CMMI 研究院刚刚推出两门新认证课程
5 月 1-2 号,我有幸参加了 CMMI 研究院最新推出的 Building Safety Excellence 和 Building Security Excellence 两门课程的培训,由 ISACA 副总裁和 CMMI 产品主管 Ron Lear,CMMI 研究院资深专家 Kileen Harrison 和英国 CMMI 高成熟度评估师和讲师 Kieran Doyle 三名大咖联合主讲,受益匪浅。我也有望在今年成为国内首位安全和安防子模型(Sub-model)的评估师。
CMMI V2.0 模型的承诺之一,就是能够不断兼容新技术、新方法,不断进化。这两门课的推出,就是这个承诺的体现。
Building Safety Excellence 课程,只包含一个实践域, 即 Enabling Safety (ESAF,确保安全)。 这个实践域的目的和价值,是在一定的限制条件下和有限的手段内,最大限度地减少和减轻安全的风险,从而将安全危害风险降低到可接受的容忍水平。这里的安全,既包含工作场所的安全也包括开发产品的安全。
关于产品安全最典型的一个例子就是波音 737 MAX 停飞事件。2019 年 3 月 10 日,埃塞俄比亚航空一架波音 737 MAX 8 型飞机在起飞阶段坠毁,机上 157 人全数遇难。故障原因是因为攻角传感器故障和机动特性增强系统过度反应,导致飞行员与电脑导航恶性对抗,最终使得飞机失速坠毁。此后该机型飞机全面停止生产,波音 CEO 为此辞职,此事件为波音带来 56 亿美元的损失。
Building Security Excellence 课程,则包含两个实践域,Enabling Security (ESEC,确保安防)和 Managing Security Threats and Vulnerabilities (MST,管理安防威胁和漏洞)。
Enabling Security 实践域的目的和价值是,建立并不断更新安全方法,包括预测、识别和采取措施以避免或最小化安全问题对组织或解决方案的影响,从而减少安全威胁和漏洞对业务绩效的影响。
Managing Security Threats and Vulnerabilities 实践域的目的和价值是,识别可能危及组织或解决方案的安全威胁和漏洞,分析潜在影响,定义并采取措施来解决和减轻它们,从而提高组织识别、缓解威胁和漏洞,并从中恢复的能力和弹性。
这两个实践域涉及的安防,包括物理安防,过程安防和网络安防。物理安防的例子比如门禁。过程安防例如专门针对安全漏洞的设计方法和工具。网络安防例如网络安全(Cybersecurity)等等。在互联网时代,所有的设备和软件都是互联互通,确保组织内部的安全和防护,日益放在一个重要的位置上。
按照 Ron Lear 的说法,将来的 CMMI 评估以开发模型(Development)和服务模型(Service)为主模型,以安全和安防、供应商管理等为子模型(Sub-model),企业可以采用主模型+子模型的形式来进行评估,评判自己企业的能力。例如,企业可以选择 CMMI 开发模型+安全和安防来进行评估。按照 CMMI 研究院的计划,企业最早可以在今年第四季度进行安全和安防子模型的评估。
如果您的企业涉及网络安全,或者您关注企业的安全和安防问题,那么您现在就可以准备了。
Ron Lear (左一),高山(左三),Kieran Doyle (左四),Kileen Harrison(右二)
版权声明: 本文为 InfoQ 作者【高山】的原创文章。
原文链接:【http://xie.infoq.cn/article/e68aced42fc43b09235a0ce7c】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论