TSM可信研发运营安全能力成熟度评估服务-
适用于:其他
商品简介:TSM可信研运安全能力成熟度评估强调安全开发,标准制定过程广泛邀请包括金融、运营商、软件厂商、安全厂商等专家参与,搭建通用可信研发运营安全体系架构,抽取关键安全要素,建立评价模型。
商品亮点:对标业界优秀实践,帮助企业构筑全生命周期安全体系,量化企业安全水平,明确企业安全现状和后续改进计划,建立行业互信机制,构建安全可信生态,助力企业业务发展
商品说明
| 版本: V1.0 | 交付方式: 人工服务 |
| 适用于: 其他 | 上架日期: 2024-04-07 01:13:40 |
一、TSM评估整体介绍
TSM可信研运安全能力成熟度评估以公司为维度,通过具体项目进行安全能力验证。具体测评以一个连贯的项目产品线为主体,验证其可以达到研发运营安全体系能力要求,同时对于其他产品线做抽样交叉验证。
TSM可信研运安全能力成熟度评估强调应用服务全生命周期安全,划分为管理制度以及要求阶段、安全需求分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、运营阶段、停用下线阶段九个子域,具体指标项包括组织架构、制度流程、安全培训、第三方管理、安全门限要求、项目角色及权限管理、安全审计、环境管理、配置管理、变更管理、配置审计、 开源 及依赖组件管理、安全研发要求、安全需求分析、安全需求知识库、安全设计原则、受攻击面分析、威胁建模、风险消减设计、安全编码、代码安全审查、管理开源及依赖组件安全风险、开源及依赖组件确认、安全测试、 漏洞扫描 、模糊测试、 渗透测试 、发布管理、安全性检查、事件响应计划、安全监控与防护、安全运营、风险评估、应急响应、升级与变更管理、服务与技术支持、运营反馈、服务下线方案与计划等38项,根据各阶段指标项分级能力要求,将企业研发运营安全能力划分为基础级、增强级、先进级三个级别。
二、TSM评估实施计划
TSM可信研发运营安全能力成熟度评估在执行过程中,具体可分为可拆分为评估准备、正式评估、材料申报和证书管理三大部分。
| 实施项 | 实施内容 |
| 评估准备 |
1、提供《可信研发运营安全能力成熟度模型》标准文件、测试用例等相关文档材料; 2、依据《可信研发运营安全能力成熟度模型》标准要求,提供模型标准解读与答疑。 |
| 正式评估 |
1、开展为TSM可信研发运营安全能力成熟度现场评估工作; 2、整理所有证明材料,编写TSM可信研发运营安全能力成熟度评估报告。 |
| 材料申报和证书管理 |
1、辅助完成评估答辩准备工作; 2、筹备专家评审会,进行专家评审; 3、测评等级证书颁发和宣发。 |
