E-mail : lcwu@cht.com.tw 「資訊安全國家標準草案之研擬」計畫 之 軟體處理評估分項計畫 主講者:吳林全 先生 E-mail : lcwu@cht.com.tw.

Slides:



Advertisements
Similar presentations
演講人:黃曉雯. 2 CMMI 介紹 CMMI 模式 CMMI 通過評鑑組織單位 CMMI 架構 CMMI 導入益處 CMMI 應用 3.
Advertisements

偵辦侵害營業秘密犯罪之執行情形 法務部調查局. 一、前言 ( 一 )102 年 1 月 30 日公告施行營業秘密法 ( 一 )102 年 1 月 30 日公告施行營業秘密法 修正案,增加侵害營業秘密之刑事 修正案,增加侵害營業秘密之刑事 責任,對於意圖在境外使用而竊取 責任,對於意圖在境外使用而竊取.
等可能性事件的概率(二) 上虞春晖中学数学组欢迎你! 1 本课件制作于 §10.5 等可能事件 的概率 ( 二 )
建置人事機構區域性多功能運作 社群簡報 行政院國軍退除役官兵輔導委員會 人事處處長王旭統 100 年 5 月.
县级实施妇女儿童发展纲要 的途径和方法 —— 制定和实 施县级跨部门行动计划 国务院妇儿工委办公室 儿童处 2014 年 6 月.
1 計量技術人員考訓制度. 2 簡 報 大 綱 計量考訓制度簡介 應考須知說明 考試範圍內容、題型及配分權重.
常識科分享會 6/11/2004 常識科新課程的實踐與評估 教育統籌局 課程發展處 小學校本課程發展組.
徐州工业职业技术学院. 人才市场需求 2013 年我国安全类专业统计表 学历层次专业名称专业代码毕业生数招生数在校生数开设学校数 本科 安全工程 专科 安全技术管理 中专 0000.
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
第三章 人力資源規劃 授課教師: 人力資源管理:以合作觀點創造價值 3/e.簡建忠著.前程文化 出版.
文書處理 總務處文書組長 楊琇惠 主講.
微软项目管理 案例分析.
科學論文 鰂魚涌街的衛生情況 作者:廖梓芯 學校:北角官立上午小學 班級:P.5A.
环科系12级毕业实习动员会 -平安、感恩、责任
國立屏東科技大學通識教育中心 助理教授 王國安
什么是伸展? 无论你是久坐的生活型态或是爱好运动的人,伸展可让你身体柔软,为接下来的动作做好准备,也可以让运动后的肌肉柔缓放松。
上海九晶电子材料股份有限公司 招聘简章.
政府採購錯誤行為態樣 報告人:張錦川 日 期:96年7月.
方案設計與評估.
現代中國 議題: 「一帶一路」.
2009年周口市公共机构高效照明产品推介会
拓 展 培 训 师 基础教程.
香港浸會大學 - 全人教育 卓越創新 陳新滋教授 香港浸會大學校長 2011年2月24日.
软件工程实践 软件学院 高海昌 作业提交 课件下载
软件质量保证与测试 第2讲 软件测试的基本概念和方法
第一章 绪论 ——HR开发与管理的战略性角色 杨生斌
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
運輸安全白皮書(Ⅲ) 軌道安全篇 主辦單位:運輸安全組.
微博红人:留几手.
激發愛心 彼此相顧.
招投标知识培训 培训人: 日期:2011年04月08日 西安翼舞时风数码科技有限公司.
《成佛之道》序~第三章 圓融 /
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
第一单元 走进化学世界 课题 1 化学使世界变得更加绚丽多彩.
岡山區103年第12次 登革熱聯繫會報會議 岡山區公所 103年12月30日 1.
第9章 系統建置.
『兩岸四地- 校園節能文化推廣』 座談會 2008年1月26日 澳門大學 校園管理總監 宋傑堯.
物流账册系统介绍 2012年5月16日 北京.
中国教科文卫体工会全国委员会 陈志标 (2012年5月9日,中山大学)
第一節 進入職場前的準備 第二節 培養求職能力 第三節 當前的就業趨勢 第四節 新世代工作地圖
實踐大學高雄校區 行政工作之策勵與精進 2017年3月19日星期日.
大气的受热过程 周南中学.
劉孟奇 國立中山大學政治經濟學系教授 副教務長暨高高屏教學資源中心執行長
物质的组成、性质及变化 物质的组成 构成物质的微粒 微粒间的相互作用 物质的分类 按状态分类 按组成分类 物质的性质 物理性质 化学性质.
软件质量保证与测试 第4讲 软件测试依据和规范
題目:你明白你所唸的嗎? 講員:陳波 經文:徒 八章 廿六—卅九.
东宝大厦简介及服务特色.
滨海学坛 周刊 总第13期 2012年10月22日 本期编辑:李秀青 温州滨海学校教科室主办.
质量管理 刘春霞
第7章 廉洁行政与行政监督 主讲:张等菊.
臺北市特殊教育校園融合 聽覺障礙篇 臺北市政府教育局 發行 臺北市立中山女子高級中學 彙編.
CDIO工程教育理念下的 人才一体化培养体系探索 信息科学技术学院 吴丽华 2013年10月29日.
马克思主义基本原理概论 第三章 人类社会及其发展规律.
第14屆(102年)研究助理研習營 財物與勞務 採購程序與核銷作業
財物及勞務採購作業程序及注意事項 報告人 劉麗琴
软件工程 Software Engineering
JiRA 淘宝 2008年5月.
統計製程品管與製程能力分析 Kenji Pan 統計製程品管與製程能力分析 Kenji Pan
第十三章 資訊管理的系統開發觀點.
管理篇 第四章 软件风险管理 什么是风险? 风险分析 风险管理.
運用能力成熟度模型改善企業網站開發之績效 ─以某中小企業為例
臺北市特殊教育校園融合 聽覺障礙篇 臺北市政府教育局 發行 臺北市立中山女子高級中學 彙編.
銘傳大學 商品設計學系 副教授兼系主任 衛 萬 里 博士 最高學歷 國立台灣科技大學設計研究所 設計學博士 教學研究
ISO9004 质量管理体系 业绩改进指南 宣贯培训 ——杭州北航企业管理服务有限公司
學生學習檔案製作經驗分享 國際貿易實務課程研習 -- 多元升學與技能證照 2010 /04 /30 台中家商
4.環境管理系統與稽核 一個系統化的方法去達成妳設定的環境目標 環境政策 規劃 執行 檢查/矯正 管理審查 持續 改善.
求職防騙面面觀 不累生活文化有限公司 行政總監 賴永洲.
方案假設 因果連結 (如果…就會…) 將問題情況轉變為所需服務 確保方案的合理性 利於方案評估 例:青少年墮胎
2 第二章 软件项目管理.
看圆如何七十二变 微建筑早课.
Presentation transcript:

E-mail : lcwu@cht.com.tw 「資訊安全國家標準草案之研擬」計畫 之 軟體處理評估分項計畫 主講者:吳林全 先生 E-mail : lcwu@cht.com.tw

簡報大綱 簡介 ISO 12207 — 軟體生命週期之程序 ISO 15504 — 軟體程序評鑑 結語與討論

簡介

IT 安全之階層化示意

「資訊安全國家標準草案之研擬」計畫 軟體程序評鑑分項計畫(計畫主持人:劉燦雄 博士) 資訊安全產品驗證分項計畫 資訊安全管理驗證分項計畫 資訊安全管理認證程序分項計畫 資訊安全機制標準規範實作研擬分項計畫

軟體程序評估分項計畫成果 軟體生命週期之程序 軟體程序評鑑 系統及軟體完整性等級 符合 IEEE/EIA P12207.0 之我國國家標準草案 符合 IEEE/EIA P12207.1 之我國國家標準草案 符合 IEEE/EIA P12207.2 之我國國家標準草案 軟體程序評鑑 符合 ISO/IEC TR 15504-1 之我國國家標準草案 符合 ISO/IEC TR 15504-2 之我國國家標準草案 符合 ISO/IEC TR 15504-3 之我國國家標準草案 符合 ISO/IEC TR 15504-4 之我國國家標準草案 符合 ISO/IEC TR 15504-5 之我國國家標準草案 符合 ISO/IEC TR 15504-6 之我國國家標準草案 符合 ISO/IEC TR 15504-7 之我國國家標準草案 符合 ISO/IEC TR 15504-8 之我國國家標準草案 符合 ISO/IEC TR 15504-9 之我國國家標準草案 系統及軟體完整性等級 符合 ISO/IEC 15026 之我國國家標準草案

緣由 軟體開發工作的複雜性甚高,大部分情況會發生錯誤而只有少許的機會能正確運作無誤 瞭解軟體開發時所涉及的程序種類,以及根據某些指標來評估所使用程序的成熟度,可利用評估後的結果來改善軟體的品質,以提昇系統和產品的安全性及可靠度。 若能遵循某種程序、規則或綱要指引,則: 吾人可使用相似的方法來解決類似的問題 吾人總是能知道下一步如何進行 吾人能累積經驗以改進方法 軟體開發工作將是可確定 軟體開發工作能被控管

ISO/IEEE 12207 軟體生命週期之程序

程序的種類 主要生命週期程序 (Primary) 組織生命週期程序 (Organizational) 支援生命週期程序 1.客戶及供應者 2.工程技術 組織生命週期程序 (Organizational) 1.管理 2.組織 支援生命週期程序 (Supporting)

主要生命週期程序(Primary)

支援生命週期程序(Supporting)

組織生命週期程序(Organizational)

ISO 12207 定義的所有程序 支 援 主 要 組 織 支援 顧客與供應者 管理 工程技術 組織 程序種類 程序 SUP.1 文件說明 (7) SUP.2 組態管理 (9) SUP.3 品質保證 (7) SUP.4 驗證 (4) SUP.5 確認 (4) SUP.6 共同覆審 (8) SUP.7 稽核 (8) SUP.8 問題排除 (6) 支 援 主 要 基本 顧客與供應者 CUS.1 取得 (3) CUS.1.1 取得籌備 (4) CUS.1.2 選擇供應商 (3) CUS.1.3 監督供應商 (4) CUS.1.4 顧客接受度 (2) CUS.2 供應 (5) CUS.3 需求抽取 (6) CUS.4 運作 (3) CUS.4.1 運作使用 (8) CUS.4.2 顧客支援 (5) 子程序 組 織 管理 MAN.1 管理 (8) MAN.2 專案管理 (12) MAN.3 品質管理 (6) MAN.4 風險管理 (8) 工程技術 ENG.1 開發 (4) ENG.1.1 系統需求分析及設計 (7) ENG.1.2 軟體需求分析) (6) ENG.1.3 軟體設計 (5) ENG.1.4 軟體建構 (4) ENG.1.5 軟體整合 (6) ENG.1.6 軟體測試 (4) ENG.1.7 系統整合及測試 (8) ENG.2 系統及軟體維護 (7) 組織 ORG.1 組織調整 (5) ORG.2 改善 (4) ORG.2.1 程序建立 (9) ORG.2.2 程序評等 (10) ORG.2.3 程序改善 (9) ORG.3 人力資源管理 (10) ORG.4 基礎架構 (7) ORG.5 評定 (7) ORG.6 重新使用 (7) 共有 249 項基本實務

範例:程序定義 ENG.1.3 軟體設計(Software Design) purpose note 目的 軟體設計程序的目的係定義適當的軟體設計,以實現其需求條件並可 依該需求來進行測試。 結果 — 發展一架構性的設計,以說明將實現軟體需求的主要軟體元件; — 定義每一軟體元件的內部和外部介面; — 發展細部的設計,以說明可製作和測試的軟體單元; — 在軟體需求和軟體設計之間建立一致性。 備註 細部的設計包括軟體單元之間的介面規格。 note

ISO 15504 軟體程序評鑑

ISO 15504 歷史沿革 1987~1989 美國 SEI 開始相關的計畫 1991 美國 SEI 公布能力成熟度模型(CMM) 1.0 版 ISO 成立程序評鑑的工作小組 1993 ISO 著手制訂程序評鑑的國際標準 美國 SEI 公布能力成熟度模型(CMM) 1.1 版 1995 ISO 公布 SPICE 草案標準 1996 ISO 公布 SPICE 2.0 版 1998 ISO 公布 15504 技術報告 2001 ISO 預計定案及公布 15504 標準(?)

SPICE 計畫 計畫目標: 滿足軟對評鑑軟體程序能力日益增加的要求 提供組織良好的程序評鑑架構 統合現有的軟體程序評鑑及改善之模型與方法

ISO/IEC TR 15504 標準由來: 內容: 特性: 1998 年由 ISO/IEC/JTC1 SC7 WG10 負責將 SPICE V2 轉換成軟體程序評鑑的國際標準 內容: 程序評鑑 勝任評鑑員的培訓 程序能力判定 持續程序改善 特性: 牽涉廣泛 包括軟體的獲取、供應、發展、操作、維護及支援等工作程序 模組化 允許選取個別的程序來進行評鑑 每個評鑑後的程序會獲得一個能力的標度(scale)

實施 ISO 15504 的好處 對需用者而言能提供: 對供應者而言能提供: 對評鑑員而言能提供: 判定軟體供應者程序之現有或潛在的能力 判定本身軟體程序之現有或潛在的能力 定義軟體程序改善之範圍及優先次序 定義軟體程序改善之準則及架構 對評鑑員而言能提供: 實施程序評鑑的一致性架構

ISO 15504 各冊的內容

軟體程序評鑑各組成元件之關係

參考模型與評鑑模型之關連性

評鑑模型 vs. 參考模型

程序之參考模型

程序之評鑑模型 利用二維圖形來表示程序及程序能力 程序經評鑑後會獲得一個能力等級之評估結果 程序(Process) 面向 程序種類 (Process Categories) 程序 (P1, …, Pn) 能力(Capability) 面向 能力等級 (CL1, …, CL5) 程序之能力屬性 (Attributes) 程序經評鑑後會獲得一個能力等級之評估結果 CL5 CL4 CL3 CL2 CL1 CL0 CUS.1 CUS.2...ORG.6

軟體程序評鑑

程序評鑑之流程

Level 0 : 未完成程序(Incomplete) 定義:未實作該程序,或是實作了該程序但未能 達到其目的。 證據:欠缺可證實達成目的之工作產出。

Level 1 : 已執行程序(Performed) 定義:已經達到程序目的,但該成果可能未詳細 規畫和追蹤。 證據:具有可證實達成目的之工作產出。

Level 2 : 已管理程序(Managed) 定義:程序經詳細計畫和追蹤並依規定程序交出 工作產出,且其必須符合規定的標準和需求 條件。 證據:程序能在既定時間內,利用所需資源交付 可接受的工作產出品質。

Level 3 : 已建置程序(Established) 定義:使用基於良好軟體工程方法之既定程序來 加以執行和管理。 證據:使用能夠達成其程序結果的既定程序(defined process)。

Level 4 : 可預測程序(Predictable) 定義:既定程序在實務上係一致地在所定義的控管 範圍內執行,以達成其既定的程序目標。 證據:對程序能力以量化來表示,並能預測及管理 已改善的能力。故一致地在所定義的限制中 執行,以達成既定的程序結果。

Level 5 :最佳化程序(Optimizing) 定義:所實作的程序可達到重複性,以符合其所定 義的業務目標,並建置量化的程序有效性 (effectiveness)和效率(efficiency)的績效目標。 證據:導入創新的理論和技術,以及變更非有效的 程序,可動態變更和調整,以有效地符合目 前和未來的業務目標。

程序屬性及能力等級 Level 5 最佳化 Level 4 可預測 Level 3 已建置 Level 2 已管理 Level 1 已執行 PA.5.1 程序變更 PA.5.2 持續改善 最佳化(Optimising) 對持續改善的程序作量化評定 Level 4 可預測 PA.4.1 評 定 PA.4.2 程序控制 可預測(Predictable) 量測單位致使程序效能及結果可控制 Level 3 已建置 PA.3.1 程序定義 PA.3.2 程序資源 已建置(Established) 修改預先定義的程序供特殊用途且資源受到管理 Level 2 已管理 PA.2.1 效 能 管 理 PA.2.2 工作產出管理 已管理(Managed) 程序及工作產出受管理且能歸屬責任 Level 1 已執行 PA.1.1 程序效能 已執行(Performed) 程序直覺地執行而輸入與輸出的工作產出皆可用 未完成(Incomplete) 效能及結果都是不完整且凌亂的程序 Level 0 未完成

能力判定之流程

程序指標 vs. 能力等級

程序屬性的標度

程序的能力等級

範例:程序評鑑 目標:欲對客戶在開發軟體的需求程序進行評鑑 可能選取的實作程序為: 工作內容: CUS.2 供應 CUS.3 需求引出 ENG.1.1 系統需求及設計 ENG.1.2 軟體需求分析 SUP.1 文件製作 工作內容: 訪談專案經理及相關的軟體發展人員 檢視合約內容、軟體需求規格、使用者需求描述及變更請求記錄等文件

範例:程序評鑑(續) 能力判定的步驟: 檢查每個程序的基本實務以確定此程序為已執行程序(Level 1) 每個程序皆會得到 N, P, L 或 F 其中之一的標度 若其標度為 N 或 P,則執行此程序的能力為 Level 0 若標度為 L 或 F,則此程序可能具備更高能力等級的屬性 CL5 CL4 CL3 CL2 CL1 CL0 CUS.2 CUS.3 ... SUP.1

依程序屬性來表示評鑑結果

評鑑後的程序能力等級

程序改善之流程

資料來源:SEI 1999 “Process Maturity Profile of Software Community” 程序改善所需的時間 資料來源:SEI 1999 “Process Maturity Profile of Software Community”

結語及討論

結語 Bruce Schneier : 「Security is a process, not a product」 標準化的軟體程序評鑑架構及方法,有助於加速軟體工業的蓬勃發展及提升軟體的品質

參考文獻 ISO/IEC 12207 Series Standard, 1995 K. El Emam and D. Goldenson, “An Empirical Review of Software Process Assessment”, 2000 K. El Emam and H.W. Jung, “An Empirical Evaluation of the ISO/IEC 15504 Assessment Model”, 2000 K. El Emam and A. Birk, “Validating the ISO/IEC 15504 Measure of Software Requirement Analysis Process Capability”, 1999 K. El Emam, “The Internal Consistency of the ISO/IEC 15504 Software Process Capability Scale”, 1995 Steve McConnell, “After the Gold Rush”, 1999

討論 Any question ?