主页

摘要：ICT/软件供应链安全是一个目前被高度关注的问题，MITRE推出了一个供应链安全信任体系（SoT）项目，提供方法从供应商、供应品、服务三个方面展开640多项供应链风险项，期望能象CVE、CWE、ATT&CK那样成为供应链安全风险评估的通用方法和基础知识库来支撑供应链安全风险管理。从这个风险项里，可以侧面部分了解一下他们是怎么看供应链安全风险的。

CMMI 3.0发布 2023年4月6日，CMMI研究院发布了CMMI 3.0，3.0在架构上没有大的变化，新的3.0包括12个能力域，31个实践域，276个实践。 主要变化有： 新增加了一个能力域，管理数据（Managing Data），下面包括两个实践域PA：数据管理和数据质量 (注：2021年5月的CMMI V2.2增加了Security和Safety能力域（Managing Security and Safety））

此文发表在《中国信息安全》杂志2022年第9期 链接：企业视角看数据安全与网络安全：理解内涵演进，落实合规治理

在网络安全的标准和政策编制工作中，用语需要非常精确，经常需要仔细辨别术语和词汇的细微差别，这就需要能有个地方可以查询标准中术语，虽然可以从特定的标准，比如ISO 27001, GB/T 25069等标准中去查，但毕竟单个标准中的词汇有限，到处找了国标、行标的官网、ISO、IEC等网站，但没找到一个地方可以方便同时查询不同标准组织和不同标准中的术语，于是自己将来自于ISO、NIST、国标以及部分法规中定义的术语整理了一下，写了一个简单的查询工具，方便一键式查询：

此文最早发布在洪延青博士的微信公众号“网安寻路人”上 链接：数据分类和分级概念解析