Segurança informática em auditoria

6.6. ISO/IEC 21827:2002(E) [31]

Foi desenvolvido pela ISO (the International Organization for Standardization) e IEC (the International Electrotechnical Commission).

Trata-se de um standard de avaliação de maturidade dos sistemas de segurança: Tecnologias de Informação - Engenharia de Sistemas de Segurança - Capability Maturity Model (SSE-CMM).

O modelo considera seis níveis de maturidade que vão desde a não existência de segurança até ao nível mais elevado quando o sistema está plenamente seguro e optimizado:

0 - Não existente

1 - Inicial ou ad hoc

2 - Repetível mas intuitivo

3 - Processo definido

4 - Gerido e mensurável

5 - Optimizado

Um vasto número de entidades pratica a engenharia de segurança no desenvolvimento de software de sistemas operativos, gerindo e reforçando as funções de protecção. São necessários métodos adequados e boas práticas de referência.

O SSE-CMM® é um modelo de referência de processo. Foca-se nos requisitos para implantar a segurança num sistema ou série de sistemas de Tecnologias de Informação. Pode sugerir um processo específico para uma organização em particular.

O seu âmbito considera:

• A engenharia das actividades do sistema de segurança para um produto seguro ou um sistema de confiança, tratando o ciclo de vida completo desde a definição do conceito, análise de requisitos, desenho, desenvolvimento, integração, instalação e operação, manutenção e desactivação;



• Requisitos para programadores de software, programadores de sistemas seguros e integradores, organizações que forneçam serviços de segurança de computadores ou construção de computadores;



• Aplica-se a todos os tipos e tamanhos de organizações de engenharia de segurança, comerciais ou estatais.