深圳星網(wǎng)信通科技股份有限公司
通過TSM可信研發(fā)運營安全能力成熟度評估
隨著數(shù)字化的推進,軟件應(yīng)用服務(wù)正在潛移默化的改變著生活的各個方面�,滲透到各個行業(yè)和領(lǐng)域��,其自身的安全問題也愈發(fā)成為業(yè)界關(guān)注的焦點�����。研發(fā)運營安全是指在軟件應(yīng)用服務(wù)全生命周期之中�,從初期便引入安全�����,采取相關(guān)技術(shù)與管理手段�,避免漏洞與威脅的產(chǎn)生,加固應(yīng)用服務(wù)安全�����,提升軟件質(zhì)量�����。
2023年8月25日��,中國信息通信研究院在首屆SecGo云和軟件安全大會上隆重公布了評估結(jié)果,深圳星網(wǎng)信通科技股份有限公司(以下簡稱“星網(wǎng)信通”)成功通過“TSM可信研發(fā)運營安全能力成熟度評估—基礎(chǔ)級”���。
星網(wǎng)信通公司研發(fā)總經(jīng)理-吳超杰接受了SecGo軟件供應(yīng)鏈安全的采訪��,并分享星網(wǎng)信通公司在可信研發(fā)運營安全的落地實踐及參與評估的收獲�����。
Q:吳總您好��,請介紹一下您的企業(yè)�����。
吳:星網(wǎng)信通成立于2005年���,秉承“咨詢?yōu)橄葘?dǎo)、產(chǎn)品為依托����、服務(wù)為核心”的業(yè)務(wù)模式,為政府����、金融、電力�����、能源���、互聯(lián)網(wǎng)���、公共事業(yè)、大企業(yè)等客戶提供融合通信整體解決方案以及綜合性IT解決方案�����?����?偛课挥谏钲?���,在全國主要城市設(shè)有分子公司或辦事處,目前有400多人���,一半以上為研發(fā)人員���。公司持續(xù)發(fā)力研發(fā)投入���,形成了從端側(cè)、平臺側(cè)�����、應(yīng)用側(cè)的產(chǎn)品矩陣����,保持產(chǎn)品在市場上的競爭力和對市場需求反映的靈敏性,同時也積極參與行業(yè)標(biāo)準(zhǔn)的起草�����,開展產(chǎn)學(xué)研合作����。
Q:請問通過本次標(biāo)準(zhǔn)評估對您的企業(yè)帶來了什么幫助?
吳:通過本次標(biāo)準(zhǔn)評估���,對內(nèi)保證了研發(fā)過程的安全可持續(xù)性���,對外增加了企業(yè)市場競爭力�,對安全性有更高要求的客戶來說更有吸引力�。
Q:請介紹一下您企業(yè)的安全組織架構(gòu)���。
吳:公司成立信息安全領(lǐng)導(dǎo)小組�,是信息安全的最高決策機構(gòu)���,下設(shè)信息安全工作組和應(yīng)急處理工作組���。信息安全工作組貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作����。應(yīng)急處理工作組負(fù)責(zé)審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案。
Q:請介紹一下您企業(yè)的安全體系工作落地所解決的痛點問題及帶來的價值成效�。
吳:隨著信息化建設(shè)逐漸深入,客戶對信息安全要求越來越高��,要求提供的產(chǎn)品或服務(wù)符合信息安全要求���。通過建立安全體系����,從研發(fā)過程保障資產(chǎn)安全可持續(xù)。比如對漏洞的應(yīng)急響應(yīng)機制��,通過應(yīng)急處理工作組準(zhǔn)備的應(yīng)急響應(yīng)預(yù)案���,能從容應(yīng)對突發(fā)的漏洞����,及時消除漏洞帶來的消極影響����。
TSM可信研發(fā)運營安全能力成熟度評估(以下簡稱“評估”)簡介
評估基于《可信研發(fā)運營安全能力成熟度模型》標(biāo)準(zhǔn),對于企業(yè)的研發(fā)運營安全能力從軟件應(yīng)用服務(wù)全生命周期��,搭配管理制度�����,包括要求階段���、安全需求分析階段�����、設(shè)計階段���、開發(fā)階段��、驗證階段�、發(fā)布階段�、運營階段和下線階段9大部分進行評估��,分為基礎(chǔ)級����、增強級、先進級三個級別�。評估共包括38項一級指標(biāo)項,可細(xì)分為:110項基礎(chǔ)級能力指標(biāo)+111項增強級能力指標(biāo)+62項先進級能力指標(biāo)�。
對標(biāo)業(yè)界優(yōu)秀實踐,幫助企業(yè)構(gòu)筑全生命周期安全體系
標(biāo)準(zhǔn)制定過程參考調(diào)研大量業(yè)界已有優(yōu)秀實踐�,通過參評對標(biāo)業(yè)界優(yōu)秀實踐,同時與同行業(yè)企業(yè)對比�����,探索構(gòu)筑符合企業(yè)自身情況的全生命周期安全體系����,提升企業(yè)自身市場競爭力���。
量化企業(yè)安全水平,明確企業(yè)安全現(xiàn)狀和后續(xù)改進計劃
企業(yè)通過參與評估將自身安全水平進行量化���,明確企業(yè)在同行業(yè)中安全所處水平和現(xiàn)狀��,幫助企業(yè)明確后續(xù)改進方向和實施計劃�����。
建立行業(yè)互信機制�,構(gòu)建安全可信生態(tài)���,助力企業(yè)業(yè)務(wù)發(fā)展
通過中國信通院組織的相關(guān)評估����,意味企業(yè)組織內(nèi)部已建立研發(fā)運營安全體系��,實現(xiàn)安全全流程覆蓋��。企業(yè)可向客戶呈現(xiàn)評估結(jié)果�����,證明軟件生產(chǎn)過程的安全性、透明性���,從而建立互信機制�,構(gòu)建安全可信生態(tài)���,進一步助力企業(yè)業(yè)務(wù)發(fā)展
粵公網(wǎng)安備: