ISO/IEC 21827 (SSE-CMM)
ISO/IEC 21827 (SSE-CMM)
Capability Maturity Model (SSE-CMM®) / Model der Ablaufstauglichkeit
© unsplash.com - Annie Spratt
Capability Maturity Model (SSE-CMM®) / Model der Ablaufstauglichkeit
© unsplash.com - Annie Spratt
Titel: | Informationstechnik |
Arbeitsgebiet: | IT-Sicherheitsverfahren |
Name des Standards: | Capability Maturity Model [SSE-CMM®] Model der Ablaufstauglichkeit |
Inhalt und Anwendungsbereich
Ziel des Dokumentes ist es, Informationssicherheit mittels eines Prozess-Referenz-Modells darzustellen. Der Standard wurde Mitte der Neunziger Jahre in den USA von staatlichen Behörden und einigen Großunternehmen aus dem allgemeinen Reifegradmodell dem sog. Capability maturity model (CMM), das besonders in der Softwareentwicklung verbreitet ist, weiterentwickelt und an die speziellen Anforderungen des Sicherheitsmanagements angepasst.
Es dient dem Managen von Sicherheit in einer Organisation, indem es die einzelnen Aktivitäten – also das “Wie” – beschreibt. Der organisatorische Reifegrad in Bezug auf das Sicherheitsmanagement wird betrachtet. Das Dokument richtet sich an den IT-Sicherheitsbeauftragten einer Organisation.
Methodik
Der Standard unterteilt die sichere Systementwicklung in drei voneinander abhängige Hauptprozesse: Risiko, Vertrauenswürdigkeit und System-Lebenszyklus. Es beschreibt generische und Basis-Aktivitäten. Diese Aktivitäten befähigen eine Organisation zur Entwicklung und Einführung eines systematischen, wohl definierten Prozesses, der es ihr ermöglicht, einen bestimmbaren Reifegrad zu erreichen.
Das Prozess-Referenz-Modell hat zwei Dimensionen (domain und capability), die nach Aktivitäten strukturiert sind. Die Basis-Aktivitäten teilen sich in solche, die zur sicheren Entwicklung erforderlich sind und andere, die zur Projektorganisation beitragen. Die 61 auf die sichere Entwicklung bezogenen Basis-Aktivitäten werden in elf Prozess-Bereiche zusammengefasst. Bezogen auf die Projektorganisation werden weitere 68 Basis-Aktivitäten (zusammengefasst in wiederum elf Prozess-Bereiche) dargestellt. Die generischen Aktivitäten, die auf alle Prozesse anwendbar sind, lassen sich fünf Fähigkeitsstufen geordnet nach aufsteigendem Reifegrad zuordnen. Folgende Reifegrade sind in SSE-CMM vorgeschlagen:
Reifegrad | Bezeichung | Erläuterung |
0 | Nicht umgesetzt | |
1 | Formlos umgesetzt | Es existieren zwar einzelne Maßnahmen. Ein wirklicher Prozess ist aber kaum organisiert und noch sehr instabil |
2 | Geplant und weiterverfolgt | Ein stabiler Prozess existiert und wird in Projekten mit einem Projektmanagement gelebt |
3 | Gut definiert | Ein Prozess ist definiert und es existiert ein Prozessmodell, das eine konsistente Implementierung des Prozesses sicherstellt |
4 | Quantitativ kontrolliert | Es existieren Prozessmessungen und Prozessdatenanalysen, die für die Weiterentwicklung des Prozesses genutzt werden |
5 | Kontinuierlich verbessernd | Das Management ist regelmäßig in die Prozessbewertung und die weitergehende Prozessoptimierung einbezogen |
Über vordefinierte Prüflisten lässt sich ohne großen Aufwand der eigene Status für die einzelnen Sicherheitsprozesse innerhalb einer sechsstufigen Skala ablesen und somit auch ein Benchmarking und ein Zielbeschreibung durchführen. Somit ist dies ein guter Folgeschritt nach der Etablierung eines ISMS, zum Beispiel nach ISO/IEC 27001 oder IT-Grundschutz.
Aber auch in der Entwicklungs- und Etablierungsphase lohnt sich ein Blick in diesen Standard, da hier Teilprozesse teilweise stärker konkretisiert sind, als dies etwa in BS 7799 der Fall ist.
Weitere Anmerkungen
Das Dokument ist generisch gehalten, um auf alle Organisationen unbeachtet Typ, Größe und Geschäftsfeld anwendbar zu sein. Das Dokument beinhaltet Anforderungen an den Managementprozess, der mittelbar zur Informationssicherheit beiträgt. Die einzelnen Aktivitäten des Managementprozesses werden detailliert beschrieben und begründet. Elemente des Managementsystems werden nicht dargelegt. Der Fokus liegt also eindeutig auf dem “Prozess”.
Bisherige Ausgaben
ISO/IEC 21827:2008
ISO/IEC 21827:2002
ISO/IEC 15408 (CC) |
|
||||||
ISO/IEC TR 15443 |
|
||||||
ISO/IEC 18045 |
|
||||||
ISO/IEC TR 19791 |
|
||||||
ISO/IEC 19790 (FIPS 140-2) |
|
||||||
ISO/IEC 24759 |
|
||||||
ISO/IEC 19792 |
|
||||||
ISO/IEC 21827 (SSE-CMM) |
|
||||||
ISO/IEC TR 15446 |
|