安全框架和成熟度模型（Security Frameworks and Maturity Models）

框架（Frameworks）

-NIST网络安全框架

NIST网络安全框架（CSF）
. 认识到美国的国家和经济安全取决於关键基础设施的可靠功能，总统於2013年2月发布了13636号行政命令，“改善关键基础设施网络安全”。
. 该命令指示NIST与利益相关者合作，根据现有标准，指南和做法，开发一个自愿框架，以减少关键基础设施的网络风险。2014年的《网络安全增强法》加强了NIST的EO 13636角色。

OWASP网络防御矩阵
. 网络防御矩阵通过逻辑结构帮助我们了解我们需要组织的内容，因此，当我们进入安全供应商市场时，我们可以快速识别出哪些产品可以解决哪些问题，并可以了解给定产品的核心功能是什麽。
. 尽管最初创建了网络防御矩阵来帮助组织安全技术，但已经发现了许多其他用例来帮助构建，管理和运行安全程序。
. 网络防御矩阵的基本构建始於两个维度。
. 第一维度捕获的5操作功能的的NIST网络安全框架：监别，保护，检测，响应，和恢复。
. 第二个维度捕获了我们尝试确保的五个资产类别：设备，应用程序，网络，数据和用户。

-网络防御矩阵（来源：OWASP）

成熟度模型(Maturity Models)
ISACA能力成熟度模型集成（CMMI）
. 它由ISACA的子公司CMMI研究所管理，由卡内基梅隆大学（CMU）开发。
. 许多美国政府合同都要求这样做，尤其是在软件开发中。
. 2016年3月，CMMI研究所被ISACA收购。

网络安全成熟度模型认证（CMMC）
. 国防部负责收购和维持事务的副秘书长办公室（OUSD（A＆S））认识到，安全是收购的基础，不应与安全，日程和绩效一起进行交易。
. 美国国防部致力於与国防工业基地（DIB）部门合作，以加强对供应链中受控非机密信息（CUI）的保护。

ISO / IEC 21827，系统安全工程—能力成熟度模型（SSE-CMM）
. ISO / IEC 21827：2008描述了组织的安全工程过程的基本特徵，这些特徵必须存在以确保良好的安全工程。
. ISO / IEC 21827：2008没有规定特定的过程或顺序，而是记录了行业中普遍观察到的实践。

OWASP软件保障成熟度模型（SAMM）
. 我们的使命是为您提供一种有效且可衡量的方法，以分析和改善安全的开发生命周期。
. SAMM支持完整的软件生命周期，并且与技术和过程无关。我们建立了SAMM，使其本质上具有发展性和风险驱动性，因为没有一种适用於所有组织的方法。
. 软件保障成熟度模型（SAMM）是一个开放框架，可帮助组织制定和实施针对组织所面临的特定风险量身定制的软件安全策略。

RIMS风险成熟度模型
. RIMS风险成熟度模型（RMM）既是企业风险管理的最佳实践框架，又是针对风险专业人员的免费在线评估工具。
. RMM允许您评估ERM计划的实力，并根据结果制定改进计划。

-CMMI星座（来源：https : //www.plays-in-business.com）

-SAMM概述（来源：https : //owaspsamm.org）

-CMMC级别，流程和实践（来源：AWS)）