Model | Gouvernance | Stratégie & Métriques
L’assurance logicielle comprend de nombreuses activités et préoccupations différentes. Sans un plan global, vous pourriez dépenser beaucoup d’énergie pour incorporer la sécurité, alors qu’en fait vos efforts pourraient être mal alignés, disproportionnés ou même contre-productifs. Le but de la pratique Stratégie et Métriques (SM) est de construire un plan efficace et concret pour réaliser vos objectifs de sécurité logicielle au sein de votre organisation.
Un programme de sécurité logicielle qui sélectionne et établit des priorités sur les activités du reste du modèle sert de base à vos efforts. La pratique vise à la construction du plan, à son maintien et à sa diffusion.
En même temps, vous souhaitez garder une trace de votre posture de sécurité et des améliorations de votre programme. Une approche axée sur les métriques est incluse pour assurer une vision précise de vos activités. Mesurer est savoir.
| Maturity level | Stream ACréer et Promouvoir | Stream BMesurer et Améliorer | |
|---|---|---|---|
| 1 | Identifier les objectifs et les moyens de mesurer l'efficacité du programme de sécurité. | Identifier les motivations de l'organisation en ce qui concerne la tolérance au risque. | Définir des métriques donnant des informations sur l'efficacité et la mise en œuvre du Programme de Sécurité Applicative. |
| 2 | Établir une feuille de route stratégique unifiée pour la sécurité des logiciels au sein de l'organisation. | Publier une stratégie unifiée pour la sécurité des applications. | Fixer des objectifs et des indicateurs clés de performance pour mesurer l’efficacité du programme. |
| 3 | Aligner les efforts en sécurité sur les indicateurs organisationnels pertinents et la valeur des actifs. | Aligner le programme de sécurité des applications pour soutenir la croissance de l’entreprise. | Influencer la stratégie en fonction des métriques et des besoins organisationnels. |