T/CIE 186-2023 业务研发安全运营一体化能力成熟度模型

ICS3524001

CCSL.67.

团体标准

T/CIE186—2023

业务研发安全运营一体化能力成熟度模型

BizDevSecOpscapabilitymaturitymodel

2023-08-03发布2023-08-03实施

中国电子学会发布

中国标准出版社出版

T/CIE186—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

总体架构及级别划分

4……………………6

持续规划

5…………………8

持续设计

6…………………10

持续测试

7…………………13

持续集成

8…………………15

持续部署

9…………………18

持续安全

10………………20

参考文献

……………………23

Ⅰ

T/CIE186—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国电子学会提出并归口

。

本文件起草单位北京易科绅国际信息科技有限公司思特沃克软件技术北京有限公司中国电

:、()、

子学会埃森哲中国有限公司华为云计算技术有限公司中兴通讯股份有限公司联想北京有限公

、()、、、()

司中国国际金融股份有限公司凯捷咨询中国有限公司广州嘉为科技有限公司华中科技大学腾

、、()、、、

讯云计算北京有限责任公司京东科技信息技术有限公司恒生电子股份有限公司优维科技深圳

()、、、()

有限公司北京光环国际教育科技股份有限公司励德爱思唯尔信息技术北京有限公司上海分公司

、、()、

福建理工大学

。

本文件主要起草人肖然谢保龙张霖张海云周纪海曹学勤陈崇发黎明杨璐杜巍闫林

:、、、、、、、、、、、

徐毅王娟张玲陈磊郭瑞杨浩郑伟娜李增和蒋帆李文乔李之琳邵双全丁宁杨信刘劲辉

、、、、、、、,、、、、、、、

李聃汪珺万学凡杜伟王志民

、、、、。

Ⅲ

T/CIE186—2023

引言

数字化时代是软件改变世界的时代如今任何一个行业中的任何一项业务都离不开软件平台的支

。

撑在确保业务价值的前提下安全可靠地提升软件研发效能已经成为全球企业数字化时代的核心竞

。,

争力作为业务研发安全运营一体化的英文缩写已经成为一个专有名词并在国际上得

。BizDevSecOps,

到广泛认可和接纳

。

业务研发安全运营一体化是指在软件产品和相关服务的规划设计研发和交付过程中通过优化

、、,

整个组织在需求开发测试部署安全和运营等关键阶段的协作机制和实践实现基于业务价值交付

、、、、,

的全生命周期治理

。

本文件在总结国际金融机构科技组织及大量行业的实践和评估模型并充分研究和验证的基础

、

上结合国内企业特点进行了本土化适配是汇聚国内外优秀实践总结的结果

,,。

本文件可以从多个维度评估组织的业务研发安全运营一体化成熟度主要包括工具支撑价值流

,、

动成效度量以及角色定位等通过深入理解和应用这些成熟度标准组织能够逐步提升研发效能实

、。,,

现更快速更高质量的软件交付以及更紧密的业务研发与安全运营的协同业务

、,。

研发安全运营一体化是一种重视业务软件研发信息安全和数据隐私和业

“(Biz)”“(Dev)”“(Sec)”“

务运营以及运维之间沟通合作的文化和方法实践鼓励跨职能协作和持续学习改进通过

IT(Ops)”,。

持续规划持续设计持续测试持续集成持续部署持续安全等一系列的组织级能力的打造透过滚

、、、、、,“

动规划持续交付和安全内建等系列实践活动构建面向未来基于业务价值实现的软件研发体系

”“”“”,、。

最终使数字化产品和服务能够更加快捷频繁高价值地迭代和可靠发展

、、。

业务研发安全运营一体化可以帮助企业在数字化转型中提升软件研发效能促进业务与技术融合

、。

同时在保证质量的前提下实现高质量的软件产品和服务的快速交付以及业务需求和市场环境变化

,,,

的灵活应对

。

业务研发安全运营一体化的理念基于国际数字化能力基金会发布的数字化转型与创新管

(iFDC)

理知识体系的核心价值主张包括

VeriSM。VeriSM:

价值驱动面向客户的端到端价值流

———(ValueDriven):;

持续演进持续优化流程实践和架构

———(Evolving):、;

及时响应快速适应业务和市场变化

———(Responsive):;

协调整合跨领域跨纬度的持续协调整合

———(Integrated):。

Ⅳ

T/CIE186—2023

业务研发安全运营一体化能力成熟度模型

1范围

本文件规定了业务研发安全运营一体化能力成熟度模型中的总体架构级别划

(BizDevSecOps)、

分以及持续规划持续设计持续测试持续集成持续部署和持续安全

,、、、、。

本文件适用于各类组织开展能力成熟度模型建立及优化活动的评估实施和改进

BizDevSecOps、。

2规范性引用文件

本文件没有规范性引用文件

。

3术语定义和缩略语

、

31术语和定义

.

下列术语和定义适用于本文件

。

311

..

业务研发安全运营一体化BizDevSecOps

用于促进业务开发应用程序软件工程技术运营和质量保证部门之间的沟通协作与整

、(/)、(QA)、

合的一组过程方法与系统的统称

、。

312

..

持续集成continuousintegration

开发人员每天一次或者多次将代码集成到主干集成分支上每次集成都会通过自动化的流水线进

/,

行验证并发现集成的问题

。

313

..

持续部署continuousdeployment

在软件版本控制过程中通过自动化流程快速频繁地实现软件的构建和测试并发布到生产环

,,、,

境中

。

314

..

持续交付continuousdelivery

一种软件开发实践目标是创建可以随时发布到生产环境的软件在保证软件质量的同时提高发

,,,

布的频率和效率

。

315

..

成效度量effectivenessmeasurement

用于量化某个具体活动实际达成效用的方式或方法

。

注可以从定性或者定量的维度来对成效进行描述

:。

316

..

成效度量指标effectivenessmeasurementindicator

用于量化某个具体活动实际达成效果的可量化指标

。

注该指标可以是定性的指标例如用户的净推荐值也可以是定量的指标例如千

:[:NPS(Netpromoterscore,)],(:

次点击转化率等

)。

1