Title Required
RSS Channel: 评估办法
评估办法SCAMPIA是怎样让一个企业无所遁形的呢?企业如何利用这个办法的原理来检查自己的工作呢?
Generator:CommunityServer 2.0 (Build: 60217.2664)
Docs:http://blogs.law.harvard.edu/tech/rss

请教关于评估合格的硬性标准

我们公司正在进行CMMI评估准备。关于最终评估合格的硬性标准,同一家咨询公司的2位咨询师,竟然给出了不同的答案。

其中1位认为:

 参与评估的项目,其过程只要能覆盖所有PA 的SP即可。没有数量上的限制。

另一位认为:

 不但要覆盖,而且每个SP一定要有3个项目的实践来证明。也就是说,至少要有3个以上项目参与评估。

请教,他们那位说的是对的啊。

 

 

 


2
SCAMPI A评估办法

简单说说SCAMPI A这个评估办法,评估简单的说就是用一定的办法判断是否达到了CMMI的要求。那怎样才判断呢?

先举一个日常的例子,比方说你今天中午吃了饭,但别人不知道,别人要判断你是不是吃了饭,用SCAMPI A的办法来判断的话,需要提供以下证据:
1)书面直接证据,能证明你吃了饭的书面的直接的证据。如果你去餐厅吃饭的,你的帐单就可以用来做直接证据,如果你在家做饭,那就麻烦,可能没有能留下直接书面证据了。
2)书面间接证据:比方说你在家做饭,之前去买菜了,你买菜的账单就可以作为间接书面证据。
3)访谈证据:如果别人问你,今天中午有没有吃饭,你能准确说出来,并且没有疑点,那就认为证据有效了,或者是如果你和别人吃饭,别人能说出跟你吃了饭,也认为证据有效了。
以上3方面的证据,第一个证据书面直接证据,是必须要有的,同时第2和第3类证据,至少要有一个。以上证据都具备,才能认为你吃了饭。

我想大家可能要“吐血”了,为了要证明吃了饭,居然要这样麻烦!当然吃饭只是一个例子,我们进行CMMI评估的时候,每一个SP和GP都需要提供这样的证据,多个项目的话,还需要提供多个证据。我们公司评CMMI5级,一共要检查425个Practice,证据的数量可谓巨大了。

大家看到,SCAMPI A评估办法更注重直接书面证据,而访谈证据只是一部分相对“次要”的证据,大家可千万不要以为准备好访谈就万事大吉了!

其实访谈也是很重要的,如果直接证据准备的很充分,但访谈的时候又与书面证据又矛盾,问题就大了。准备评估没有什么捷径,就是老老实实按照CMMI的要求去做,认真做好过程改进的工作,认真准备书面证据,访谈的时候就按照实际的做法老老实实的回答。


12
关于评估的一些“捷径“

1.让评估师全程介入公司的过程改进,如:
尽快确定主任评估师,并且让该评估师尽早对公司情况进行摸底,评估师要做预评估,然后再做正式评估,正式评估之前要必要是进行一次到多次的Doc Review。
这样做的好处是,评估师能随时把握公司的情况,提出针对性意见,公司能少走弯路,并且评估师对公司认同感会非常好,评估前也会很有信心,评估时不会出现什么意外了。(主任评估师是评估小组的核心人物,只要他buy你,一切都不是问题)

2.咨询师和评估师要保持良好沟通,协调一致。
有些公司曾经出现咨询师给了意见,公司也实施了,但评估师不认可,这下就大麻烦了。咨询师和评估师之间要保持良好沟通,建议公司先选定评估师,再让评估师推荐咨询师,这样评估师肯定会比较信赖这个咨询师的。
(很多公司想做评估,是先找咨询公司的,这样其实不太好,应该先找评估师,评估师的实力是最重要的,只要评估师OK,管他是什么资讯公司,再由这位值得信耐的评估师推荐出来的咨询师,肯定也是有水平有分量的。国内有口碑的水平高主任评估师,其实不难去查证的。)

3.尽早做PIIDs。
只有做了PIIDs,你才可能对CMMI有彻底的深入的理解,开始可能很多空白的,没关系,持续更新PIIDs,并且尽快让咨询师或者评估师来Review。(我们公司做5级的时候,对一些关键Practice的彻底理解,是预评估后的,我们也是预评估前才真正认真去做PIIDs,当时我感觉我们EPG不少成员对各Practice理解都很不到位,如果我们能先抓好,相信我们会做得更好更快。)


4
为什么评估基本上都是能通过的?

主任评估师是专业人士来的,如果他不是对企业有信心,他是不会做评估的。评估师会通过预评估、Doc Review或者和咨询师的沟通等方式,来了解企业的情况,判断是否已经适合做评估了,没有十足的信心,是不会做的。否则评估时才发现问题,就进退两难了。

很多公司的过程改进计划都定的很急,我相信很多评估师一开始就会说这个计划不行的,实际上我了解到的公司,实际的进展都比计划的长,甚至是一倍以上。我们公司当时定了个1年过5级的计划,其实很不切实际,结果我们搞了一年零8个月,如果加上前期时间,差不多要两年时间才能从CMM3到CMMI5级。

另外能通过评估的原因,就是以下情况了:
大家要用切实做好改进的思想来做过程改进,而不是为了拿证书。现在行内普遍都知道,要拿到3级证书并不难,拿到证书但不具备能力的情况比比皆是。行内也存在一些急功近利的软件公司,还有为了赚这些公司的钱的咨询公司,很多咨询公司都有能通过3级评估的可操作的并且是已经操作过很多次的方案。

大浪淘沙,优秀的公司并不是靠证书的,为了拿证而拿证的公司,最终会被淘汰掉的。


2
让人又爱又恨的 PIIDs

PIID的全写:Practice Implementation Indicator Description
PIIDs就是PIID的复数形式了。

我们过5级,第一次做PIIDs是预评估之前,结果做出来质量超差,预评估的过程差不多就是改PIIDs的过程,被丛斌博士狠狠地批评了一顿,真是惭愧!

这第一次做,我有点掉以轻心,只安排了5-6个人,用一两周的时间来搞,当时我自己也只检查了部分PA,没有做全面的检查,直到通过预评估,才发现大家对各Practice的理解误差之大严重超出我的预计!

如果正式评估还是这样子,那就绝对不行了,正式评估,我们用超过两个月的时间,动用了7-8个人分头并进,互相交叉检查,而我自己则每个PIIDs都要去过一次,保证没有问题。最终做出来的PIIIDs质量还是让人满意的,丛博士也对我们的进步给与赞许。

准备PIIDs的工作量是很大的,曾经帮我们做过4、5级咨询的田老师(他现在是CRS主任评估师,而且目前是中国最年轻的主任评估师),他在华为的准备PIIDs,他们用了三个月时间,而且还经常加班,当然他们的项目规模比我们大多了,工作量也大很多。

准备PIIDs的工作量为什么这样大呢?
1.必须对所有PA的所有SP、GP有深刻的认识。
2.必须企业切实做到了所有的Practice。
3.企业制定的过程,必须覆盖全部的Practice。

要做到以上三点不容易,如果我重新做一次,我会选在在一开始就做PIIDs,能做到少就做多少,通过做PIIDs,能更好地促进对CMMI的理解,能在早期制定过程的时候就充分考虑各Practice,有计划的逐步分批满足Practice的要求。我其实对CMMI2-5的全面理解,是在预评估之后的,当时发现对4级的部分Practice有比较大的理解偏差,特别是对基线的理解,后面我们又做了大量的改进工作,我们预评估到正式评估,相距的时间有8个月。

如果我要重做一次,我一开始就用比较“铁腕”的办法推动SEPG理解英文版的CMMI。当时根本就没有什么合适的中文资料,都是“硬”翻译过来的,看着这些中文来理解,可能会相差十万八千里。当时我就意识到要直接理解英文,我也搞了很多次考试,来促进我们的SEPG成员好好学习,可惜效果不大,“英文恐惧症”严重影响了效果,每个人都不愿意硬着头皮去学习英文,克服理解上的困难,后来我折腾几次后,也放弃了。如果SEPG水平不上去,会严重制约过程改进的水平和进度的。

如果安排一些不太熟悉CMMI甚至不太熟悉公司过程、项目情况的人来填写PIIDs,是极其危险的,PIIDs应该发动SEPG全体来填写,大家各自编写自己熟悉的PA的PIIDs,并互相检查,有条件应该让项目组成员介入来一起填写,PIIDs要尽早开始,不要等预评估或者正式评估差不多到了才填写。

反对为了过级而填写PIIDs,反对“造假”,反对大家为了准备评估访谈而“对口供”。
在国外,甲方评价一个软件公司时,会相信该软件公司提交过来的资料,但对于中国的企业,他们不相信我们的资料,他们只相信亲眼所见的事实。CMMI如果在中国的名气搞砸了,将严重丢中国人的脸!不要做丢中国人脸的事情!老老实实做企业,在挫折中成长,扎扎实实干事业,把过程改进当成事业来干!


0
信息安全风险评估之我见

信息安全风险评估之我见

 作者:  亚远景科技                              www.cmmcn.com

关键字:信息安全,风险评估

在信息安全产业界,风险评估早已不是陌生话题,几年以来,各安全公司完成的风险评估项目已不在少数,甚至在几乎所有的信息安全服务厂商中,风险评估都是其核心业务。

风险评估的核心不仅仅是理论,更是实践。风险评估的实践工作是很困难的,据国外的统计数字显示,只有60%的风险评估是成功的。国内的风险评估工作面临的挑战更多,需要一定时间的积累和沉淀,就像要成为一个好的中医,要有个学和练的过程一样。

有人认为风险评估只是一个看病的过程,其实,看病就是在治病。因此,笔者就“看病治病”的风险评估过程的几个方面简单谈谈自己的心得与体会。

 

1. 定义——什么是完整意义的风险评估

何为完整意义的风险评估?须从各个角度去观察,既要客观,又要全面。古语云:“横看成岭侧成峰,远近高低各不同。不识庐山真面目,只缘身在此山中。”故所谓信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括:

(1)使命:即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系统和信息的依赖程度越高,风险评估的任务就越重要。

(2)资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

(3)资产价值:资产的敏感程度、重要程度和关键程度。

(4)威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。

(5)脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。

(6)事件:如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。

(7)风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

(8)残余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。

(9)安全需求:为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。

(10)安全措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

在这些要素中,尤其需要注意一个概念:残余风险。之所以提出这个概念,原因在于:1)风险不可能完全消除。信息技术在发展,外部环境在变化,信息系统本身也要发生变化,信息安全的动态性致使不可能完全消除未来发生安全事件的风险。2)风险不必要完全消除。资产的价值以及信息安全的投入之间的比例关系决定了对有些安全风险,采取措施反而比不采取措施成本更高。由于上述原因,所谓安全的信息系统,并不是指“万无一失”的信息系统,而是指残余风险可以被接受的信息系统。

造成信息安全事件的源头,可以归为外因和内因。外因为威胁,内因则为脆弱性。苏轼之《琴诗》曰:若言琴上有琴声,放在匣中何不鸣?若言声在指头上,何不于君指上听?这首诗所揭示是琴、指头和琴声三者之间的关系。如果把演奏者包括在内,那么,演奏者的思想感情和技能与琴、指之间的关系,又可以看作是事物的内因和事物的外因之间的关系。前者是音乐产生的根据,后者则是音乐产生的条件,两者缺一不可。 此,在风险评估中,要刻画信息安全事件,就必须对威胁和脆弱性都有深入了解,这构成了风险评估工作的关键。

风险评估的工作由以下几个步骤组成:

步骤1:描述系统特征

步骤2:识别威胁(威胁评估)

步骤3:识别脆弱性(脆弱性评估)

步骤4:分析安全控制

步骤5:确定可能性

步骤6:分析影响

步骤7:确定风险

步骤8:对安全控制提出建议

步骤9:记录评估结果

2.作用——风险评估是分析确定风险的过程

任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。在日常生活和工作中,风险评估也是随处可见,为了分析确定系统风险及风险大小,进而决定采取什么措施去减少、避免风险,把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?并总是试图找出最合理的答案。这一过程实际上就是风险评估。

3.战略——信息安全风险评估是信息安全建设的起点和基础

信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险之间作出正确的判断,决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。

4.借鉴——重视风险评估是信息化比较发达国家的基本经验

《劝学》云:“吾尝终日而思矣,不如须臾之所学也。吾尝跂而望矣,不如登高之博见也。登高而招,臂非加长也,而见者远。顺风而呼,声非加疾也,而闻者彰。假舆马者,非利足也,而致千里。假舟辑者,非能水也,而绝江河。君子生非异也,善假于物也。”其核心思想即是借助外界力量发展提高壮大自己。由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了复杂程度,发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。20 世纪70 年代,美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。有些国家和国际组织还十分重视阶段性的再评估工作,以求得信息安全措施可以持续地适应信息安全形势的变化和发展。因此我们应该充分借鉴国内外就风险评估方面的经验,“站在巨人的肩膀上”,完善并改进风险评估。

5.改进——当前开展信息安全风险评估要研究解决的几个问题

经过几年的探索,我国有关方面已经在信息安全风险评估方面做了大量工作,积累了一些宝贵的经验,然而由于起步晚,存在一些亟待解决的问题。一是对风险评估的认识不高,经验不足。二是风险评估的工作流程和技术标准有待完善。风险评估既是一个管理过程,也是一个技术性过程,需要制订科学、实用、有效的工作流程和技术标准。特别是定性和定量的分析方法各自所起的作用,以及相互关系,有待进一步通过实践摸索和理论研究的活动,加以丰富、完善。三是评估工具的发展相对滞后,很难适应技术发展需要。造成风险评估工具滞后的原因很多,技术、装备上的落后是主要的。所以,要加强风险评估工具的研发和推广。四是风险评估带来的新风险的有效控制还没有得到很好的解决。最后要强调的一点是要注重风险评估知识和经验的积累,提高安全能力——“半亩方塘一鉴开,天光云影共徘徊。问渠那得清如水?为有源头活水来。” 只有不断更新,不断积累,企业的风险管理才不会成为一潭死水,毫无生气。

 

如需交流,可发邮件至   Wangj@cmmcn.com  联系。

 

 

 

声明:本文版权归亚远景科技所有,转载请注明作者及出处。

www.cmmcn.com


0
评估访谈都问些啥问题?
大家猜猜?是不是把这些答案背熟了,过级就非常顺利呢?
我们公司刚通过了CMMI5,稍后时间和大家分享一下经验。
23