安全框架和成熟度模型(Security Frameworks and Maturity Models)

构架(Frameworks)

-NIST网路安全框架(NIST Cybersecurity Framework)

. NIST网络安全框架（CSF）
. 认识到美国的国家和经济安全取决於关键基础设施的可靠功能，总统於2013年2月发布了第13636号行政命
令，“改善关键基础设施网络安全”。
. 该命令指示NIST与利益相关者合作，根据现有标准，指南和做法，开发一个自愿框架，以减少关键基础设施
的网络风险。2014年的《网络安全增强法》加强了NIST的EO 13636角色。
. OWASP网路防御矩阵
. 网路防御矩阵通过逻辑结构帮助我们了解我们需要组织的内容，因此，当我们进入安全供应商市场时，我们可
以快速识别出哪些产品可以解决哪些问题，并可以了解给定产品的核心功能是什麽。
. 尽管最初创建了网络防御矩阵来帮助组织安全技术，但仍发现了许多其他用例来帮助构建，管理和运行安全程
序。
. 网路防御矩阵的基本构建始於两个维度。
. 第一维度捕获的5操作功能的的NIST网路安全框架：监别，保护，检测，响应，和恢复。
. 第二个维度捕获了我们尝试确保的五个资产类别：设备，应用程序，网路，数据和用户。

-网络防御矩阵（来源：OWASP）

成熟度模型(Maturity Models)
. ISACA能力成熟度模型集成（CMMI）
. 它是由ISACA的子公司CMMI Institute管理的，由卡内基梅隆大学（CMU）开发。
. 许多美国政府合同都要求这样做，尤其是在软件开发中。
. 2016年3月，CMMI研究所被ISACA收购。
. 网络安全成熟度模型认证（CMMC）
. 国防部负责收购和维持事务的副秘书长办公室（OUSD（A＆S））认识到，安全是收购的基础，不应与安全，
日程和绩效一起进行交易。
. 美国国防部致力於与国防工业基地（DIB）部门合作，以加强对供应链中受控非机密信息（CUI）的保护。
. ISO / IEC 21827，系统安全工程—能力成熟度模型（SSE-CMM）
. ISO / IEC 21827：2008描述了组织的安全工程过程的基本特徵，这些特徵必须存在以确保良好的安全工
程。
. ISO / IEC 21827：2008没有规定特定的过程或顺序，而是记录了行业中普遍观察到的实践。
. OWASP软件保障成熟度模型（SAMM）
. 我们的使命是为您提供一种有效且可衡量的方法，以分析和改善安全的开发生命周期。
. SAMM支持完整的软件生命周期，并且与技术和过程无关。我们建立了SAMM，使其本质上具有发展性和风险驱
动性，因为没有一种适用於所有组织的方法。
. 软件保障成熟度模型（SAMM）是一个开放框架，可帮助组织制定和实施针对组织所面临的特定风险量身定制
的软件安全策略。
. RIMS风险成熟度模型
. RIMS风险成熟度模型（RMM）既是企业风险管理的最佳实践框架，又是针对风险专业人员的免费在线评估工
具。
. RMM允许您评估ERM计划的实力，并根据结果制定改进计划。