450 lines
24 KiB
Markdown
450 lines
24 KiB
Markdown
# 系统安全工程
|
||
|
||
> **一、系统安全工程基础**<br>
|
||
> <span style="color:blue;">理解</span>系统安全工程的概念及系统安全工程的必要性。
|
||
>
|
||
> **二、系统安全工程理论基础**<br>
|
||
> <span style="color:green;">了解</span>系统工程思想、项目管理方法、质量管理体系、能力成熟度模型等基础理论;<br>
|
||
> <span style="color:blue;">理解</span>能力成熟度模型的基本思想及相关概念。
|
||
>
|
||
> **三、系统安全工程能力成熟度模型**<br>
|
||
> <span style="color:green;">了解</span>系统安全工程能力成熟度模型基本概念;<br>
|
||
> <span style="color:green;">了解</span>系统安全工程能力成熟度模型的体系结构及域维、能力维相关概念。
|
||
>
|
||
> **四、SSE-CMM安全工程过程**<br>
|
||
> <span style="color:red;">掌握</span>风险过程包括的评估威胁、评估脆弱性、评估影响及评估安全风险这四个过程区域及其基本实施;<br>
|
||
> <span style="color:red;">掌握</span>工程过程包括的确定安全需求、提供安全输入、管理安全控制、监控安全态势及协调安全五个过程区域及其基本实施;<br>
|
||
> <span style="color:red;">掌握</span>保证过程中验证和证实安全及建立保证论据两个过程区域及其基本实施。
|
||
>
|
||
> **五、SSE-CMM安全工程能力**<br>
|
||
> <span style="color:blue;">理解</span>能力成熟度级别的概念;<br>
|
||
> <span style="color:red;">掌握</span>1~5级不同成熟度级别应具有的公共特征。
|
||
|
||
### 一、系统安全工程基础
|
||
|
||
#### 1、什么是安全工程
|
||
|
||
- 采用<span style="color:red;">工程</span>的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程。
|
||
|
||
- 信息化建设活动中有关加强系统安全性活动的集合。
|
||
|
||
- <span style="background-color:yellow;">良好安全工程的<span style="color:red;">四个方面</span></span>。
|
||
|
||
- 策略
|
||
- 机制
|
||
- 保证
|
||
- 动机
|
||
|
||
|
||
|
||
#### 2、为什么需要系统安全工程
|
||
|
||
- 信息系统安全保障要素之一
|
||
|
||
- <span style="background-color:yellow;">解决信息系统生命周期的<span style="color:red;">“过程安全”</span>问题</span>
|
||
|
||
- 信息安全是信息化的有机组成部分,必须与信息化<span style="color:red;">同步规划</span>、<span style="color:red;">同步建设</span>、<span style="color:red;">同步使用</span>。
|
||
|
||
- 信息系统的建设是一项系统工程,具有复杂性,安全工程是以<span style="color:red;">最优费效比</span>提供并满足安全需求。
|
||
|
||
> 最优费效比(Best Cost-Effectiveness Ratio)是指在成本和效果之间找到一个最佳平衡点,以最小的成本投入获得最大的效果产出。这个概念广泛应用于工程、经济、医疗、管理等多个领域。
|
||
|
||
- 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施<span style="color:red;">同步规划</span>、<span style="color:red;">同步建设</span>、<span style="color:red;">同步使用</span>。
|
||
——《中华人民共和国网络安全法》
|
||
|
||
### 二、系统安全工程理论基础
|
||
|
||
#### 1、什么是系统工程
|
||
|
||
- 以<span style="color:red;">大型复杂系统</span>为研究对象,按一定目的进行设计开发、管理与控制,以期达到<span style="color:red;">总体效果最优</span>的理论与方法。
|
||
|
||
#### 2、系统工程的概念
|
||
|
||
- 系统工程不是基本理论,也不属于技术实现,而是一种<span style="color:red;">方法论</span>。
|
||
- 从学科体系上讲,系统工程不属于基本理论,也不属于技术基础,它所研究的重点是<span style="color:red;">方法论</span>。
|
||
- 方法论具有普适性原则。
|
||
- 系统工程是一门<span style="color:red;">高度综合性</span>的管理工程技术,不同于一般的工程技术学科,如水利工程、机械工程等“硬”工程;系统工程偏重于工程的组织与经营管理一类“软”科学的研究。
|
||
|
||
#### 3、霍尔三维结构图
|
||
|
||
- 时间维
|
||
|
||
> <span style="color:red;">时间维中的任何一个阶段都可以包括逻辑维的所有步骤、用到知识维的所有知识。</span>
|
||
|
||
- 逻辑维
|
||
|
||
- 知识维
|
||
|
||
|
||
|
||
#### 4、项目管理
|
||
|
||
1. **什么是项目管理**
|
||
- 项目管理者在有限的<span style="color:red;">资源约束</span>下,运用系统的<span style="color:red;">观点</span>、<span style="color:red;">方法</span>和<span style="color:red;">理论</span>,对项目涉及的全部工作进行有效管理。
|
||
- 约束:任何影响项目成功的因素
|
||
- 三重约束(传统):时间 + 成本 + 质量
|
||
- 三重约束(新):时间/成本 + 质量 + 范围
|
||
- PMBOOK:项目管理知识体系指南
|
||
- 人力资源管理 = 资源管理 + 相关方管理
|
||
- 项目管理是<span style="color:red;">系统工程思想</span>针对具体项目的<span style="color:red;">实践应用</span>。
|
||
2. **项目管理的知识领域**
|
||
- 范围、时间、成本、质量、人力资源、沟通、风险、采购、集成
|
||
3. **项目的过程控制**
|
||
- 启动、计划、执行、控制、收尾
|
||
|
||
#### 5、质量管理
|
||
|
||
1. **质量管理基本概念**
|
||
|
||
- 质量:是一组固有特性满足要求的程度
|
||
- 质量的固有特性:明确质量需求、隐含质量需求
|
||
- 质量管理:为了实现质量目标,而进行的所有管理性质的活动
|
||
|
||
2. **质量管理体系**
|
||
|
||
> <span style="background-color:yellow;">质量管理体系</span>是组织内部建立的、为实现质量目标所必需的系统性质量管理模式,是组织的一项战略决策。<span style="background-color:yellow;">它将资源与过程结合,以过程管理方法进行的系统管理</span>,根据企业特点选用若干体系要素加以组合,一般由与管理活动、资源提供、产品实现以及测量、分析与改进活动相关的过程组成,可以理解为涵盖了从确定顾客需求、设计研制、生产、检验、销售、交付之前全过程的策划、实施、监控、纠正与改进活动的要求,一般以文件化的方式,成为组织内部质量管理工作的要求。
|
||
|
||
- 指挥和控制一个组织质量相关的管理体系
|
||
|
||
- 国际标准IS0 9000系列
|
||
|
||
<span style="background-color:yellow;">IS0 99000规范质量管理的四个方面:</span>
|
||
|
||
- <span style="color:red;">机构</span>
|
||
|
||
标准明确规定了为保证产品质量而必须建立的管理机构及职责权限
|
||
|
||
- <span style="color:red;">程序</span>
|
||
|
||
对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序,并使之<span style="color:red;">文件化</span>
|
||
|
||
- <span style="color:red;">过程</span>
|
||
|
||
质量控制是对生产的<span style="color:red;">全部过程</span>加以控制,是面的控制,不是点的控制
|
||
|
||
- <span style="color:red;">总结</span>
|
||
|
||
不断地总结、评价质量管理体系,不断地改进质量管理体系,使质量管理呈螺旋式上升
|
||
|
||
> 过程质量决定产品质量
|
||
>
|
||
> 产品质量反应过程质量
|
||
>
|
||
> 质量管理没有终点,只有更好没有最好,PDCA原则。
|
||
|
||
#### 6、能力成熟度模型
|
||
|
||
1. **能力成熟度模型(Capability Maturity Model)**
|
||
|
||
- 一种<span style="color:red;">衡量</span>工程<span style="color:red;">实施</span>能力的方法
|
||
- 建立在<span style="color:red;">统计过程控制理论</span>基础上的
|
||
|
||
> 能力成熟度模型(Capability Maturity Model,CMM)是一种衡量<span style="color:red;">工程实施能力</span>的方法,是一种<span style="color:red;">面向工程过程</span>的方法。<br>CMM是建立在<span style="color:red;">统计过程控制理论</span>基础上的。
|
||
|
||
2. **能力成熟度模型基础**
|
||
|
||
- <span style="color:orange;">现代统计过程控制理论</span>表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品;
|
||
- 所有成功企业的共同特点是都具有一组<span style="color:orange;">严格定义</span>、<span style="color:orange;">管理完善</span>、<span style="color:orange;">可测可控</span>从而<span style="color:orange;">高度有效</span>的业务过程;
|
||
- CMM模型抽取了这样一组好的工程实践并定义了过程的<span style="color:red;">“能力”</span>。
|
||
|
||
3. **能力成熟度模型基本思想**
|
||
|
||
- 工程实施组织的能力成熟度<span style="color:red;">等级越高</span>,系统的<span style="color:red;">风险越低</span>。
|
||
- CMM为工程的过程能力提供了一个阶梯式的<span style="color:red;">改进框架</span>。
|
||
|
||
|
||
|
||
### 三、系统安全工程能力成熟度模型
|
||
|
||
#### 1、SSE-CMM基础概念
|
||
|
||
- 什么是系统安全工程能力成熟模型(SSE-CMM)
|
||
|
||
- 一种衡量<span style="color:red;">SSE实施能力</span>的方法
|
||
|
||
- 为信息安全工程<span style="color:red;">过程改进</span>建立一个框架模型
|
||
|
||
- SSE-CMM描述了一个组织的<span style="color:red;">系统安全工程过程</span>必须包含的<span style="color:red;">基本特征</span>。
|
||
|
||
- 这些特征是完善的安全工程<span style="color:red;">保证</span>
|
||
- 也是系统安全工程实施的<span style="color:red;">度量标准</span>
|
||
- 还是一个易于理解的评估系统安全工程实施的<span style="color:red;">框架</span>
|
||
|
||
#### 2、SSE-CMM的作用
|
||
|
||
1. 获取组织(系统、产品的采购方)
|
||
- 帮助选择合格的投标者,以<span style="color:red;">统一的标准</span>对安全工程过程进行监管,提高工程实施质量,减少争议。
|
||
2. 工程组织(系统开发和集成商)
|
||
- 通过<span style="color:red;">可重复</span>、<span style="color:red;">可预测</span>的过程减少返工、提高质量降低成本;<span style="color:red;">改进</span>安全工程实施能力;获得<span style="color:red;">证明</span>安全工程实施能力的资质。
|
||
3. 认证评估组织
|
||
- 获得独立于系统和产品的可重用的<span style="color:red;">过程评估标准</span>,用来确定<span style="color:red;">被评估者</span>将安全工程集成在系统工程之中,并且其系统安全工程是可信的。
|
||
|
||
#### 3、SSE-CMM体系结构
|
||
|
||
- <span style="color:red;">"域维"</span>由所有定义的安全工程<span style="color:red;">过程区域</span>构成
|
||
- <span style="color:red;">"能力维"</span>代表组织实施这一过程的能力
|
||
|
||
|
||
|
||
#### 4、域维—过程区域
|
||
|
||
1. **过程区域(PA,Process Area)**
|
||
|
||
- 过程区域是过程的一种单位
|
||
|
||
2. **基本实施(<span style="color:red;">BP</span>,BasePractice)**
|
||
|
||
- 过程区域由BP组成
|
||
- BP是强制实施
|
||
|
||
> 每个过程区域包括一组表示组织成功执行过程区域的目标。每个过程区域也包括一组集成的基本实施(BasePractice,BP)。基本实施定义了获得过程区域目标的必要步骤,<span style="background-color:yellow;">它具有如下特性:</span><br>
|
||
> ★ 应用于整个组织生命周期。<br>
|
||
> ★ 和其他BP互不覆盖。<br>
|
||
> ★ 代表安全业界“最好的实施”。<br>
|
||
> ★ 在业务环境下不指定特定的方法或工具。
|
||
|
||
3. **过程类**
|
||
|
||
- SSE-CMM包含22个PA,分为<span style="color:red;">工程</span>、<span style="color:red;">项目</span>、<span style="color:red;">组织</span>三类
|
||
|
||
|
||
|
||
#### 5、能力维—过程能力
|
||
|
||
1. 过程能力(Process Capability)
|
||
|
||
- 对<span style="color:red;">过程控制程度</span>的衡量方法,采用<span style="color:red;">成熟度级别</span>划分。
|
||
|
||
2. 过程能力的作用
|
||
|
||
- 衡量组织达到<span style="color:red;">过程目标</span>的能力;
|
||
- <span style="color:red;">成熟度低</span>,成本、进度、功能和质量都不稳定;
|
||
- <span style="color:red;">成熟度高</span>,达到预定的成本、进度、功能和质量目标的就越有把握。
|
||
|
||
|
||
|
||
> <span style="color:red;">注意:</span>一个组织机构可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而,由于一些较高级别的通用实施依赖于较低级别的通用实施,因此,<span style="background-color:yellow;">组织机构在试图达到较高级别之前,应首先实现较低级别通用实施。</span>
|
||
|
||
#### 6、SSE-CMM能力成熟度评价体系
|
||
|
||
- 通过设置这两个相互依赖的维,SSE-CMM在各个能力级别上覆盖了整个安全活动范围。
|
||
|
||
- 给每个PA赋予一个能力级别<span style="color:red;">评分</span>,所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程<span style="color:red;">能力成熟度</span>,也间接的反映其工作结果的质量及其安全上的<span style="color:red;">可信度</span>。
|
||
|
||
|
||
|
||
> 木桶理论,按最低的算。
|
||
|
||
### 四、SSE-CMM的安全工程过程
|
||
|
||
#### 1、域维-SSE-CMM的过程控制
|
||
|
||
1. **工程类**
|
||
|
||
- 11个PA,描述了系统安全工程中实施的与安全直接相关的活动。
|
||
|
||
2. **组织和项目过程类**
|
||
|
||
- 11个PA,并不直接同系统安全相关,但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。
|
||
|
||
| <span style="background-color:red;">风险过程</span> 4个 | <span style="background-color:yellow;">工程过程</span> 5个 | <span style="background-color:lightgreen;">保证过程</span> 2个 |
|
||
| -------------------------------------------------------- | ----------------------------------------------------------- | ------------------------------------------------------------ |
|
||
|
||
|
||
|
||
#### 2、工程类过程之间关系
|
||
|
||
- 11个PA分为<span style="color:red;">风险过程</span>、<span style="color:red;">工程过程</span>、<span style="color:red;">保证过程</span>。
|
||
|
||
|
||
|
||
#### 3、风险过程
|
||
|
||
1. **调查和量化风险的过程**
|
||
|
||
|
||
|
||
2. **PA04:评估威胁**
|
||
|
||
识别和描述系统面临的<span style="color:red;">安全威胁及其特征</span>
|
||
|
||
- BP.04.01 识别由<span style="color:red;">自然</span>因素所引[起的有关威胁
|
||
- BP.04.02 识别由<span style="color:red;">人为</span>因素所引起的有关威胁
|
||
- BP.04.03 制定评判威胁的<span style="color:red;">测度单位</span>
|
||
- BP.04.04 评估威胁源的<span style="color:red;">动机</span>和<span style="color:red;">能力</span>
|
||
- BP.04.05 评估威胁事件出现的<span style="color:red;">可能性</span>
|
||
- BP.04.06 监控威胁的<span style="color:red;">变化</span>
|
||
|
||
3. **PA05:评估脆弱性**
|
||
|
||
识别和描述系统存在的<span style="color:red;">脆弱性及其特征</span>
|
||
|
||
- BP.05.01 选择<span style="color:red;">识别</span>和<span style="color:red;">描述</span>系统脆弱性的方法、技术和标准
|
||
- BP.05.02 <span style="color:red;">识别</span>系统存在的脆弱性
|
||
- BP.05.03 <span style="color:red;">收集</span>与脆弱性特征有关的数据
|
||
- BP.05.04 对脆弱性进行<span style="color:red;">综合分析</span>,评判脆弱性或脆弱性组合可能带来的危害
|
||
- BP.05.05 <span style="color:red;">监控</span>脆弱性的变化
|
||
|
||
4. **PA02:评估影响**
|
||
|
||
<span style="color:red;">识别和描述安全事件造成的影响</span>
|
||
|
||
- BP.02.01 对运行、业务或任务指令进行识别、分析和优先级排列
|
||
- BP.02.02 <span style="color:red;">识别</span>系统资产
|
||
- BP.02.03 选择用于评估影响的<span style="color:red;">度量标准</span>
|
||
- BP.02.04 标识度量标准以及(若需要)度量标准转换因子之间的关系
|
||
- BP.02.05 识别影响
|
||
- BP.02.06 <span style="color:red;">监控</span>影响中发生的变化
|
||
|
||
5. **PA03:评估安全风险**
|
||
|
||
<span style="color:red;">识别和描述系统面临的安全风险</span>
|
||
|
||
- BP.03.01 选择风险所依据的<span style="color:red;">方法</span>、<span style="color:red;">技术</span>和<span style="color:red;">准则</span>
|
||
- BP.03.02 <span style="color:red;">识别</span>威胁/脆弱性/影响三<span style="color:red;">组合</span>(暴露)
|
||
- BP.03.03 评估与每个暴露有关的风险
|
||
- BP.03.04 评估总体不确定性
|
||
- BP.03.05 风险优先级排列
|
||
- BP.03.06 监控风险的变化
|
||
|
||
#### 4、工程过程
|
||
|
||
- <span style="color:red;">安全工程</span>是一个包括概念、设计、实现、测试、部署、运行、维护、退出的<span style="color:red;">完整过程</span>。
|
||
|
||
- SSE-CMM强调<span style="color:red;">安全工程师是一个大的项目队伍中的一部分</span>,需要与其它科目工程师的活动相互协调。
|
||
|
||
|
||
|
||
1. **PA10:确定安全需求**
|
||
|
||
本过程区域实现<span style="color:red;">依赖的7项基本实施</span>
|
||
|
||
- BP.10.01 获得对顾客安全需求的理解
|
||
- BP.10.02 识别可用的法律、策略、标准、外部影响和约束
|
||
- BP.10.03 识别系统用途,以确定其安全关联性
|
||
- BP.10.04 捕捉系统运行的安全视图
|
||
- BP.10.05 捕捉<span style="color:red;">高层</span>的安全目标
|
||
- BP.10.06 <span style="color:red;">定义</span>安全相关需求
|
||
- BP.10.07 <span style="color:red;">达成</span>安全协议
|
||
|
||
2. **PA09 : 提供安全输入**
|
||
|
||
此过程区域包括以下<span style="color:red;">6项基本实施</span>
|
||
|
||
- BP.09.01 理解安全输入需求
|
||
- BP.09.02 确定安全约束和需要考虑的问题
|
||
- BP.09.03 识别安全解决方案
|
||
- BP.09.04 分析工程可选方案的安全性
|
||
- BP.09.05 提供安全工程指南
|
||
- BP.09.06 提供运行安全指南
|
||
|
||
3. **PA01:管理安全控制**
|
||
|
||
此过程区域包括以下<span style="color:red;">4项基本实施</span>
|
||
|
||
- BP.01.01 建立安全职责
|
||
- BP.01.02 管理安全配置
|
||
- BP.01.03 管理安全意识、培训和教育大纲
|
||
- BP.01.04 安全服务及控制机制的管理
|
||
|
||
4. **PA08:监控安全态势**
|
||
|
||
此过程区域包括以下<span style="color:red;">7项基本实施</span>
|
||
|
||
- BP.08.01 分析事件记录
|
||
- BP.08.02 监视变化
|
||
- BP.08.03 识别安全突发事件
|
||
- BP.08.04 监控安全防护措施的有效性
|
||
- BP.08.05 审核安全态势
|
||
- BP.08.06 管理对安全突发事件的响应
|
||
- BP.08.07 保护安全监视的记录数据
|
||
|
||
5. **PA07:协调安全**
|
||
|
||
此过程区域包括以下<span style="color:red;">4项基本实施</span>
|
||
|
||
- BP.07.01 定义协调目标
|
||
- BP.07.02 识别协调机制
|
||
- BP.07.03 促进协调
|
||
- BP.07.04 协调安全决定和建议
|
||
|
||
#### 5、保证过程
|
||
|
||
- <span style="color:red;">保证</span>是指安全需要得到满足的信任程度。
|
||
|
||
- SSE-CMM的信任程度<span style="color:red;">来自于</span>安全工程过程<span style="color:blue;">可重复性</span>的结果质量。
|
||
|
||
|
||
|
||
1. **PA11:验证和证实安全**
|
||
|
||
此过程区域包括以下<span style="color:red;">5项BP</span>
|
||
|
||
- BP.11.01 <span style="color:red;">识别</span>验证和证实的<span style="color:red;">目标</span>
|
||
- BP.11.02 <span style="color:red;">定义</span>验证和证实<span style="color:red;">方法</span>
|
||
- BP.11.03 <span style="color:red;">执行</span>验证
|
||
- BP.11.04 <span style="color:red;">执行</span>证实
|
||
- BP.11.05 <span style="color:red;">提供</span>验证和证实的<span style="color:red;">结果</span>
|
||
|
||
2. **PA06:建立保证论据**
|
||
|
||
本过程区域包括以下<span style="color:red;">5项基本实施</span>
|
||
|
||
- BP.06.01 <span style="color:red;">识别</span>保证目标
|
||
- BP.06.02 <span style="color:red;">定义</span>保证策略
|
||
- BP.06.03 <span style="color:red;">控制</span>保证证据
|
||
- BP.06.04 <span style="color:red;">分析</span>证据
|
||
- BP.06.05 <span style="color:red;">提供</span>保证论据
|
||
|
||
### 五、SSE-CMM的安全工程能力
|
||
|
||
- 组织的<span style="color:red;">过程管理</span>和<span style="color:red;">制度化能力</span>的强弱
|
||
|
||
|
||
|
||
#### 1、能力级别—1级:<span style="color:red;">非正规执行级</span>
|
||
|
||
- 该级别过程区域的基本实施均被执行,但<span style="color:red;">未经过严格的计划和跟踪</span>,而是基于个人的知识和努力
|
||
- 该级别包括一个公共特征——<span style="color:red;">执行基本实施</span>
|
||
- 所有BP以某种方式执行
|
||
- 工作产品的一致性、性能和质量会因为缺乏适当控制而存在<span style="color:red;">极大的差异</span>
|
||
|
||
#### 2、能力级别—2级:<span style="color:red;">规划和跟踪级</span>
|
||
|
||
> <span style="background-color:yellow;">规划和跟踪是管理特征的体现。</span>
|
||
|
||
- 该级别包括<span style="color:red;">四个公共特征:</span>
|
||
|
||
- <span style="color:red;">规划执行</span>:分配资源、指定责任、提供工具、将规划形成文档;
|
||
|
||
- <span style="color:red;">规范化执行</span>:使用标准和规程、进行配置管理;
|
||
|
||
- <span style="color:red;">跟踪执行</span>:跟踪过程实施、采取修正措施;
|
||
|
||
- <span style="color:red;">验证执行</span>:马验证工作过程、验证工作产品。
|
||
|
||
#### 3、能力级别—3级:<span style="color:red;">充分定义级</span>
|
||
|
||
- 该级别包括<span style="color:red;background-color:yellow;">三个公共特征(考点)</span>:
|
||
- <span style="color:red;">定义标准化过程</span>:制定<span style="color:blue;">标准化过程</span>,从组织标准化过程中裁剪出针对<span style="color:blue;">特定需求的过程</span>;
|
||
- <span style="color:red;">执行已定义过程</span>:PA的实施使用充分定义的过程,对执行结果进行<span style="color:blue;">缺陷评审</span>,使用充分定义的数据;
|
||
- <span style="color:red;">协调安全实施</span>:执行<span style="color:blue;">组内</span>协调、执行<span style="color:blue;">组间</span>协调、执行<span style="color:blue;">外部</span>协调。
|
||
|
||
#### 4、能力级别—4级:<span style="color:red;">量化控制级</span>
|
||
|
||
> ★ 量化是精细化管理的体现。<br>
|
||
> ★ 精细化管理:<br>
|
||
> ① 不能测量就不能控制;<br>
|
||
> ② 不能控制就不能改进;<br>
|
||
> ③ 不能改进就不能生存。
|
||
|
||
- 该级别包括两个公共特征:
|
||
- 建立可测量的质量目标:为工作产品建立可测度的目标
|
||
- 对执行情况实施客观管理:为工作过程能力建立量化测量和改进的标准
|
||
|
||
#### 5、能力级别—5级:<span style="color:red;">持续改进级</span>
|
||
|
||
- 该级别包括<span style="color:red;">两个特征</span>
|
||
- 改进组织能力:建立过程有效性目标,持续改进标准过程
|
||
- 改进过程有效性:进行因果分析,消除缺陷根源持续改进已定义过程
|