CISP N个模型的梳理

软件可维护性度量，

7个质量特性：可理解性，可测试性，可修改，可靠性，可移植性，可使用和效率其中可理解性和可测试性互相促进。

软件开发

10.1.3软件开发生命周期模型 

1，微软SDL 7个阶段17个安全服务

培训→需求→设计→实施→验证→发布→响应

3，CMMI软件能力成熟度模型，美国国防部资助，卡耐基梅隆大学软件工程所建立，共5个1级，初始级，2可管理级3，定义级，4，量化管理级5优化管理级 - -

4，SAMM目前由OWASP组织作为开放项目来维护，3个成熟度一个0起点.109个活动映射72个安全活动

4个核心业务功能：治理，构建，验证，部署。

5，BSI系列认为软件安全有3个支柱：风险管理，软件安全接触点和安全知识。

安全接触点，从“白帽子”，“黑帽子”两个角度出发，提出了7个工作接触点（方法），以在软件开发生命周期的每一个阶段尽可能避免和消除漏洞。

6，各软件开发生命周期模型对比图

二，其他架构模型

2.1风险管理模型CISP 3.3 

COSO报告   内部控制整合框架 - 风险管理模型 

• 3个目标：财务报告可靠性，经验效率和效果，合规性 

• 5个管理要素：内制环境，风险评估，控制活动，信息与沟通，监控 

ISO31000管理风险模型 
为所有与风险管理相关的操作提供最佳实践结构状语从句：指导 
COBIT管理风险模型 
为信息系统-状语从句：技术的治理及控制过程提供最佳实践 
组件：框架，流程描述，控制目标，管理指南，成熟度模型 

2.2常见企业安全架构CISP 1.4

舍伍德商业应用安全架构SABSA（Sherwood应用商业安全架构）

	资产（什么）	动机（为什么）	过程（如何）	人（谁）	地点（何地）	时间（何时）
背景层	业务	业务风险模型	业务过程模型	业务组织和关系	业务地理布局	业务时间依赖性
概念层	业务属性配置文件	控制目标	安全战略和架构分层	安全实体模型和信任框架	安全域模型	安全有效期和截止时间
逻辑层	业务信息模型	安全策略	安全服务	实体概要和特权配置文件	安全域定义和关系	安全过程循环
物理层	业务数据模型	安全规则，实践和规程	安全机制	用户，应用程序和用户接口	平台和网络基础设施	控制结构执行
组件层	数据结构细节	安全标准	安全产品和工具	标识，功能，行为和访问控制列表（ACL）	过程，节点，地址和协议	安全步骤计时和顺序
运营层	业务连续性保障	运营风险管理	安全服务管理和支持	应用程序和用户管理与支持	站点，网络和平台的安全	安全运营日程表

 

3.4信息安全管理体系度量 

开放群组架构   TOGAF（开放式组架构框架）

 

6.3信息系统审计

信息系统审计报告标准SAS70 和SOC ;

 

v SAS70

• 由美国注册会计师协会（AICPA ）制定的用于处理服务机构的审计标准
• 提供了一套基于服务组织（如提供IT 服务的服务组织）标准可以展示其内部控制的有效性

v SOC

• 取代SAS 70 并解决更广泛的特定用户需求，例如解决安全性，隐私和可用性问题