上海交通大学：信息安全能力成熟度模型（IS-CMM）的建构

美国国防部下属软件工程研究所(SEI)制定的能力成熟 度模型(Capability Maturity Model，简称CMM)可被用于信息 安全流程的评估，将其称为“信息安全能力成熟度模型” (Information Security Capability Maturity Model ，简称 IS- 。 该模型在 的年度国际会议—— CMM) SEI The SEPG Conference on Tour in Asia Pac 2002——上公布(详见SEI、 和 QAI 网址中的相关会议部分 。 SoftwarePxiode ) 信息安全能力成熟度模型的开发目的是为包括企业在内 的机构提供一种基于流程的安全评估和改进体系。 对所开 发模型的主要要求包括：安全过程行为可被定义、预测和控 制，并可持续提高；体系分级合理；核心流程域 (Key Process Areas，简称KPAs)及基本实践(Basic Practices，简称 BPs)定义准确、可行；以定量化的测度作基准；利于评估和 改进双重实践；符合SEI的规范；等等。