OWASP SAMM-安全冠军(Security Champion)

-SAMM 概述（来源：https : //owaspsamm.org）
文化有不同的背景或层次，例如安全文化、组织文化或民族文化。高级管理层是在组织层面提升安全意识和文化的好人选；然而，安全冠军在软件开发中是更合适的角色。

安全冠军和 OWASP SAMM(Security Champion and OWASP SAMM)
安全冠军是软件安全主题专家，他们在 OWASP 软件保障成熟度模型 (SAMM) 中组织和文化的成熟度级别 1 中发挥着关键作用。提名一名成员，例如软件开发人员、测试人员或产品经理，作为安全拥护者，有助於将安全嵌入到开发组织中。
. 安全冠军接受适当的培训。
. 应用程序安全和开发团队会定期收到安全冠军关於安全计划和修复整体状态的简报。
. 安全冠军在添加到应用程序积压之前审查外部测试的结果。

高级管理人员(Senior Management)
高级管理人员是攻击的高优先级目标。为高级管理层制定安全意识计划至关重要。他们必须以身作则，理解和遵守安全政策，绝不应该被发现说坏话或自相矛盾的政策。

安全文化(Security Culture)
. 文化本质上是“一组用语言表达的共同理解”或“意义的共享模式”或“与组织结构和控制系统相互作用以产生行为规范的共享价值观和信念”。如果可以证明文化会影响安全结果，那麽文化在安全环境中就会引起人们的兴趣。( IEEE )
. 资讯安全文化指导组织在资讯安全方面的工作，以保护资讯资产和影响员工的安全行为。( IEEE )

参考
. SAMM 敏捷指南
. OWASP聚宝盆
. IT 安全培训和意识计划的游戏化
. 从上到下发展安全文化的 6 种方法
. 国际民航组织 AVSEC2018
. 安全文化
. 嵌入资讯安全文化 新出现的问题和挑战
. 如何建立安全文化

资料来源： Wentz Wu QOTD-202104019
My Blog: https://choson.lifenet.com.tw/