OWASP 软件保证成熟度模型 2.0

收益 能够根据风险对应用程序进行分类 活动 使用一种简单的方法评估每个应用程序的风险，估算在发生攻击时它对组织可能造成的潜在业务影响。为实现这一目标，需要评估数据或服务在机密性、完整性和可用性方面受到破坏的影响。可以考虑使用一组5到10个问题来了解重要的应用特性，例如该应用是否处理财务数据，是否面向互联网，或者是否涉及隐私相关数据。应用风险概况可以告诉你这些因素是否适用，以及它们是否可能对组织产生重大影响。接下来，使用一种方案根据风险对应用进行分类。一个简单的定性方案（例如高/中/低），将这些特征转化为具体数值，通常是有效的。使用这些数值来表示并比较不同应用之间的风险非常重要。成熟且高度以风险为驱动的组织可能会使用更量化的风险方案。如果你的组织已经有一个有效的风险方案，不要再发明新的方案。 好处 对你应用组合的风险水平有充分的理解。 活动 该活动的目标是彻底了解组织内所有应用的风险水平，以便将软件保障活动的精力集中在真正重要的地方。从风险评估的角度来看，基本的问题集不足以全面评估所有应用程序的风险。需要创建一种广泛且标准化的方法来评估应用程序的风险，其中包括评估其对信息安全（数据的机密性、完整性和可用性）的影响。除了安全性之外，您还需要评估应用程序的隐私风险。了解应用程序处理的数据以及可能相关的隐私违规情况。最后，研究该应用程序对组织内其他应用程序的影响（例如，该应用程序可能修改了在其他上下文中被视为只读的数据）。评估组织内的所有应用程序，包括所有现有和遗留的应用程序。利用业务影响分析量化和分类应用程序风险。简单的定性方案（例如高/中/低）不足以有效地在企业范围内管理和比较应用程序。基于这些信息，安全官利用分类来定义风险概况，以建立集中化的风险概况清单并管理责任。此清单为产品负责人、经理及其他组织利益相关者提供了应用程序风险水平的一致视图，以便为安全相关活动分配适当的优先级。好处 在应用分类发生变化时及时更新 活动 组织的应用组合会发生变化，以及应用所处的条件和约束（例如，由公司战略驱动）。定期审查风险清单，以确保对不同应用的风险评估正确无误。在企业范围内定期进行审查。此外，随着贵企业在软件保障方面的成熟，应鼓励团队持续质疑哪些环境变化可能会影响风险状况。例如，由于商业决策，内部应用可能变得可以通过互联网访问。这应促使团队重新进行风险评估，并相应更新应用程序的风险状况。在这一实践的成熟实施中，对团队进行培训并持续更新他们从这些风险评估中学到的经验教训和最佳实践。这将导致更好的执行效果以及更准确的应用风险画像。标准：存在达成一致的风险分类 | 应用团队理解风险分类 | 风险分类涵盖组织所面临的关键业务风险方面 | 组织对范围内的应用程序有清单

收益 能够根据风险对应用程序进行分类 活动 使用一种简单的方法评估每个应用程序的风险，估算在发生攻击时它对组织可能造成的业务影响。为实现这一目标，评估数据或服务在机密性、完整性和可用性方面遭受破坏的影响。可以考虑使用一组5到10个问题来了解重要的应用特性，例如该应用是否处理财务数据，是否面向互联网，或者是否涉及隐私相关数据。应用风险概况可以告诉你这些因素是否适用，以及它们是否可能对组织产生重大影响。接下来，使用一种方案根据风险对应用进行分类。一个简单的定性方案（例如高/中/低），将这些特征转化为具体数值，通常是有效的。使用这些数值来表示并比较不同应用之间的风险非常重要。成熟且高度以风险为驱动的组织可能会使用更量化的风险方案。如果你的组织已经有一个有效的风险方案，不要再发明新的方案。 好处 对你应用组合的风险水平有充分的理解。 活动 该活动的目标是彻底了解组织内所有应用的风险水平，以便将软件保障活动的精力集中在真正重要的地方。从风险评估的角度来看，基本的问题集不足以全面评估所有应用程序的风险。需要创建一种广泛且标准化的方法来评估应用程序的风险，其中包括评估其对信息安全（数据的机密性、完整性和可用性）的影响。除了安全性之外，还需要评估应用程序的隐私风险。了解应用程序处理的数据以及可能相关的隐私违规情况。最后，研究该应用程序对组织内其他应用程序的影响（例如，该应用程序可能修改在其他情况下被视为只读的数据）。评估组织内的所有应用程序，包括现有的和遗留的应用程序。利用业务影响分析量化和分类应用程序风险。简单的定性方案（例如高/中/低）不足以有效地在企业范围内管理和比较应用程序。基于这些信息，安全官利用分类来定义风险概况，以建立集中化的风险概况清单并管理责任。此清单为产品负责人、经理及其他组织利益相关者提供了应用程序风险水平的一致视图，以便为安全相关活动分配适当的优先级。好处 在应用分类发生变化时及时更新 活动 组织的应用组合会发生变化，以及应用所处的条件和约束也会变化（例如，由公司战略驱动）。定期审查风险清单，以确保对不同应用的风险评估正确无误。在企业范围内定期进行审查。此外，随着贵企业在软件保障方面的成熟，应鼓励团队持续质疑哪些环境变化可能会影响风险状况。例如，由于商业决策，某个内部应用可能会暴露在互联网上。这应促使团队重新进行风险评估，并相应更新应用的风险状况。在这一实践的成熟实施中，对团队进行培训并不断更新他们从这些风险评估中学到的经验教训和最佳实践。这将有助于更好地执行，并更准确地反映应用程序的风险状况。标准：应用风险概况符合组织的风险标准 | 应用风险概况涵盖对安全性和隐私的影响 | 您可以手动和/或自动验证风险概况的质量 | 应用风险概况存储在中央清单中

收益 能够根据风险对应用程序进行分类 活动 使用一种简单的方法评估每个应用程序的风险，估算在发生攻击时它对组织可能造成的业务影响。为实现这一目标，评估数据或服务在机密性、完整性和可用性方面遭受破坏的影响。可以考虑使用一组5到10个问题来了解重要的应用特性，例如该应用是否处理财务数据，是否面向互联网，或者是否涉及隐私相关数据。应用风险概况可以告诉你这些因素是否适用，以及它们是否可能对组织产生重大影响。接下来，使用一种方案根据风险对应用进行分类。一个简单的定性方案（例如高/中/低），将这些特征转化为具体数值，通常是有效的。使用这些数值来表示并比较不同应用之间的风险非常重要。成熟且高度以风险为驱动的组织可能会使用更量化的风险方案。如果你的组织已经有一个有效的风险方案，不要再发明新的方案。 好处 对你应用组合的风险水平有充分的了解。 活动 这个活动的目标是彻底了解组织内所有应用的风险水平，以便将软件保障活动的精力集中在真正重要的地方。从风险评估的角度来看，基本的问题集不足以全面评估所有应用程序的风险。需要创建一种广泛且标准化的方法来评估应用程序的风险，其中包括评估其对信息安全（数据的机密性、完整性和可用性）的影响。除了安全性之外，您还需要评估应用程序的隐私风险。了解应用程序处理的数据以及可能相关的隐私违规情况。最后，研究该应用程序对组织内其他应用程序的影响（例如，该应用程序可能修改了在其他上下文中被视为只读的数据）。评估组织内的所有应用程序，包括所有现有和遗留的应用程序。利用业务影响分析量化和分类应用程序风险。简单的定性方案（例如高/中/低）不足以有效地在企业范围内管理和比较应用程序。基于这些信息，安全官利用分类来定义风险概况，以建立集中化的风险概况清单并管理责任。此清单为产品负责人、经理和其他组织利益相关者提供了应用程序风险水平的一致视图，以便为安全相关活动分配适当的优先级。好处 在应用程序分类发生变化时及时更新 活动 组织的应用程序组合会发生变化，以及应用程序所处的条件和限制（例如，由公司战略驱动）。定期审查风险清单，以确保对不同应用程序的风险评估的正确性。在企业范围内定期进行审查。此外，随着贵企业在软件保障方面的成熟，应鼓励团队持续质疑哪些环境变化可能会影响风险状况。例如，由于商业决策，内部应用可能变得可以通过互联网访问。这应促使团队重新进行风险评估，并相应更新应用程序的风险状况。在这一实践的成熟实施中，对团队进行培训并不断更新他们从这些风险评估中学到的经验教训和最佳实践。这将有助于更好地执行，并更准确地反映应用程序的风险状况。标准：组织风险标准考虑历史反馈以改进评估方法 | 应用程序或业务环境的重大变化会触发对相关风险概况的审查