情報セキュリティにおけるSSE-CMMとは何ですか？

SSE-CMMは、プロセス参照モデルとして表されます。これは、情報であるシステムまたは接続されたシステムのシーケンスでセキュリティを実行するための要件に集中しています。 SSE-CMMは、組織内でセキュリティエンジニアリングを実行するための一般的なフレームワークです。可能であれば、一部の製造CMMと組み合わせて使用​​します。

SSE-CMMは、そのようなプロセスに含まれる目標とアクティビティを定義し、これらのアクティビティと手順の成熟度を実装することで達成されます。 SSECMMは、使用される特定の方法論またはプロセスのガイドラインをサポートしていません。その有用性は、組織内の現在のプロセスをモデルに含まれているプロセスと統合することにあります。

さらに、それは各組織の目的と目標に依存し、SSE-CMM内には定義されたコンテキストに適用できないさまざまなプロセスがあります。このため、組織はモデル内の複数のプラクティス間の関係を注意深く調査して、必要に応じて適用可能性を判断する必要があります。

SSE-CMMモデルは、ドメインや機能など、2つの異なるが相互に関連する領域またはディメンションに分割されます。両方のセクションで、異なるプロセス領域とアクティビティが定義されています。ドメイン関連の慣行はセキュリティドメインに向けて規制されていますが、機能の慣行はより一般的であり、幅広いドメインで使用されています。機能ディメンションは、プロセス管理と機能の制度化を示すプラクティスを定義します。

SSE-CMMは、他のCMMと同様に、Demingの作業に基づいて構築されており、プロセスの定義と改善をコアバリューとして重視し、プロセスの定義と改善に重点を置いています。

SSE-CMMは、セキュリティ上の欠陥またはインシデントの出現を確認し、欠陥を修正して全体的な障害を排除するために、関連するプロセスで欠陥を特定するように要求します。それはプロセスの改善を達成することができます、それらのプロセスは予測可能な結果で期待されるべきです。さらに、コントロールは、それらのプロセスに隣接して定義され、記述されていない必要があります。

SSE-CMMは、エンジニアリング指向の組織に組み込むための、複雑で十分にテストされたアーキテクチャです。組織が製品開発などを通じてエンジニアリングを実行する場合、通常は他のCMM内で統合されたSSE-CMMの必要性は非常に価値があります。

SSE-CMMは、エンジニアリング機能が処理されていないサービス組織に最適ではありません。 SSE-CMMには、管理情報セキュリティの観点から総合的に指導する重要な教訓が確かにありますが、それらの教訓は、エンジニアリングのコンテキスト外で実行するには複雑になります。

CMMのアプローチは非常に健全ですが、アメリカのビジネス文化にとっては非常に海外的です。プロセスの統計分析から始まり、それらの統計を使用してプロセス内の欠陥を特定し、プロセスに対する洞察を改善し、プロセスに関する継続的な品質改善の環境を促進するという最終目的に向かっていると考えられています。