この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
この国際標準は、システム セキュリティ エンジニアリング - 能力成熟度モデル® (SSE-CMM®) を指定します。 SSE-CMM® は、情報技術セキュリティ (ITS) ドメインであるシステムまたは一連の関連システムにセキュリティを実装するための要件に焦点を当てたプロセス参照モデルです。 ITS ドメイン内で、SSE-CMM® は ITS を達成するために使用されるプロセス、特にそれらのプロセスの成熟度に焦点を当てています。 SSE-CMM® には、特定の方法論は言うまでもなく、組織が使用する特定のプロセスを指示する意図はありません。むしろ、SSE-CMM® を利用する組織は、他の ITS ガイダンス文書に基づくプロセスであっても、既存のプロセスを使用する必要があるという意図があります。範囲には以下が含まれます。
- •概念定義、要件分析、設計、開発、統合、設置、運用、保守、廃止の完全なライフ サイクルに対応する、安全な製品または信頼できるシステムのためのシステム セキュリティ エンジニアリング活動。
- •製品開発者、セキュア システム開発者およびインテグレータ、コンピュータ セキュリティ サービスおよびコンピュータ セキュリティ エンジニアリングを提供する組織の要件。他の
- •民間から政府機関、学術機関まで、あらゆる種類と規模のセキュリティ エンジニアリング組織。
SSE-CMM® は、セキュリティ エンジニアリング能力を改善および評価するための明確なモデルですが、これは、セキュリティ エンジニアリングを他のエンジニアリング分野から切り離して実践する必要があることを意味するものではありません。それどころか、SSE-CMM® は統合を促進し、セキュリティはすべてのエンジニアリング分野 (システム、ソフトウェア、ハードウェアなど) に普及しているという見解を取り、そのような懸念に対処するモデルのコンポーネントを定義します。共通機能「調整プラクティス」は、プロジェクトまたは組織内に関与するすべての分野およびグループとセキュリティを統合する必要性を認識しています。同様に、プロセス領域「セキュリティの調整」は、セキュリティ エンジニアリング活動の調整に使用される目的とメカニズムを定義します。
1 Scope
This International Standard specifies the Systems Security Engineering - Capability Maturity Model® (SSE-CMM®). The SSE-CMM® is a process reference model focused upon the requirements for implementing security in a system or series of related systems that are the information technology security (ITS) domain. Within the ITS domain, the SSE-CMM® is focused on the processes used to achieve ITS, most specifically on the maturity of those processes. There is no intent within the SSE-CMM® to dictate a specific process to be used by an organization, let alone a specific methodology. Rather the intent is that the organization making use of the SSE-CMM® should use its existing processes, be those processes based upon any other ITS guidance document. The scope encompasses:
- • the system security engineering activities for a secure product or a trusted system addressing the complete life cycle of concept definition, requirements analysis, design, development, integration, installation, operation, maintenance and de-commissioning;
- • requirements for product developers, secure systems developers and integrators, organizations that provide computer security services and computer security engineering; and
- • all types and sizes of security engineering organization, from commercial to government and the academe.
While the SSE-CMM® is a distinct model to improve and assess security engineering capability, this does not imply that security engineering should be practised in isolation from other engineering disciplines. On the contrary, the SSE-CMM® promotes integration, taking the view that security is pervasive across all engineering disciplines (e.g., systems, software and hardware) and defining components of the model to address such concerns. The Common Feature “Coordinate Practices” recognizes the need to integrate security with all disciplines and groups involved on a project or within an organization. Similarly, the Process Area “Coordinate Security” defines the objectives and mechanisms to be used in coordinating the security engineering activities.