)查研究的過程域的工作產(chǎn)品有關(guān)的這些實(shí)踐的部署。C.3.4公共特征2.3——驗(yàn)證執(zhí)行C.3.4.1公共特征通用實(shí)踐C.3.4.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是證實(shí)過程是否已按預(yù)期目標(biāo)執(zhí)行。因此驗(yàn)證過程的執(zhí)行是否符合適用的標(biāo)準(zhǔn)和規(guī)程以及工作產(chǎn)品的審核都要涉及。這些通用實(shí)踐形成跟蹤過程執(zhí)行情況能力的一個(gè)重要基礎(chǔ)。C.3.4.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：C.3.4.2GP2.3.1——驗(yàn)證過程符合性C.3.4.2.1描述驗(yàn)證過程是否符合適用的標(biāo)準(zhǔn)和(或)規(guī)程。與其他通用實(shí)踐的關(guān)系：適用的標(biāo)準(zhǔn)和規(guī)程在GP2.1.3中形成文檔，在GP2.2.1中使用。質(zhì)量管理和(或)保障過程在PA12“確保質(zhì)量”中描述。C.3.4.3.1描述驗(yàn)證工作產(chǎn)品是否符合適用的標(biāo)準(zhǔn)和(或)要求。與其他通用實(shí)踐的關(guān)系：適用的標(biāo)準(zhǔn)和規(guī)程在GP2.1.3中形成文檔，在GP2.2.1中使用。產(chǎn)品要求在過程域PA10“確定安全需要”中得到提出和管理。在PA11“驗(yàn)證和確認(rèn)安全”中進(jìn)一步討論驗(yàn)證和確認(rèn)。C.3.5公共特征2.4——跟蹤執(zhí)行C.3.5.1公共特征通用實(shí)踐C.3.5.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是對(duì)項(xiàng)目執(zhí)行過程的控制能力。因此涉及根據(jù)可度量的計(jì)劃跟蹤過程的執(zhí)行情況，并且當(dāng)過程的執(zhí)行嚴(yán)重偏離計(jì)劃時(shí)采取糾正措施。這些通用實(shí)踐形成具備達(dá)到充分定義過程的能力的一個(gè)重要基礎(chǔ)。C.3.5.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：建立測(cè)量歷史是實(shí)施基于數(shù)據(jù)管理的基礎(chǔ)，并且由此開始。跟蹤測(cè)量為生成能力級(jí)別3的充分定義數(shù)據(jù)提供基礎(chǔ)。整個(gè)項(xiàng)目可使用過程改進(jìn)測(cè)量和信息安全測(cè)量。需要計(jì)入測(cè)量的數(shù)據(jù)應(yīng)是可靠的，信息安全測(cè)量在過程域PA06中描述。C.4能力等級(jí)3——充分定義根據(jù)已批準(zhǔn)的充分定義過程、標(biāo)準(zhǔn)的裁剪版本和文檔化過程執(zhí)行基本管理。與等級(jí)2“計(jì)劃跟蹤”通用實(shí)踐GP2.1.3和GP3.1.1(等級(jí)2和等級(jí)3的過程描述)間的關(guān)鍵區(qū)別在于方針、標(biāo)準(zhǔn)和規(guī)程的應(yīng)用范圍。在GP2.1.3中，標(biāo)準(zhǔn)和規(guī)程可能僅用于過程的某種特定情況(如某個(gè)具體項(xiàng)目)。在與其他通用實(shí)踐的關(guān)系：等級(jí)2過程描述在GP2.1.3中文檔化。等級(jí)3過程描述在GP3.1.2中與其他通用實(shí)踐的關(guān)系：組織的標(biāo)準(zhǔn)過程在GP3.1.1中文檔化。裁剪的過程定義在GP3.2.1中裁剪指南在過程域PA17“定義組織系統(tǒng)工程過程”中定義。C.4.3公共特征3.2——執(zhí)行已定義過程C.4.3.1公共特征通用實(shí)踐C.4.3.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是充分定義過程的可重復(fù)執(zhí)行。因此，涉及制度化過程的使用、過程的結(jié)果(即，工作產(chǎn)品)的缺陷評(píng)審，以及過程的執(zhí)行數(shù)據(jù)和結(jié)果數(shù)據(jù)的使用。這些通用實(shí)踐形成安全實(shí)踐協(xié)調(diào)的一個(gè)重要基礎(chǔ)。C.4.3.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：●GP3.2.1——使用充分定義過程；●GP3.2.3——使用充分定義數(shù)據(jù)。C.4.3.2GP3.2.1——使用充分定義過程C.4.3.2.1描述在實(shí)施過程域的過程中使用充分定義過程。一般是根據(jù)組織的標(biāo)準(zhǔn)過程定義裁剪“已定義過程”。充分定義過程是一種具有文檔化的、一致的與其他通用實(shí)踐的關(guān)系：組織的標(biāo)準(zhǔn)過程定義在GP3.1.1中描述。已定義過程在GP3.1.2中通過裁剪而建立。C.4.3.3GP3.2.2——執(zhí)行缺陷評(píng)審C.4.3.3.1描述對(duì)該過程域相應(yīng)的工作產(chǎn)品執(zhí)行缺陷評(píng)審。C.4.3.4GP3.2.3——使用充分定義數(shù)據(jù)使用在執(zhí)行已定義過程的過程中產(chǎn)生的數(shù)據(jù)來管理該過程。在該點(diǎn)積極使用最初在等級(jí)2收集到的測(cè)量數(shù)據(jù)，將為下一個(gè)等級(jí)的定量管理奠定基礎(chǔ)。為了有助于跟蹤效果和管理過程，測(cè)量需要提供隨著時(shí)間變化的相關(guān)效果趨勢(shì)，并指出可應(yīng)用于問題領(lǐng)域的改進(jìn)措施。測(cè)量應(yīng)使用充分定義的數(shù)據(jù)。分析多個(gè)項(xiàng)目的測(cè)量標(biāo)準(zhǔn)可以識(shí)別趨勢(shì)，并為組織提供更多關(guān)于業(yè)務(wù)影響的信息。與其他通用實(shí)踐的關(guān)系：這是GP2.4.2的演化；這里采取的糾正措施是基于充分定義過程的，該過程具備確定進(jìn)展的客觀準(zhǔn)則(見GP3.2.1)。C.4.4公共特征3.3——協(xié)調(diào)實(shí)踐C.4.4.1公共特征通用實(shí)踐C.4.4.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是項(xiàng)目和組織中活動(dòng)的協(xié)調(diào)。許多重要活動(dòng)由項(xiàng)目中不同的組和代表項(xiàng)目的組織服務(wù)組執(zhí)行。協(xié)調(diào)不足可能造成延誤或者所得到的結(jié)果沒有可比性。因此涉及組內(nèi)、組間和外部活動(dòng)的協(xié)調(diào)。這些通用實(shí)踐形成具備量化控制過程能力的一個(gè)至關(guān)重要的基礎(chǔ)。C.4.4.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：●GP3.3.3———執(zhí)行外部協(xié)調(diào)。在工程學(xué)科內(nèi)協(xié)調(diào)交流。這種類型的協(xié)調(diào)提出針對(duì)某個(gè)工程學(xué)科的需要，該工程學(xué)科通過意見一致的方式來確保有關(guān)技術(shù)問題(例如訪問控制、安全測(cè)試)的決策都能實(shí)現(xiàn)。將相應(yīng)的工程師的承諾、期望和責(zé)任形成文檔并且在所涉及的人員之間達(dá)成一致。跟蹤并解決工程問題。與其他通用實(shí)踐的關(guān)系：這個(gè)通用實(shí)踐與GP3.2.1關(guān)系密切，在GP3.2.1中各個(gè)過程要充分定義，才能實(shí)現(xiàn)有效協(xié)調(diào)。協(xié)調(diào)對(duì)象和途徑在PA07“協(xié)調(diào)安全”中提出。計(jì)輸入、安全測(cè)試)之間的關(guān)系得到解決。其目的是驗(yàn)證在GP3.3.1中的數(shù)據(jù)收集工作與其他工程領(lǐng)形成文檔并且在整個(gè)組織內(nèi)達(dá)成一致，并且提出在某個(gè)項(xiàng)目/組織內(nèi)各個(gè)組C.5能力等級(jí)4——量化控制高的能力。客觀地管理執(zhí)行和量化地理解工作產(chǎn)品的質(zhì)量。與充分●公共特征4.1建立可度量的質(zhì)量目標(biāo)；●公共特征4.2——客觀管理執(zhí)行。這個(gè)公共特征的通用實(shí)踐關(guān)注的是針對(duì)使用組織級(jí)的過程開發(fā)的工作產(chǎn)品所建立的可度量目標(biāo)。與其他通用實(shí)踐的關(guān)系：在缺陷評(píng)審(GP3.2.2)中收集的數(shù)據(jù)在設(shè)定工作產(chǎn)品質(zhì)量目標(biāo)時(shí)特別量化測(cè)量項(xiàng)。提出量化地確定過程能力和使用量化測(cè)量項(xiàng)作為糾正措施的基礎(chǔ)C.5.3.2GP4.2.1——確定過程能力C.5.3.2.1描述量化地確定已定義過程的過程能力。C.5.3.2.2注釋這是基于充分定義(GP3.1.1和GP3.2.3)和測(cè)量過程(GP2.4.1)的一個(gè)量化過程能力。測(cè)量項(xiàng)存在于過程中，并且應(yīng)隨著過程的執(zhí)行而收集。與其他通用實(shí)踐的關(guān)系：已定義過程通過GP3.1.2中的裁剪來建立，并且在GP3.2.1中執(zhí)行。C.5.3.3.1描述在過程的執(zhí)行沒有達(dá)到其過程能力的情況下采取適當(dāng)?shù)募m正措施。C.5.3.3.2注釋根據(jù)對(duì)過程能力的了解，已識(shí)別的特殊變化原因用戶理解在何時(shí)、采取何種糾正措施是適當(dāng)?shù)?。與其他通用實(shí)踐的關(guān)系：這個(gè)實(shí)踐是GP3.2.3的演化，它給已定義過程補(bǔ)充了量化過程能力。C.6能力等級(jí)5——持續(xù)改進(jìn)C.6.1能力等級(jí)公共特征C.6.1.1公共特征通用實(shí)踐C.6.1.1.1概要描述在組織的業(yè)務(wù)目標(biāo)基礎(chǔ)上建立關(guān)于過程有效性和效率的量化的執(zhí)行目標(biāo)。通過執(zhí)行已定義過程和嘗試運(yùn)用創(chuàng)新的想法與技術(shù)并得到量化反饋，能夠做到按照這些目標(biāo)的持續(xù)過程改進(jìn)。與量化控制級(jí)的主要區(qū)別是，已定義過程和標(biāo)準(zhǔn)過程將在量化地理解變更對(duì)這些過程的影響的基礎(chǔ)上得到持續(xù)精練和改進(jìn)。C.6.1.1.2公共特征列表該能力等級(jí)由下列公共特征組成：●公共特征5.1——改進(jìn)組織能力；●公共特征5.2——改進(jìn)過程有效性。C.6.2公共特征5.1——改進(jìn)組織能力C.6.2.1公共特征通用實(shí)踐C.6.2.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是比較標(biāo)準(zhǔn)過程在組織內(nèi)的使用情況，以及不同的應(yīng)用之間的區(qū)別。在過程的使用中發(fā)現(xiàn)增強(qiáng)標(biāo)準(zhǔn)過程的機(jī)會(huì)，分析過程產(chǎn)生的缺陷，以識(shí)別標(biāo)準(zhǔn)過程的可能增強(qiáng)之處。因此，要建立過程有效性目標(biāo)，識(shí)別標(biāo)準(zhǔn)過程的改進(jìn)之處并進(jìn)行分析，以確定標(biāo)準(zhǔn)過程的潛在變更。這些通用實(shí)踐是形成改進(jìn)過程有效性的一個(gè)至關(guān)重要的基礎(chǔ)。該公共特征由下列通用實(shí)踐組成：C.6.2.2GP5.1.1——建立過程有效性目標(biāo)C.6.2.2.1描述在組織的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力的基礎(chǔ)上建立針對(duì)改進(jìn)標(biāo)準(zhǔn)過程集合的過程有效性的量化C.6.2.2.2注釋C.6.2.2.3關(guān)系C.6.2.3GP5.1.2——持續(xù)改進(jìn)標(biāo)準(zhǔn)過程C.6.2.3.1描述通過更改組織的標(biāo)準(zhǔn)過程集合，持續(xù)改進(jìn)過程以增強(qiáng)其有效性。把管理單個(gè)項(xiàng)目的經(jīng)驗(yàn)教訓(xùn)反饋給組織，供其他適用領(lǐng)域分析和推廣使用。技術(shù)革新或漸進(jìn)式的改進(jìn)都可能促成對(duì)組織標(biāo)準(zhǔn)過程集合的更改。革新改進(jìn)通常是由新技術(shù)這種外部因素驅(qū)動(dòng)。漸進(jìn)改進(jìn)通常是內(nèi)部因素驅(qū)動(dòng)——在裁剪已定義過程中做出的改進(jìn)。對(duì)標(biāo)準(zhǔn)過程的改進(jìn)涉及解決共性變化C.6.2.3.3關(guān)系與其他通用實(shí)踐的關(guān)系：變化的特殊原因在GP4.2.2中得到控制。組織過程改進(jìn)在過程域PA18“改進(jìn)組織系統(tǒng)工程過程”中得到管理。C.6.3公共特征5.2——改進(jìn)過程有效性C.6.3.1公共特征通用實(shí)踐C.6.3.1.1概要描述這個(gè)公共特征的通用實(shí)踐關(guān)注的是使標(biāo)準(zhǔn)過程處于受控的持續(xù)改進(jìn)狀態(tài)。因此提出消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因以及持續(xù)地改進(jìn)標(biāo)準(zhǔn)過程。C.6.3.1.2通用實(shí)踐列表該公共特征由下列通用實(shí)踐組成：改進(jìn)可能基于漸進(jìn)改進(jìn)(GP5.1.2)或革新改進(jìn)，如新技術(shù)(可能作為前導(dǎo)測(cè)試的組成部分)。一般C.6.3.4.3關(guān)系周期的運(yùn)行和維護(hù)階段。在針對(duì)適用于某個(gè)組織的過程域進(jìn)行評(píng)估或改進(jìn)時(shí)，需要解釋這些過程域?！穸x和測(cè)量過程質(zhì)量；●實(shí)現(xiàn)預(yù)期工作產(chǎn)品質(zhì)量。BP.12.07啟動(dòng)處理已發(fā)現(xiàn)的問題或程域PA06。不同類型的工作產(chǎn)品和不同的特定工作產(chǎn)品可能有不同的質(zhì)量要求●工作產(chǎn)品質(zhì)量要求；●一般的工作產(chǎn)品質(zhì)量要求列表。確保項(xiàng)目的執(zhí)行遵循已定義的系統(tǒng)工程過程。應(yīng)按適當(dāng)?shù)臅r(shí)間間隔核查過●已定義系統(tǒng)工程過程的偏離記錄；●已定義系統(tǒng)工程過程的偏離產(chǎn)生的影響記錄；●質(zhì)量手冊(cè)(紙面或在線形式)?！癞a(chǎn)品質(zhì)量評(píng)估；●產(chǎn)品質(zhì)量認(rèn)證。●在開發(fā)過程中不同點(diǎn)上產(chǎn)品測(cè)量項(xiàng)的統(tǒng)計(jì)過程控制；——規(guī)范值——接受范圍用來創(chuàng)建優(yōu)質(zhì)產(chǎn)品的過程與產(chǎn)品質(zhì)量同樣重要。有一個(gè)接受測(cè)量核查的系統(tǒng)開發(fā)過程是很重要，●過程質(zhì)量認(rèn)證?！駥?duì)過程參數(shù)的統(tǒng)計(jì)過程控制；●實(shí)驗(yàn)設(shè)計(jì)。●偏離分析；●失效分析；●系統(tǒng)質(zhì)量趨勢(shì)；●糾正措施建議●因果圖?！裉岣哔|(zhì)量的環(huán)境；●從工作人員那里獲得的輸入和解決方案。●建立過程行動(dòng)組；●建立質(zhì)量保障組，這個(gè)小組的報(bào)告指揮鏈應(yīng)●建立報(bào)告質(zhì)量問題的獨(dú)立通道。D.3.8BP.12.07——啟動(dòng)質(zhì)量改進(jìn)活動(dòng)●改進(jìn)系統(tǒng)工程過程的建議；●質(zhì)量改進(jìn)計(jì)劃；●過程修訂本?！褚炎R(shí)別的關(guān)于過程改進(jìn)的需要；●已識(shí)別的關(guān)于產(chǎn)品改進(jìn)的需要；●問題報(bào)告。可追溯性是PA10實(shí)踐的一部分。在跟蹤此過程域的性能時(shí)，查看不同基本實(shí)踐之間的趨勢(shì)可能表明是否滿足保證參數(shù)。參D.4.2BP.13.01——確定配置管理●識(shí)別配置單元的詳細(xì)程度；●配置單元置于配置管理下的時(shí)機(jī)；●配置管理過程要求的正規(guī)程度?！褡R(shí)別配置單元的指南；●將配置單元置于配置管理下的時(shí)間安排；●選擇的配置管理過程；●選擇的配置管理過程描述?！裥枰诳晒芾淼膶哟紊暇S護(hù)接口；●新設(shè)計(jì)與修改設(shè)計(jì)對(duì)比；●預(yù)期的變化率?！耥?xiàng)目所在的開發(fā)生存周期階段；●選擇的正規(guī)化程度；●成本和進(jìn)度限制；●客戶需求?！袼诘拈_發(fā)生存周期階段；●系統(tǒng)變更對(duì)采購的或分包的工作產(chǎn)品的影響；●系統(tǒng)變更對(duì)大綱進(jìn)度資金安排的影響；●需求管理。配置單元是作為配置管理中不可分割的單元對(duì)應(yīng)的一個(gè)或多個(gè)工作產(chǎn)品。品應(yīng)以選擇配置管理戰(zhàn)略時(shí)確定的準(zhǔn)則為基礎(chǔ)。選擇配置單元時(shí)所考慮的層次應(yīng)有利于開發(fā)者和客●工作產(chǎn)品配置；●已識(shí)別的配置單元?！駴Q策數(shù)據(jù)庫；●配置基線；●新工作產(chǎn)品基線。一旦配置數(shù)據(jù)出現(xiàn)任何狀態(tài)變化，就要通知受配置數(shù)據(jù)狀態(tài)影響的●狀態(tài)報(bào)告。●為授權(quán)用戶準(zhǔn)備好基線副本。BP.14.02通過檢查項(xiàng)目目標(biāo)(關(guān)于候選目標(biāo)和限制條件)和確定可能出現(xiàn)什么差錯(cuò)，識(shí)別項(xiàng)目和未知風(fēng)險(xiǎn)的存在。不良的風(fēng)險(xiǎn)管理往往是造成客戶不滿意、成本超預(yù)算或進(jìn)度被拖延的主要原因。論是過程域PA14還是ISO/IEC15288的風(fēng)險(xiǎn)管理過程都不涉及安全風(fēng)險(xiǎn)，而只關(guān)注項(xiàng)目執(zhí)行過程中●風(fēng)險(xiǎn)管理計(jì)劃?！裨诿總€(gè)周期結(jié)束時(shí)評(píng)審關(guān)于緩解每一個(gè)風(fēng)險(xiǎn)的緩解進(jìn)度?！褚炎R(shí)別的風(fēng)險(xiǎn)列表?！裰贫ㄒ粋€(gè)通用的風(fēng)險(xiǎn)分類方案或風(fēng)險(xiǎn)分類法，用于分類風(fēng)險(xiǎn)。這種分類法包含每類風(fēng)險(xiǎn)的歷史，包括風(fēng)險(xiǎn)發(fā)生的可能性(哪些系統(tǒng)元素最可能有風(fēng)險(xiǎn))、風(fēng)險(xiǎn)發(fā)生的估計(jì)成本以及緩解策●關(guān)注與那些最有可能產(chǎn)生風(fēng)險(xiǎn)的系統(tǒng)元素有關(guān)的風(fēng)險(xiǎn)緩解資源和控制?？赡茏钃夏繕?biāo)實(shí)現(xiàn)的事項(xiàng)形成文檔；這些事項(xiàng)就是風(fēng)險(xiǎn)。根據(jù)這個(gè)規(guī)程產(chǎn)生每個(gè)候選方法的●為了揭示導(dǎo)致風(fēng)險(xiǎn)的假設(shè)和決定，訪問技術(shù)人員和管理人員。使用從相似項(xiàng)目中獲得的歷史●風(fēng)險(xiǎn)評(píng)估?！裰贫ü烙?jì)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)發(fā)生后產(chǎn)生的成本的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)的可能范圍從簡單的高-D.5.5BP.14.04——評(píng)審風(fēng)險(xiǎn)評(píng)估●風(fēng)險(xiǎn)緩解戰(zhàn)略?！衽e行公司內(nèi)部的所有項(xiàng)目共利益者會(huì)議，介紹風(fēng)險(xiǎn)評(píng)估。為了有助于溝通對(duì)風(fēng)險(xiǎn)控制的理解，●對(duì)于風(fēng)險(xiǎn)估計(jì)的合理性和沒有忽視明顯的風(fēng)險(xiǎn)緩解策略得到與會(huì)者一致同意。D.5.6BP.14.05——執(zhí)行風(fēng)險(xiǎn)緩解活動(dòng)●風(fēng)險(xiǎn)緩解計(jì)劃。●處理所交付的系統(tǒng)將不滿足某個(gè)特定性能要求的風(fēng)險(xiǎn)，構(gòu)造可以針對(duì)該要求進(jìn)行測(cè)試的系統(tǒng)●處理交付進(jìn)度將由于子系統(tǒng)不能按時(shí)用于集成而造成拖延的風(fēng)險(xiǎn)，針對(duì)有風(fēng)險(xiǎn)的子系統(tǒng)擬訂具有不同集成時(shí)間安排的候選集成方案。如果風(fēng)險(xiǎn)發(fā)生(如子系統(tǒng)沒有按時(shí)準(zhǔn)備好),風(fēng)險(xiǎn)對(duì)●使用預(yù)定的基線(風(fēng)險(xiǎn)指示物)來觸發(fā)風(fēng)險(xiǎn)緩解活動(dòng)。D.5.7BP.14.06——跟蹤風(fēng)險(xiǎn)緩解活動(dòng)●風(fēng)險(xiǎn)狀態(tài)；●風(fēng)險(xiǎn)分類法。對(duì)于開發(fā)進(jìn)度大約為6個(gè)月的項(xiàng)目，每兩周重新評(píng)估一次風(fēng)險(xiǎn)。重新估計(jì)每個(gè)風(fēng)險(xiǎn)發(fā)生的可能性“監(jiān)督和控制技術(shù)工作”的目的是為了提供實(shí)際進(jìn)度和風(fēng)險(xiǎn)的足夠透明度。當(dāng)性能明顯偏離計(jì)劃●責(zé)任矩陣；●資源用途?！窦夹g(shù)性能管理輪廓?！駥?duì)技術(shù)管理計(jì)劃的變更請(qǐng)求；●批準(zhǔn)的糾正措施?！窬帉懶纬身?xiàng)目評(píng)審會(huì)議基礎(chǔ)的狀態(tài)報(bào)告?！耥?xiàng)目性能問題的分析；●批準(zhǔn)的糾正措施。D.6.7BP.15.06——采取糾正措施●改變方法和規(guī)程●改變順序。程域PA06?！褡R(shí)別的關(guān)鍵資源?？梢酝ㄟ^把系統(tǒng)分解成與其他項(xiàng)目組件類似的元素來估計(jì)項(xiàng)目的范圍和●系統(tǒng)范圍估計(jì)值；●源代碼行數(shù)；●電子插件數(shù)量●大型鍛件數(shù)量；●要移動(dòng)的材料的立方碼數(shù)?！褚约寄芩胶瓦M(jìn)度計(jì)的全部勞動(dòng)力成本；●以銷售商和進(jìn)度計(jì)的分包成本；●工具成本；●培訓(xùn)成本；●支持理由?！駷轫?xiàng)目選擇的系統(tǒng)工程過程?！褡R(shí)別的技術(shù)活動(dòng)。“滾動(dòng)式”方法進(jìn)行計(jì)劃。“滾動(dòng)式”方法被常用于定義近期活動(dòng)比用于定義項(xiàng)目后期開始的活動(dòng)更精確。到第12月的活動(dòng)應(yīng)按照每項(xiàng)活動(dòng)大約持續(xù)一個(gè)月來策劃。一年以后啟動(dòng)的活動(dòng)可以在很高的層次上D.7.7BP.16.06——定義項(xiàng)目接口項(xiàng)目接口包括那些對(duì)項(xiàng)目的成功執(zhí)行必要的組織和個(gè)人，可能是項(xiàng)目組內(nèi)部的也可能是外部的?！駷轫?xiàng)目接口定義的過程。D.7.8BP.16.07——制定項(xiàng)目進(jìn)度計(jì)劃●項(xiàng)目進(jìn)度。等來識(shí)別關(guān)鍵技術(shù)參數(shù)。每個(gè)被跟蹤的技術(shù)參數(shù)應(yīng)有一個(gè)閾值或容忍限度，●技術(shù)參數(shù)；●技術(shù)參數(shù)閾值；●入侵檢測(cè)的特征庫數(shù)量；●異常流量閾值。制定并維護(hù)綜合管理計(jì)劃。這個(gè)計(jì)劃規(guī)定項(xiàng)目與執(zhí)行技術(shù)工作的內(nèi)部和外部組織(如分包方)的●技術(shù)管理計(jì)劃。●系統(tǒng)開發(fā)計(jì)劃；●與開展技術(shù)工作的其他組織(如分包方)交互的計(jì)劃?！駥W(xué)科/組之間的接口問題；●項(xiàng)目計(jì)劃輸入；●項(xiàng)目策劃問題和解決方案?！裼布こ蹋弧窈献骰锇椤穹职?。報(bào)各個(gè)組將如何進(jìn)行評(píng)審。向各個(gè)組提供技術(shù)管理計(jì)劃并且按照預(yù)先的安排開會(huì)討論各個(gè)組的意見。在跟蹤此過程域的性能時(shí)，在可能表明是否滿足保證參數(shù)的不同基本實(shí)踐之間查看趨勢(shì)。參見●組織系統(tǒng)工程過程的目標(biāo)；●對(duì)組織標(biāo)準(zhǔn)系統(tǒng)工程過程的要求；●對(duì)組織過程資產(chǎn)庫的要求；●過程資產(chǎn)庫的要求；●過程資產(chǎn)庫。D.8.3BP.17.02——收集過程資產(chǎn)●過程資產(chǎn)使用說明；●過程資產(chǎn)庫設(shè)計(jì)規(guī)范；●過程資產(chǎn)。是有用的。過程資產(chǎn)庫包含一些已定義的過程示例和過程測(cè)量項(xiàng)。組織標(biāo)準(zhǔn)系統(tǒng)工程過程已被定義●組織標(biāo)準(zhǔn)系統(tǒng)工程過程；●項(xiàng)目過程和在這些過程執(zhí)行期間收集的測(cè)量值；●組織的標(biāo)準(zhǔn)系統(tǒng)工程過程的裁剪指南和準(zhǔn)則；●過程相關(guān)的參考文檔；●項(xiàng)目過程測(cè)量項(xiàng)。D.8.4BP.17.03——開發(fā)組織系統(tǒng)工程●組織標(biāo)準(zhǔn)系統(tǒng)工程過程；●培訓(xùn)輸入；●系統(tǒng)工程過程改進(jìn)輸入。●準(zhǔn)備就緒準(zhǔn)則；●標(biāo)準(zhǔn)和規(guī)程；●驗(yàn)證機(jī)制：●組織標(biāo)準(zhǔn)系統(tǒng)工程過程裁剪指南。在跟蹤此過程域的性能時(shí)，在可能表明是否滿足保證參數(shù)的不同基本實(shí)踐之間查看趨勢(shì)。參見●過程成熟度輪廓；●過程性能分析；●評(píng)估發(fā)現(xiàn)D.9.3BP.18.02——策劃過程改進(jìn)評(píng)價(jià)過程提供變更動(dòng)力。應(yīng)在策劃那些將為組織業(yè)務(wù)目標(biāo)提供最大回報(bào)的改進(jìn)中利用這種動(dòng)力。地執(zhí)行過程是很重要的。過程部署通常是一個(gè)挑戰(zhàn)。在實(shí)施改進(jìn)中，要注意避●過程改進(jìn)計(jì)劃。D.9.4BP.18.03——變更標(biāo)●組織標(biāo)準(zhǔn)系統(tǒng)工程過程；●組織標(biāo)準(zhǔn)系統(tǒng)工程過程的裁剪指南。隨著標(biāo)準(zhǔn)系統(tǒng)工程過程的改進(jìn)的實(shí)施和評(píng)價(jià)，組●過程資產(chǎn)庫使用說明書；●組織標(biāo)準(zhǔn)系統(tǒng)工程過程的裁剪指南；●逐一列出對(duì)系統(tǒng)工程過程的變更及其理由；●實(shí)施過程變更的進(jìn)度。D.10.1.1安全注意事項(xiàng)BP.19.02識(shí)別那些將有助于組織獲取、開發(fā)和應(yīng)用技術(shù)來提高競(jìng)爭優(yōu)勢(shì)的新產(chǎn)品技術(shù)或基礎(chǔ)在跟蹤此過程域的性能時(shí)，在可能表明是否滿足保證參數(shù)的不同基本實(shí)踐之間查看趨勢(shì)。參見●產(chǎn)品線定義。D.10.3BP.19.02——識(shí)別新產(chǎn)品技術(shù)識(shí)別有可能引入產(chǎn)品線中的新產(chǎn)品技術(shù)。建立和維護(hù)識(shí)別新技術(shù)的基礎(chǔ)設(shè)施改進(jìn)(例如設(shè)備或維●產(chǎn)品線技術(shù)評(píng)審；●過程小組的改進(jìn)建議。實(shí)驗(yàn)新技術(shù)，組織能夠選擇合適的技術(shù)來提高自己的產(chǎn)品線的質(zhì)量●調(diào)整的開發(fā)過程。D.10.4.3注釋●產(chǎn)品線構(gòu)件?？梢园殃P(guān)于關(guān)鍵構(gòu)件的未來使用事宜納入產(chǎn)品需求中，從而確保這些構(gòu)●新產(chǎn)品線定義。D.11.1.5過程域注釋●計(jì)算資源；●通信頻道；●分析方法；●機(jī)械修理店；●化學(xué)處理設(shè)備；●環(huán)境應(yīng)力設(shè)備；●系統(tǒng)工程仿真工具；●軟件生產(chǎn)工具；●系統(tǒng)工程專有工具；●工作空間。在跟蹤此過程域的性能時(shí)，在可能表明是否滿足保證參數(shù)的不同基本實(shí)踐之間查看趨勢(shì)。參PA20的主題和內(nèi)容對(duì)應(yīng)于ISO/IEC15288的環(huán)境管理過程的其余活動(dòng)?！裰С汁h(huán)境技術(shù)評(píng)審。D.11.3BP.20.02——確定支持要求組織的需要主要通過評(píng)估競(jìng)爭性問題來確定。例如，組織的支持環(huán)境影響了組織的競(jìng)爭地位嗎?組織支持環(huán)境的每個(gè)主要元素允許系統(tǒng)工程以足●對(duì)系統(tǒng)工程支持環(huán)境的要求。D.11.3.3注釋D.11.4BP.20.03——獲得系統(tǒng)工程支持環(huán)境確定適合于所需的系統(tǒng)工程支持環(huán)境的評(píng)價(jià)準(zhǔn)則和候選解決方案。然后使用PA10確定安全需要●裁剪的系統(tǒng)工程支持環(huán)境。D.11.5.3注釋裁剪允許個(gè)別項(xiàng)目定制自己的系統(tǒng)工程支持環(huán)境。例如，項(xiàng)個(gè)項(xiàng)目的成套自動(dòng)化工具中裁剪掉(即不提供)自動(dòng)信號(hào)處理工具。相反，項(xiàng)目B●新的系統(tǒng)工程支持環(huán)境。1)徹底測(cè)試新技術(shù)2)決定是在整個(gè)組織還是在組織的某些部分引入改進(jìn)。3)對(duì)那些將受到影響的人員盡早地提醒即將發(fā)生的變更。D.11.7BP.20.06——維護(hù)環(huán)境●針對(duì)系統(tǒng)工程支持環(huán)境的性能報(bào)告?！窆蛡蚧蚺嘤?xùn)計(jì)算機(jī)系統(tǒng)管理者；●發(fā)展使用所選自動(dòng)化工具的專家；●發(fā)展可以應(yīng)付各種項(xiàng)目的方法學(xué)專家；●發(fā)展可以應(yīng)付各種項(xiàng)目的過程專家。D.11.8BP.20.07——監(jiān)視系統(tǒng)工程支持環(huán)境●系統(tǒng)工程支持環(huán)境中使用技術(shù)的評(píng)審。D.12.1.1安全注意事項(xiàng)BP.21.01使用項(xiàng)目的需要、組織戰(zhàn)略規(guī)劃以及員工的現(xiàn)有技能做D.12.1.5過程域注釋在跟蹤此過程域的性能時(shí)，在可能表明是否滿足保證參數(shù)的不同基本實(shí)踐之間查看趨勢(shì)。參見PA21的主題和內(nèi)容對(duì)應(yīng)于ISO/IEC15288資源管理過程的一些活動(dòng)。●組織的培訓(xùn)需要；●項(xiàng)目技能或知識(shí)。D.12.3BP.21.02——選擇定和修訂組織的培訓(xùn)計(jì)劃。每個(gè)項(xiàng)目應(yīng)制定和維護(hù)規(guī)定自己的培訓(xùn)培訓(xùn)或其他來源的、獲取知識(shí)或技能的合適模式。這個(gè)實(shí)踐的目的是確保選擇最有效的方法，使項(xiàng)目及時(shí)得到所需要的技能和知識(shí)。分析項(xiàng)目和組織需要，利用“PA09提供安全輸入”的方法在各種候選方案(例如咨詢師、分包方、從確定的主題專家處獲取知識(shí)或培訓(xùn)等)中進(jìn)行選擇。D.12.3.2工作產(chǎn)品示例●所需要的技能和知識(shí)的調(diào)查結(jié)果；●指出獲取技能或知識(shí)的最有效方式的趨勢(shì)研究結(jié)果?？梢杂糜诖_定獲取技能或知識(shí)的最有效方式的準(zhǔn)則(例如)包括：●項(xiàng)目實(shí)施準(zhǔn)備的可用時(shí)間；●業(yè)務(wù)目標(biāo)；●內(nèi)部專家的可用性；D.12.4BP.21.03——確保技能和知識(shí)的可用性確保適合的技能和知識(shí)可供系統(tǒng)工程工作使用。D.12.4.1描述這個(gè)實(shí)踐涉及一定要可供項(xiàng)目系統(tǒng)工程工作使用的所有技能和知識(shí)的獲取。通過精心評(píng)估和準(zhǔn)備，可以制定和執(zhí)行相應(yīng)的計(jì)劃，使所要求的各種知識(shí)和技能可供使用。這些知識(shí)和技能包括：功能性工程技能，應(yīng)用問題領(lǐng)域的知識(shí)，人際交往技能，多學(xué)科技能以及過程相關(guān)技能。在識(shí)別所需的知識(shí)和技能，可以使用對(duì)知識(shí)或技能獲取方式的評(píng)價(jià)結(jié)果來選擇最有效的方式?！癜醇寄茴悇e劃分的、所需的技能類型的評(píng)估；●項(xiàng)目知識(shí)獲取計(jì)劃；●培訓(xùn)計(jì)劃；●確定的和可用的主題專家列表。D.12.4.3注釋使用針對(duì)工作分解結(jié)構(gòu)的每個(gè)元素的知識(shí)類型(例如功能工程、問題領(lǐng)域等)核查表，可以處理各種知識(shí)和技能類型的合適覆蓋問題。例如，為了確保相應(yīng)的應(yīng)用問題領(lǐng)域知識(shí)(例如，衛(wèi)星天氣數(shù)據(jù)處理)的可用性，可能要擬訂一個(gè)計(jì)劃，結(jié)合需求解釋或系統(tǒng)設(shè)計(jì)訪問所識(shí)別的主題專家。當(dāng)組織確定沒有所要求的專門技術(shù)可用時(shí)(在一條新的業(yè)務(wù)線里推動(dòng)第一項(xiàng)計(jì)劃時(shí)),這種方法也適用。D.12.5BP.21.04——準(zhǔn)備培訓(xùn)材料根據(jù)已識(shí)別的培訓(xùn)需要準(zhǔn)備培訓(xùn)材料?！裾n程描述和要求；●培訓(xùn)材料。D.12.5.3注釋●預(yù)期聽眾；●參與培訓(xùn)前準(zhǔn)備；●培訓(xùn)目標(biāo)●培訓(xùn)時(shí)間；●課程計(jì)劃；●判斷學(xué)員圓滿結(jié)業(yè)的準(zhǔn)則?！駥?duì)于將作為過程組成部分的特定實(shí)踐進(jìn)行培訓(xùn)的材料(例如，方法技術(shù)●過程培訓(xùn)材料；●經(jīng)過培訓(xùn)的人員?！駪?yīng)存在一個(gè)在接受培訓(xùn)之前確定雇員的技能水平的規(guī)程，以便確定培訓(xùn)是否合適(例如，對(duì)于●存在提供鼓勵(lì)和激勵(lì)學(xué)院參與培訓(xùn)的某種規(guī)程；●在線培訓(xùn)/定制的教學(xué)模塊適應(yīng)不同的教學(xué)風(fēng)格和文化背景，除此之外還傳遞較小的知識(shí)●培訓(xùn)效果分析●培訓(xùn)調(diào)整?！衽嘤?xùn)和測(cè)驗(yàn)記錄?！窕€培訓(xùn)新材料；●培訓(xùn)材料修訂本。D.13PA22——與供方協(xié)調(diào)D.13.1過程域D.13.1.1安全注意事項(xiàng)BP.22.04向供方提出關(guān)于將要交付的系統(tǒng)構(gòu)件或服務(wù)的需要、期望和組織所掌握的有效性測(cè)在跟蹤此過程域的性能時(shí)，在可能表明是否滿足保證參數(shù)的不同基本實(shí)踐之間查看趨勢(shì)。參見PA06。一個(gè)組織確實(shí)很少制作系統(tǒng)的全部構(gòu)件。采用“制作與購買”分析●制作與購買間的權(quán)衡；●系統(tǒng)構(gòu)件列表；●由外部組織處理的系統(tǒng)構(gòu)件子集；●潛在供方列表；●所需工作完成的開始準(zhǔn)則。D.13.2.3注釋●執(zhí)行趨勢(shì)研究；供方的能力應(yīng)是組織的能力補(bǔ)充并且與組織的能力兼容?？赡荜P(guān)注的問題包括勝任的開發(fā)過程、●供方列表；●每個(gè)供方的優(yōu)缺點(diǎn)；●與供方遠(yuǎn)距離工作的潛在方式。D.13.3.3注釋●使用可用的圖書館服務(wù)；●使用組織的知識(shí)庫(可能是在線系統(tǒng))。D.13