深圳星网信通科技股份有限公司
通过TSM可信研发运营安全能力成熟度评估
随着数字化的推进,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,其自身的安全问题也愈发成为业界关注的焦点。研发运营安全是指在软件应用服务全生命周期之中,从初期便引入安全,采取相关技术与管理手段,避免漏洞与威胁的产生,加固应用服务安全,提升软件质量。
2023年8月25日,中国信息通信研究院在首届SecGo云和软件安全大会上隆重公布了评估结果,深圳星网信通科技股份有限公司(以下简称“星网信通”)成功通过“TSM可信研发运营安全能力成熟度评估—基础级”。
星网信通公司研发总经理-吴超杰接受了SecGo软件供应链安全的采访,并分享星网信通公司在可信研发运营安全的落地实践及参与评估的收获。
Q:吴总您好,请介绍一下您的企业。
吴:星网信通成立于2005年,秉承“咨询为先导、产品为依托、服务为核心”的业务模式,为政府、金融、电力、能源、互联网、公共事业、大企业等客户提供融合通信整体解决方案以及综合性IT解决方案。总部位于深圳,在全国主要城市设有分子公司或办事处,目前有400多人,一半以上为研发人员。公司持续发力研发投入,形成了从端侧、平台侧、应用侧的产品矩阵,保持产品在市场上的竞争力和对市场需求反映的灵敏性,同时也积极参与行业标准的起草,开展产学研合作。
Q:请问通过本次标准评估对您的企业带来了什么帮助?
吴:通过本次标准评估,对内保证了研发过程的安全可持续性,对外增加了企业市场竞争力,对安全性有更高要求的客户来说更有吸引力。
Q:请介绍一下您企业的安全组织架构。
吴:公司成立信息安全领导小组,是信息安全的最高决策机构,下设信息安全工作组和应急处理工作组。信息安全工作组贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作。应急处理工作组负责审定公司网络与信息系统的安全应急策略及应急预案。
Q:请介绍一下您企业的安全体系工作落地所解决的痛点问题及带来的价值成效。
吴:随着信息化建设逐渐深入,客户对信息安全要求越来越高,要求提供的产品或服务符合信息安全要求。通过建立安全体系,从研发过程保障资产安全可持续。比如对漏洞的应急响应机制,通过应急处理工作组准备的应急响应预案,能从容应对突发的漏洞,及时消除漏洞带来的消极影响。
TSM可信研发运营安全能力成熟度评估(以下简称“评估”)简介
评估基于《可信研发运营安全能力成熟度模型》标准,对于企业的研发运营安全能力从软件应用服务全生命周期,搭配管理制度,包括要求阶段、安全需求分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、运营阶段和下线阶段9大部分进行评估,分为基础级、增强级、先进级三个级别。评估共包括38项一级指标项,可细分为:110项基础级能力指标+111项增强级能力指标+62项先进级能力指标。
企业参评价值
对标业界优秀实践,帮助企业构筑全生命周期安全体系
标准制定过程参考调研大量业界已有优秀实践,通过参评对标业界优秀实践,同时与同行业企业对比,探索构筑符合企业自身情况的全生命周期安全体系,提升企业自身市场竞争力。
量化企业安全水平,明确企业安全现状和后续改进计划
企业通过参与评估将自身安全水平进行量化,明确企业在同行业中安全所处水平和现状,帮助企业明确后续改进方向和实施计划。
建立行业互信机制,构建安全可信生态,助力企业业务发展
通过中国信通院组织的相关评估,意味企业组织内部已建立研发运营安全体系,实现安全全流程覆盖。企业可向客户呈现评估结果,证明软件生产过程的安全性、透明性,从而建立互信机制,构建安全可信生态,进一步助力企业业务发展
版权©2005-2024 深圳星网信通科技股份有限公司 备案号:粤ICP备09086727号 粤公网安备:44030502001610号
技术支持:创同盟