标准摘要
[中文适用范围]: 本技术规范:定义了符合 ISO/IEC 33004 要求的过程评估模型(PAM),通过提供指标指导解释 ISO/IEC TS 33052 中定义的过程目的和结果以及 ISO/IEC 33020 中定义的过程属性,从而支持执行过程能力评估;通过实例提供了关于评估指标的定义、选择和使用方面的指导。PAM 包含一组过程绩效和过程能力的指标。这些指标用于收集客观证据,使评估员能够分配评级。本技术规范中包括的指标集并非旨在成为一套包罗万象的集合,也并非旨在完全适用。本技术规范中的 PAM 面向希望选择模型和相关记录过程方法的评估委托人和 competent 评估员(用于能力确定或过程改进)。此外,它对于评估模型的开发者在构建自己的模型时也可能有用,提供了良好的信息安全管理的实践示例。它可由:a) 服务提供商用来评估和改进信息安全管理系统(ISMS);b) 服务提供商用来证明其具备设计、开发、转换和交付满足信息安全管理系统要求的服务的能力。 任何符合 ISO/IEC 33004 关于过程评估模型要求的 PAM 均可用于评估。不同的模型和方法可能用于解决不同的业务需求。本技术规范中的评估模型符合 ISO/IEC 33004 中表达的所有要求。注:本技术规范的用户可以重述 5.2 至 5.27、6.2、B.2 和 B.3 小节,作为任何工具或其他材料的一部分,以支持执行过程评估,以便用于其预期目的。 [外文原描述]: ISO/IEC TS 33072:2016: - defines a process assessment model (PAM) that meets the requirements of ISO/IEC 33004 and that supports the performance of an assessment of process capability by providing indicators for guidance on the interpretation of the process purposes and outcomes as defined in ISO/IEC TS 33052 and the process attributes as defined in ISO/IEC 33020; - provides guidance, by example, on the definition, selection and use of assessment indicators.
英文名称Information technology - Process assessment - Process capability assessment model for information security management