深圳星網(wǎng)信通科技股份有限公司
通過TSM可信研發(fā)運營安全能力成熟度評估
隨著數(shù)字化的推進���,軟件應(yīng)用服務(wù)正在潛移默化的改變著生活的各個方面,滲透到各個行業(yè)和領(lǐng)域�����,其自身的安全問題也愈發(fā)成為業(yè)界關(guān)注的焦點�。研發(fā)運營安全是指在軟件應(yīng)用服務(wù)全生命周期之中,從初期便引入安全�����,采取相關(guān)技術(shù)與管理手段���,避免漏洞與威脅的產(chǎn)生��,加固應(yīng)用服務(wù)安全��,提升軟件質(zhì)量����。
2023年8月25日,中國信息通信研究院在首屆SecGo云和軟件安全大會上隆重公布了評估結(jié)果�,深圳星網(wǎng)信通科技股份有限公司(以下簡稱“星網(wǎng)信通”)成功通過“TSM可信研發(fā)運營安全能力成熟度評估—基礎(chǔ)級”。
星網(wǎng)信通公司研發(fā)總經(jīng)理-吳超杰接受了SecGo軟件供應(yīng)鏈安全的采訪���,并分享星網(wǎng)信通公司在可信研發(fā)運營安全的落地實踐及參與評估的收獲�����。
Q:吳總您好��,請介紹一下您的企業(yè)�����。
吳:星網(wǎng)信通成立于2005年�,秉承“咨詢?yōu)橄葘?dǎo)���、產(chǎn)品為依托���、服務(wù)為核心”的業(yè)務(wù)模式,為政府����、金融、電力��、能源��、互聯(lián)網(wǎng)��、公共事業(yè)��、大企業(yè)等客戶提供融合通信整體解決方案以及綜合性IT解決方案�。總部位于深圳��,在全國主要城市設(shè)有分子公司或辦事處���,目前有400多人��,一半以上為研發(fā)人員���。公司持續(xù)發(fā)力研發(fā)投入�����,形成了從端側(cè)�����、平臺側(cè)����、應(yīng)用側(cè)的產(chǎn)品矩陣���,保持產(chǎn)品在市場上的競爭力和對市場需求反映的靈敏性�,同時也積極參與行業(yè)標準的起草�,開展產(chǎn)學(xué)研合作。
Q:請問通過本次標準評估對您的企業(yè)帶來了什么幫助�?
吳:通過本次標準評估,對內(nèi)保證了研發(fā)過程的安全可持續(xù)性�����,對外增加了企業(yè)市場競爭力���,對安全性有更高要求的客戶來說更有吸引力���。
Q:請介紹一下您企業(yè)的安全組織架構(gòu)。
吳:公司成立信息安全領(lǐng)導(dǎo)小組���,是信息安全的最高決策機構(gòu)�,下設(shè)信息安全工作組和應(yīng)急處理工作組��。信息安全工作組貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議���,協(xié)調(diào)和規(guī)范公司信息安全工作�����。應(yīng)急處理工作組負責審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案�。
Q:請介紹一下您企業(yè)的安全體系工作落地所解決的痛點問題及帶來的價值成效�。
吳:隨著信息化建設(shè)逐漸深入,客戶對信息安全要求越來越高��,要求提供的產(chǎn)品或服務(wù)符合信息安全要求���。通過建立安全體系���,從研發(fā)過程保障資產(chǎn)安全可持續(xù)�����。比如對漏洞的應(yīng)急響應(yīng)機制��,通過應(yīng)急處理工作組準備的應(yīng)急響應(yīng)預(yù)案�����,能從容應(yīng)對突發(fā)的漏洞����,及時消除漏洞帶來的消極影響���。
TSM可信研發(fā)運營安全能力成熟度評估(以下簡稱“評估”)簡介
評估基于《可信研發(fā)運營安全能力成熟度模型》標準�,對于企業(yè)的研發(fā)運營安全能力從軟件應(yīng)用服務(wù)全生命周期�,搭配管理制度,包括要求階段�、安全需求分析階段、設(shè)計階段����、開發(fā)階段�、驗證階段�����、發(fā)布階段��、運營階段和下線階段9大部分進行評估�,分為基礎(chǔ)級�、增強級、先進級三個級別�����。評估共包括38項一級指標項��,可細分為:110項基礎(chǔ)級能力指標+111項增強級能力指標+62項先進級能力指標���。
對標業(yè)界優(yōu)秀實踐�,幫助企業(yè)構(gòu)筑全生命周期安全體系
標準制定過程參考調(diào)研大量業(yè)界已有優(yōu)秀實踐���,通過參評對標業(yè)界優(yōu)秀實踐����,同時與同行業(yè)企業(yè)對比,探索構(gòu)筑符合企業(yè)自身情況的全生命周期安全體系��,提升企業(yè)自身市場競爭力�����。
量化企業(yè)安全水平����,明確企業(yè)安全現(xiàn)狀和后續(xù)改進計劃
企業(yè)通過參與評估將自身安全水平進行量化,明確企業(yè)在同行業(yè)中安全所處水平和現(xiàn)狀���,幫助企業(yè)明確后續(xù)改進方向和實施計劃�。
建立行業(yè)互信機制���,構(gòu)建安全可信生態(tài)���,助力企業(yè)業(yè)務(wù)發(fā)展
通過中國信通院組織的相關(guān)評估,意味企業(yè)組織內(nèi)部已建立研發(fā)運營安全體系�,實現(xiàn)安全全流程覆蓋。企業(yè)可向客戶呈現(xiàn)評估結(jié)果���,證明軟件生產(chǎn)過程的安全性��、透明性����,從而建立互信機制,構(gòu)建安全可信生態(tài)����,進一步助力企業(yè)業(yè)務(wù)發(fā)展
粵公網(wǎng)安備: