專利名稱:一種輔助評估信息安全能力成熟度方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全服務技術(shù)領(lǐng)域,尤其涉及一種輔助評估信息安全能力成熟度方法和系統(tǒng)�。
背景技術(shù):
成熟度是指對一種能力評估的量化方法。如評估軟件開發(fā)過程能力���,就采用CMMI來評估成熟度��。信息安全服務企業(yè)在開展信息安全業(yè)務的過程中�,往往需要對客戶的信息安全能力進行評估��,并協(xié)助客戶進行信息安全規(guī)劃����。這往往需要企業(yè)充分了解客戶的信息安全現(xiàn)狀��、發(fā)展規(guī)劃、建設(shè)過程等信息�,才能較為客觀的評估出客戶的信息安全能力,才能針對客戶的實際問題���,制定有針對性的規(guī)劃案�,切實解決客戶信息安全建設(shè)過程中的難點和盲點����。主要使用的技術(shù)包括1、客戶關(guān)系管理系統(tǒng)(CRM- Customer Relationship Management)用于對客戶的情況進行記錄�。2、知識庫(Knowledge Base)��。用于知識的分類��、存儲�����、共享���、傳承等��。其中�,包括客戶的相關(guān)知識。3�����、專家調(diào)研系統(tǒng)�����。通過派駐資深的專家���,對客戶的信息安全情況進行調(diào)研����。4����、雷達圖及格式文檔。用于通過專家根據(jù)收集的各種資訊���,以IS027001為基礎(chǔ)���,結(jié)合個人經(jīng)驗繪制客戶信息安全成熟度雷達圖���,并在此基礎(chǔ)上,通過與客戶反復磋商��、探討��,最終形成信息相關(guān)格式文檔���。然而,現(xiàn)有技術(shù)中的信息安全服務系統(tǒng)中的上述4個方面都存在一定的不足
A�、客戶關(guān)系管理系統(tǒng)(CRM- Customer Relationship Management)客戶關(guān)系管理系統(tǒng)一般應用于市場相關(guān)部門,雖然會詳細記錄與客戶經(jīng)營活動相關(guān)的信息�,但側(cè)重點在經(jīng)營活動,對客戶的動態(tài)信息化狀況��、信息化規(guī)劃����、安全規(guī)劃等往往較少涉及。此外����,企業(yè)中的咨詢顧問、實施工程師、技術(shù)人員��、開發(fā)人員�、情咨人員等,往往都從不同的維度對客戶的情況有一定的了解����,所以,客戶關(guān)系管理系統(tǒng)無法完整的記錄客戶的相關(guān)信息�。B、知識庫(Knowledge Base)一般針對企業(yè)已有的文獻���、資料���、郵件等內(nèi)容進行知識管理,缺乏有效的機制�����,將分散在各個職能體系中的員工將了解到的客戶信息進行知識記錄��。此外���,對客戶信息安全資訊的傳承���,一般依靠傳統(tǒng)方式��,客戶經(jīng)理或者咨詢專家離職將導致許多重要的信息缺少傳承����。C�����、專家調(diào)研過程中���,需要對客戶方各個層級的員工進行調(diào)研,以求充分了解客戶的信息安全現(xiàn)狀��、需求等�,結(jié)合客戶方的業(yè)務發(fā)展規(guī)劃來進行信息安全能力成熟度評估。往往在調(diào)研過程中存在重復調(diào)研����、調(diào)研內(nèi)容不完善、調(diào)研結(jié)果欠真實等問題���。特別是隨著互聯(lián)網(wǎng)的發(fā)展��,客戶的許多資訊可以參考互聯(lián)網(wǎng)披露的信息���。所以�����,靠短時間的專家調(diào)研實現(xiàn)對客戶情況的洞悉往往不太可靠����,應該結(jié)合日常工作���,逐步積累���、豐富客戶的資訊,將銷售���、技術(shù)�����、研發(fā)�、實施等各種人員所了解的信息進行有效匯總(結(jié)合審核機制���,確保信息準確)�����,來提高調(diào)研結(jié)果的準確度和調(diào)研效率����。D、雷達圖的繪制一般缺乏工具�,往往憑借專家所掌握的資訊進行人工繪制,雷達圖選取的項目雖然一般固定�����,但是項目指標范圍���、指標取值算法等缺乏約定的機制,這往往導致不同的專家評估出的結(jié)果差異很大��;格式文檔往往依托專家知識進行手工編輯�����,特別是對客戶信息安全現(xiàn)狀分析����、建設(shè)路線圖等需要參考大量的客戶資訊��,資訊的缺乏�����、資訊的不準確都直接影響格式文檔的質(zhì)量����。有鑒于上述內(nèi)容中提到的缺陷���,現(xiàn)有技術(shù)有待改進和提聞��。
發(fā)明內(nèi)容
鑒于現(xiàn)有技術(shù)的不足�,本發(fā)明目的在于提供一種輔助評估信息安全能力成熟度方法和系統(tǒng)����。旨在解決現(xiàn)有技術(shù)中信息安全服務中存在的客戶關(guān)系管理系統(tǒng)不足,知識庫信息缺失����、過度依賴專家系統(tǒng)等問題。本發(fā)明的技術(shù)方案如下
一種輔助評估信息安全能力成熟度方法��,其中,所述方法包括以下步驟
51�、預先定義一成熟度評估數(shù)據(jù)庫,其包括信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域、建設(shè)領(lǐng)域的建設(shè)方向�、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件;
52��、根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫����,建立客戶信息安全成熟度評估模型;
53���、對客戶信息進行增量錄入和維護�,并根據(jù)維護進去的數(shù)據(jù)信息����,進行指標值設(shè)定和調(diào)優(yōu)����;
54��、通過選取信息安全建設(shè)成熟度模型��、模型建設(shè)領(lǐng)域����、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息����,結(jié)合各種維護的數(shù)據(jù)信息,按照雷達圖原理����,自動輸出評估報告。所述的輔助評估信息安全能力成熟度方法����,其中,所述步驟S2中客戶需求包括行業(yè)特點����、監(jiān)管要求和用戶數(shù)量。所述的輔助評估信息安全能力成熟度方法�����,其中,所述步驟S2中具體包括以下步驟
521�����、根據(jù)客戶需求和相應的安全目標�����,建立一客戶信息安全成熟度評估模型��;
522�����、根據(jù)所述客戶信息安全成熟度評估模型�����,并結(jié)合用戶輸入的專家分析數(shù)據(jù)和客戶訪談數(shù)據(jù)確定若干建設(shè)領(lǐng)域�;
523、根據(jù)客戶輸入的企業(yè)數(shù)據(jù)信息在不同的建設(shè)領(lǐng)域選擇相應的建設(shè)方向�����;
524���、給不同的建設(shè)方向設(shè)置不同的評估指標�。所述的輔助評估信息安全能力成熟度方法���,其特征在于���,所述步驟S4中還包括以信息安全建設(shè)成熟度模型、模型建設(shè)領(lǐng)域��、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息為縱坐標���,以時間為橫坐標���,動態(tài)生成能力趨勢分析圖表。一種輔助評估信息安全能力成熟度系統(tǒng)�,其中,所述系統(tǒng)包括
成熟度評估數(shù)據(jù)庫�����,其包括信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域�、建設(shè)領(lǐng)域的建設(shè)方向��、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件���;
建模單元��,用于結(jié)合客戶需求和成熟度評估數(shù)據(jù)庫�����,建立客戶信息安全成熟度評估模
型�;
維護單元����,用于對客戶信息進行增量錄入和維護,并根據(jù)維護進去的數(shù)據(jù)信息����,進行指標值設(shè)定和調(diào)優(yōu);
評估單元���,用于通過選取信息安全建設(shè)成熟度模型���、模型建設(shè)領(lǐng)域���、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息�����,結(jié)合各種維護的數(shù)據(jù)信息��,按照雷達圖原理���,自動生成評估報告�。有益效果本發(fā)明提供的一種輔助評估信息安全能力成熟度方法和系統(tǒng)����,采用預先定義一成熟度評估數(shù)據(jù)庫,根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫��,建立客戶信息安全成熟度評估模型����;對客戶信息進行增量錄入和維護,并根據(jù)維護進去的數(shù)據(jù)信息�,進行指標值設(shè)定和調(diào)優(yōu)�����,自動輸出評估報告等方法步驟����,實現(xiàn)統(tǒng)一的客戶信息安全資訊收集����、分類,并自動傳承����。新方案支持所有與客戶打交道的內(nèi)部人員共同建設(shè)和維護客戶的信息安全資訊,降低信息安全能力成熟度評估的工作量和對專家水平的依賴�����,為準確進行評估信息安全能力成熟度提供了方便�。
圖1本發(fā)明一種輔助評估信息安全能力成熟度方法的流程圖。圖2本發(fā)明一種輔助評估信息安全能力成熟度方法中建立客戶信息安全成熟度評估模型的方法流程圖��。圖3本發(fā)明一種輔助評估信息安全能力成熟度系統(tǒng)的結(jié)構(gòu)原理圖�����。圖4本發(fā)明一種輔助評估信息安全能力成熟度系統(tǒng)的具體應用實施例示意圖。
具體實施例方式本發(fā)明提供一種輔助評估信息安全能力成熟度方法和系統(tǒng)�����,為使本發(fā)明的目的����、技術(shù)方案及效果更加清楚����、明確,以下對本發(fā)明進一步詳細說明���。應當理解���,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�����。如圖1所示���,本發(fā)明提供了一種輔助評估信息安全能力成熟度方法���,所述方法包括以下步驟
S1�、預先定義一成熟度評估數(shù)據(jù)庫��,其包括信息安全建設(shè)成熟度模型���、模型建設(shè)領(lǐng)域���、建設(shè)領(lǐng)域的建設(shè)方向、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件�。首先需要預先定義一成熟度評估數(shù)據(jù)庫,該成熟度評估數(shù)據(jù)庫的定義包括以下幾個方面的內(nèi)容信息安全建設(shè)成熟度模型�����、模型建設(shè)領(lǐng)域����、建設(shè)領(lǐng)域的建設(shè)方向、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件����。對于上述的信息安全建設(shè)成熟度模型,對其的定義一般參照IS027001�、等級保護等國內(nèi)外法規(guī)及標準來制定�����。如政府機構(gòu)��、央企等一般結(jié)合兩者進行信息安全規(guī)劃和建設(shè)�。本方法先制定一些客戶普遍接受的信息安全成熟度評估模型���,按法規(guī)來劃分的話��,一般包括等保三級模型、等保三級增強模型��、等保四級模型�����、等保五級模型等�����;按行業(yè)來劃分的話����,一般包括電子商務企業(yè)模型����、大型制造業(yè)企業(yè)模型�、金融企業(yè)模型等。針對某一個具體客戶�,一般經(jīng)過調(diào)研和分析,選擇其中一個模型即可����。對于模型建設(shè)領(lǐng)域,對其的定義以IS027001為例�����,一般分為信息安全方針建設(shè)���、信息安全組織建設(shè)���、資產(chǎn)管理、人力資源安全��、物理和環(huán)境安全����、通信與操作管理����、訪問控制�����、系統(tǒng)的獲取��、開發(fā)和維護����、信息安全事件管理、業(yè)務持續(xù)性管理�、符合性管理等11個領(lǐng)域。不同的客戶由于所處的行業(yè)���、業(yè)務類型、監(jiān)管要求��、企業(yè)規(guī)模等不同����,對建設(shè)領(lǐng)域的選擇不同。對于建設(shè)領(lǐng)域的建設(shè)方向��,在同一個建設(shè)領(lǐng)域,也有不同的建設(shè)方向來實現(xiàn)目標���,如業(yè)務連續(xù)性保障方面�,客戶可以選擇高成本高可靠的容災備份機制�,也可以選擇低成本的容災備份機制。對于建設(shè)方向的具體評估指標����,對于建設(shè)方向的成熟度評估指標一般根據(jù)客戶的業(yè)務形態(tài)、系統(tǒng)及數(shù)據(jù)的重要性�����、保密性�����、完整性要求�����,以及監(jiān)管要求等����,綜合的評定�。對于建設(shè)指標的具體取值范圍及滿足條件����,針對不同的評估指標,也需要設(shè)置不同的取值范圍和滿足條件��。如電子商務企業(yè)和制造業(yè)對數(shù)據(jù)的保密性���、完整性要求存在質(zhì)的差別����,評估指標的取值范圍自然就不同�����。S2��、根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫���,建立客戶信息安全成熟度評估模型。在上述步驟SI中完成預先定義一成熟度評估數(shù)據(jù)庫后��,根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫的信息,建立客戶信息安全成熟度評估模型���。如圖2所示����,對于客戶信息安全成熟度評估模型的建立具體包括以下步驟
S21���、根據(jù)客戶需求和相應的安全目標��,建立一客戶信息安全成熟度評估模型�����。根據(jù)獲取的客戶需求信息和相應的安全目標�,建立一客戶信息安全成熟度評估模型�,所述客戶需求包括行業(yè)特點、監(jiān)管要求和用戶數(shù)量�。S22、根據(jù)所述客戶信息安全成熟度評估模型�����,并結(jié)合用戶輸入的專家分析數(shù)據(jù)和客戶訪談數(shù)據(jù)確定若干建設(shè)領(lǐng)域�。根據(jù)上述步驟中建立的客戶信息安全成熟度評估模型�,結(jié)合用戶輸入的專家分析數(shù)據(jù)信息和客戶訪談數(shù)據(jù)確定若干建設(shè)領(lǐng)域��。S23�、根據(jù)客戶輸入的企業(yè)數(shù)據(jù)信息在不同的建設(shè)領(lǐng)域選擇相應的建設(shè)方向。根據(jù)客戶輸入的企業(yè)數(shù)據(jù)信息不同�,如業(yè)務規(guī)劃、財力情況等不同���,在不同的建設(shè)領(lǐng)域選擇相應的建設(shè)方向����。S24����、給不同的建設(shè)方向設(shè)置不同的評估指標和取值范圍。S3���、對客戶信息進行增量錄入和維護�,并根據(jù)維護進去的數(shù)據(jù)信息����,進行指標值設(shè)定和調(diào)優(yōu)。對于客戶信息進行增量錄入和維護����,根據(jù)相關(guān)數(shù)據(jù)信息,進行指標值設(shè)定和調(diào)優(yōu)����,具體的首先,在服務客戶過程中��,咨詢顧問��、銷售����、市場、技術(shù)��、研發(fā)等各種內(nèi)部人員��,可以通過統(tǒng)一的界面�,對客戶的情況進行增量錄入和維護。包括客戶的招標內(nèi)容����、產(chǎn)品目錄、業(yè)務規(guī)劃���、人員流動���、互聯(lián)網(wǎng)輿情等等�����。其次�,根據(jù)維護進去的各種資訊����,支持人工\自動模式進行指標值設(shè)定和調(diào)優(yōu)。S4�����、通過選取信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息���,結(jié)合各種維護的數(shù)據(jù)信息���,按照雷達圖原理��,自動輸出評估報
生口 ο所述評估報告包括以下兩種類型1���、動態(tài)評估報告����。系統(tǒng)通過選取成熟度建設(shè)模型、建設(shè)領(lǐng)域���、建設(shè)方向���、指標等信息,結(jié)合各種指標維護的過程數(shù)據(jù)���,按照雷達圖原理��,自動生成評估報告����,并支持動態(tài)生成����。2�����、能力趨勢分析圖�����。支持按建設(shè)領(lǐng)域�、建設(shè)方向���、指標等縱坐標���,以時間為橫坐標,動態(tài)生成能力趨勢分析圖表����。本發(fā)明提供的一種輔助評估信息安全能力成熟度方法,該方法通過預先定義一成熟度評估數(shù)據(jù)庫�����,并根據(jù)根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫�����,建立客戶信息安全成熟度評估模型;對客戶信息進行增量錄入和維護�����,并根據(jù)維護進去的數(shù)據(jù)信息�,進行指標值設(shè)定和調(diào)優(yōu);通過選取信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域���、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息�,結(jié)合各種維護的數(shù)據(jù)信息�����,按照雷達圖原理��,自動輸出評估報告���。從而實現(xiàn)了統(tǒng)一的客戶信息安全資訊收集�����、分類����,并自動傳承,科學的定義了能力成熟度評估模型�,避免不同專家給出不同的評估結(jié)果,保留了各種分析原始數(shù)據(jù)���,并有固定的評估模型��,支持動態(tài)實時評估�����,并且降低信息安全能力成熟度評估的工作量和對專家的依賴���,為評估信息安全能力成熟度提供了方便。另外本發(fā)明還提供了一種輔助評估信息安全能力成熟度系統(tǒng)���,如圖3所示該系統(tǒng)包括以下部分
成熟度評估數(shù)據(jù)庫10��,其包括信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域、建設(shè)領(lǐng)域的建設(shè)方向��、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件�。此成熟度評估數(shù)據(jù)庫10中所含有的功能與上述方法步驟SI相同。建模單元20�,用于結(jié)合客戶需求和成熟度評估數(shù)據(jù)庫,建立客戶信息安全成熟度評估模型���;該建模單元20的功能與上述方法步驟S2中相同�����。維護單元30,用于對客戶信息進行增量錄入和維護�����,并根據(jù)維護進去的數(shù)據(jù)信息�,進行指標值設(shè)定和調(diào)優(yōu);該維護單元30具體的功能與上述方法步驟S3中功能相同���。評估單元40�����,用于通過選取信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息����,結(jié)合各種維護的數(shù)據(jù)信息,按照雷達圖原理��,自動生成評估報告��。該評估單元40的功能與上述方法步驟S4中功能相同��。具體的����,如圖4所示,為本發(fā)明系統(tǒng)的具體應用實施例示意圖��,在具體實施方式
中����,步驟Hl為在本系統(tǒng)中預先定義成熟度評估模型�����,該評估模型具體的包括以下部分信息安全建設(shè)成熟度模型��、模型建設(shè)領(lǐng)域�、建設(shè)領(lǐng)域的建設(shè)方向����、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件,步驟H2根據(jù)該成熟度評估模型中獲取的信息來定義客戶成熟度評估模型�,根據(jù)所述客戶信息安全成熟度評估模型,并結(jié)合用戶輸入的專家分析數(shù)據(jù)和客戶訪談數(shù)據(jù)確定若干建設(shè)領(lǐng)域�����,根據(jù)客戶輸入的企業(yè)數(shù)據(jù)信息在不同的建設(shè)領(lǐng)域選擇相應的建設(shè)方向���,給不同的建設(shè)方向設(shè)置不同的評估指標和取值范圍,在獲取了客戶的相關(guān)信息之后�,在步驟H3中要對客戶信息進行日常的維護,其中包括對客戶信息進行增量錄入和維護�,根據(jù)相關(guān)數(shù)據(jù)信息進行指標值設(shè)定和調(diào)優(yōu);在步驟H4中根據(jù)上述步驟中獲取的具體評估指標信息和各種維護的數(shù)據(jù)信息����,按照雷達圖原理�����,自動輸出評估報告���,評估報告有動態(tài)評估報告和能力趨勢分析圖兩種形式。本發(fā)明公開了一種輔助評估信息安全能力成熟度方法和系統(tǒng)�����,通過預先定義一成熟度評估數(shù)據(jù)庫�,根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫,建立客戶信息安全成熟度評估模型��;對客戶信息進行增量錄入和維護����,并根據(jù)維護進去的數(shù)據(jù)信息,進行指標值設(shè)定和調(diào)優(yōu)����;通過獲取的具體評估指標信息,結(jié)合各種維護的數(shù)據(jù)信息����,自動輸出評估報告�,從而實現(xiàn)了的客戶信息安全資訊收集��、分類����,并自動傳承。本發(fā)明支持所有與客戶打交道的內(nèi)部人員共同建設(shè)和維護客戶的信息安全資訊�����,并支持將雜亂的資訊按建設(shè)域���、建設(shè)方向���、指標等進行歸類,便于分析�����。此外���,新方案對客戶信息的整理�����,彌補了 CRM系統(tǒng)���、知識庫的不足?���?茖W的定義了能力成熟度評估模型,避免不同專家給出不同的評估結(jié)果�,保留了各種分析原始數(shù)據(jù),動態(tài)的趨勢分析圖���,并能逐步增強客戶進行信息安全建設(shè)的信心���;并有固定的評估模型,降低信息安全能力成熟度評估的工作量和對專家的依賴動態(tài)實時評估信息安全能力����,利于并發(fā)服務更多客戶,為評估信息安全能力成熟度提供了方便�。 應當理解的是,本發(fā)明的應用不限于上述的舉例�,對本領(lǐng)域普通技術(shù)人員來說�����,可以根據(jù)上述說明加以改進或變換���,所有這些改進和變換都應屬于本發(fā)明所附權(quán)利要求的保護范圍。
權(quán)利要求
1.一種輔助評估信息安全能力成熟度方法����,其特征在于,所述方法包括以下步驟:51�����、預先定義一成熟度評估數(shù)據(jù)庫���,其包括:信息安全建設(shè)成熟度模型��、模型建設(shè)領(lǐng)域���、建設(shè)領(lǐng)域的建設(shè)方向、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件�;52、根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫,建立客戶信息安全成熟度評估模型���;53、對客戶信息進行增量錄入和維護���,并根據(jù)維護進去的數(shù)據(jù)信息���,進行指標值設(shè)定和調(diào)優(yōu);54���、通過選取信息安全建設(shè)成熟度模型��、模型建設(shè)領(lǐng)域���、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息,結(jié)合各種維護的數(shù)據(jù)信息���,按照雷達圖原理����,自動輸出評估報告��。
2.根據(jù)權(quán)利要求1所述的輔助評估信息安全能力成熟度方法,其特征在于��,所述步驟S2中客戶需求包括:行業(yè)特點�、監(jiān)管要求和用戶數(shù)量。
3.根據(jù)權(quán)利要求1所述的輔助評估信息安全能力成熟度方法��,其特征在于���,所述步驟S2中具體包括以下步驟:521�����、根據(jù)客戶需求和相應的安全目標�����,建立一客戶信息安全成熟度評估模型�����;522����、根據(jù)所述客戶信息安全成熟度評估模型�����,并結(jié)合用戶輸入的專家分析數(shù)據(jù)和客戶訪談數(shù)據(jù)確定若干建設(shè)領(lǐng)域;523�����、根據(jù)客戶輸入的企業(yè)數(shù)據(jù)信息在不同的建設(shè)領(lǐng)域選擇相應的建設(shè)方向��;524��、給不同的建設(shè)方向設(shè)置不同的評估指標��。
4.根據(jù)權(quán)利要求1所述的輔 助評估信息安全能力成熟度方法�,其特征在于��,所述步驟S4中還包括:以信息安全建設(shè)成熟度模型�����、模型建設(shè)領(lǐng)域����、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息為縱坐標,以時間為橫坐標����,動態(tài)生成能力趨勢分析圖表�����。
5.一種輔助評估信息安全能力成熟度系統(tǒng)�����,其特征在于�����,所述系統(tǒng)包括:成熟度評估數(shù)據(jù)庫��,其包括:信息安全建設(shè)成熟度模型��、模型建設(shè)領(lǐng)域���、建設(shè)領(lǐng)域的建設(shè)方向、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件��;建模單元�����,用于結(jié)合客戶需求和成熟度評估數(shù)據(jù)庫,建立客戶信息安全成熟度評估模型�����;維護單元���,用于對客戶信息進行增量錄入和維護����,并根據(jù)維護進去的數(shù)據(jù)信息��,進行指標值設(shè)定和調(diào)優(yōu)���;評估單元,用于通過選取信息安全建設(shè)成熟度模型����、模型建設(shè)領(lǐng)域、建設(shè)領(lǐng)域的建設(shè)方向和建設(shè)方向的具體評估指標信息����,結(jié)合各種維護的數(shù)據(jù)信息,按照雷達圖原理����,自動生成評估報告�。
全文摘要
本發(fā)明公開了一種輔助評估信息安全能力成熟度方法和系統(tǒng)�����,所述方法包括步驟預先定義一成熟度評估數(shù)據(jù)庫�,其包括信息安全建設(shè)成熟度模型、模型建設(shè)領(lǐng)域��、建設(shè)領(lǐng)域的建設(shè)方向�����、建設(shè)方向的具體評估指標和建設(shè)指標的具體取值范圍及滿足條件��;根據(jù)客戶需求和成熟度評估數(shù)據(jù)庫�,建立客戶信息安全成熟度評估模型;對客戶信息進行維護�,并進行指標值設(shè)定和調(diào)優(yōu);通過獲取的具體評估指標信息��,結(jié)合各種維護的數(shù)據(jù)信息�,輸出評估報告,從而實現(xiàn)了統(tǒng)一的客戶信息安全資訊收集����、分類�����,并自動傳承�����,科學的定義了能力成熟度評估模型�����,減少了對專家的依賴���,為評估信息安全能力成熟度提供了方便���。
文檔編號G06Q10/00GK103077426SQ20131001730
公開日2013年5月1日 申請日期2013年1月17日 優(yōu)先權(quán)日2013年1月17日
發(fā)明者吳申水 申請人:深圳市易聆科信息技術(shù)有限公司