T/CIE 186-2023業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化能力成熟度模型

ICS3524001

CCSL.67.

團(tuán)體標(biāo)準(zhǔn)

T/CIE186—2023

業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化能力成熟度模型

BizDevSecOpscapabilitymaturitymodel

2023-08-03發(fā)布2023-08-03實(shí)施

中國(guó)電子學(xué)會(huì)發(fā)布

中國(guó)標(biāo)準(zhǔn)出版社出版

T/CIE186—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

總體架構(gòu)及級(jí)別劃分

4……………………6

持續(xù)規(guī)劃

5…………………8

持續(xù)設(shè)計(jì)

6…………………10

持續(xù)測(cè)試

7…………………13

持續(xù)集成

8…………………15

持續(xù)部署

9…………………18

持續(xù)安全

10………………20

參考文獻(xiàn)

……………………23

Ⅰ

T/CIE186—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由中國(guó)電子學(xué)會(huì)提出并歸口

。

本文件起草單位北京易科紳國(guó)際信息科技有限公司思特沃克軟件技術(shù)北京有限公司中國(guó)電

:、()、

子學(xué)會(huì)埃森哲中國(guó)有限公司華為云計(jì)算技術(shù)有限公司中興通訊股份有限公司聯(lián)想北京有限公

、()、、、()

司中國(guó)國(guó)際金融股份有限公司凱捷咨詢中國(guó)有限公司廣州嘉為科技有限公司華中科技大學(xué)騰

、、()、、、

訊云計(jì)算北京有限責(zé)任公司京東科技信息技術(shù)有限公司恒生電子股份有限公司優(yōu)維科技深圳

()、、、()

有限公司北京光環(huán)國(guó)際教育科技股份有限公司勵(lì)德愛思唯爾信息技術(shù)北京有限公司上海分公司

、、()、

福建理工大學(xué)

。

本文件主要起草人肖然謝保龍張霖張海云周紀(jì)海曹學(xué)勤陳崇發(fā)黎明楊璐杜巍閆林

:、、、、、、、、、、、

徐毅王娟張玲陳磊郭瑞楊浩鄭偉娜李增和蔣帆李文喬李之琳邵雙全丁寧楊信劉勁輝

、、、、、、、,、、、、、、、

李聃汪珺萬(wàn)學(xué)凡杜偉王志民

、、、、。

Ⅲ

T/CIE186—2023

引言

數(shù)字化時(shí)代是軟件改變世界的時(shí)代如今任何一個(gè)行業(yè)中的任何一項(xiàng)業(yè)務(wù)都離不開軟件平臺(tái)的支

。

撐在確保業(yè)務(wù)價(jià)值的前提下安全可靠地提升軟件研發(fā)效能已經(jīng)成為全球企業(yè)數(shù)字化時(shí)代的核心競(jìng)

。,

爭(zhēng)力作為業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化的英文縮寫已經(jīng)成為一個(gè)專有名詞并在國(guó)際上得

。BizDevSecOps,

到廣泛認(rèn)可和接納

。

業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化是指在軟件產(chǎn)品和相關(guān)服務(wù)的規(guī)劃設(shè)計(jì)研發(fā)和交付過(guò)程中通過(guò)優(yōu)化

、、,

整個(gè)組織在需求開發(fā)測(cè)試部署安全和運(yùn)營(yíng)等關(guān)鍵階段的協(xié)作機(jī)制和實(shí)踐實(shí)現(xiàn)基于業(yè)務(wù)價(jià)值交付

、、、、,

的全生命周期治理

。

本文件在總結(jié)國(guó)際金融機(jī)構(gòu)科技組織及大量行業(yè)的實(shí)踐和評(píng)估模型并充分研究和驗(yàn)證的基礎(chǔ)

、

上結(jié)合國(guó)內(nèi)企業(yè)特點(diǎn)進(jìn)行了本土化適配是匯聚國(guó)內(nèi)外優(yōu)秀實(shí)踐總結(jié)的結(jié)果

,,。

本文件可以從多個(gè)維度評(píng)估組織的業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化成熟度主要包括工具支撐價(jià)值流

,、

動(dòng)成效度量以及角色定位等通過(guò)深入理解和應(yīng)用這些成熟度標(biāo)準(zhǔn)組織能夠逐步提升研發(fā)效能實(shí)

、。,,

現(xiàn)更快速更高質(zhì)量的軟件交付以及更緊密的業(yè)務(wù)研發(fā)與安全運(yùn)營(yíng)的協(xié)同業(yè)務(wù)

、,。

研發(fā)安全運(yùn)營(yíng)一體化是一種重視業(yè)務(wù)軟件研發(fā)信息安全和數(shù)據(jù)隱私和業(yè)

“(Biz)”“(Dev)”“(Sec)”“

務(wù)運(yùn)營(yíng)以及運(yùn)維之間溝通合作的文化和方法實(shí)踐鼓勵(lì)跨職能協(xié)作和持續(xù)學(xué)習(xí)改進(jìn)通過(guò)

IT(Ops)”,。

持續(xù)規(guī)劃持續(xù)設(shè)計(jì)持續(xù)測(cè)試持續(xù)集成持續(xù)部署持續(xù)安全等一系列的組織級(jí)能力的打造透過(guò)滾

、、、、、,“

動(dòng)規(guī)劃持續(xù)交付和安全內(nèi)建等系列實(shí)踐活動(dòng)構(gòu)建面向未來(lái)基于業(yè)務(wù)價(jià)值實(shí)現(xiàn)的軟件研發(fā)體系

”“”“”,、。

最終使數(shù)字化產(chǎn)品和服務(wù)能夠更加快捷頻繁高價(jià)值地迭代和可靠發(fā)展

、、。

業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化可以幫助企業(yè)在數(shù)字化轉(zhuǎn)型中提升軟件研發(fā)效能促進(jìn)業(yè)務(wù)與技術(shù)融合

、。

同時(shí)在保證質(zhì)量的前提下實(shí)現(xiàn)高質(zhì)量的軟件產(chǎn)品和服務(wù)的快速交付以及業(yè)務(wù)需求和市場(chǎng)環(huán)境變化

,,,

的靈活應(yīng)對(duì)

。

業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化的理念基于國(guó)際數(shù)字化能力基金會(huì)發(fā)布的數(shù)字化轉(zhuǎn)型與創(chuàng)新管

(iFDC)

理知識(shí)體系的核心價(jià)值主張包括

VeriSM。VeriSM:

價(jià)值驅(qū)動(dòng)面向客戶的端到端價(jià)值流

———(ValueDriven):;

持續(xù)演進(jìn)持續(xù)優(yōu)化流程實(shí)踐和架構(gòu)

———(Evolving):、;

及時(shí)響應(yīng)快速適應(yīng)業(yè)務(wù)和市場(chǎng)變化

———(Responsive):;

協(xié)調(diào)整合跨領(lǐng)域跨緯度的持續(xù)協(xié)調(diào)整合

———(Integrated):。

Ⅳ

T/CIE186—2023

業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化能力成熟度模型

1范圍

本文件規(guī)定了業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化能力成熟度模型中的總體架構(gòu)級(jí)別劃

(BizDevSecOps)、

分以及持續(xù)規(guī)劃持續(xù)設(shè)計(jì)持續(xù)測(cè)試持續(xù)集成持續(xù)部署和持續(xù)安全

,、、、、。

本文件適用于各類組織開展能力成熟度模型建立及優(yōu)化活動(dòng)的評(píng)估實(shí)施和改進(jìn)

BizDevSecOps、。

2規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件

。

3術(shù)語(yǔ)定義和縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

下列術(shù)語(yǔ)和定義適用于本文件

。

311

..

業(yè)務(wù)研發(fā)安全運(yùn)營(yíng)一體化BizDevSecOps

用于促進(jìn)業(yè)務(wù)開發(fā)應(yīng)用程序軟件工程技術(shù)運(yùn)營(yíng)和質(zhì)量保證部門之間的溝通協(xié)作與整

、(/)、(QA)、

合的一組過(guò)程方法與系統(tǒng)的統(tǒng)稱

、。

312

..

持續(xù)集成continuousintegration

開發(fā)人員每天一次或者多次將代碼集成到主干集成分支上每次集成都會(huì)通過(guò)自動(dòng)化的流水線進(jìn)

/,

行驗(yàn)證并發(fā)現(xiàn)集成的問(wèn)題

。

313

..

持續(xù)部署continuousdeployment

在軟件版本控制過(guò)程中通過(guò)自動(dòng)化流程快速頻繁地實(shí)現(xiàn)軟件的構(gòu)建和測(cè)試并發(fā)布到生產(chǎn)環(huán)

,,