ICS3524001

CCSL.67.

團體標準

T/CIE186—2023

業務研發安全運營一體化能力成熟度模型

BizDevSecOpscapabilitymaturitymodel

2023-08-03發布2023-08-03實施

中國電子學會發布

中國標準出版社出版

T/CIE186—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

總體架構及級別劃分

4……………………6

持續規劃

5…………………8

持續設計

6…………………10

持續測試

7…………………13

持續集成

8…………………15

持續部署

9…………………18

持續安全

10………………20

參考文獻

……………………23

Ⅰ

T/CIE186—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由中國電子學會提出并歸口

。

本文件起草單位北京易科紳國際信息科技有限公司思特沃克軟件技術北京有限公司中國電

:、()、

子學會埃森哲中國有限公司華為云計算技術有限公司中興通訊股份有限公司聯想北京有限公

、()、、、()

司中國國際金融股份有限公司凱捷咨詢中國有限公司廣州嘉為科技有限公司華中科技大學騰

、、()、、、

訊云計算北京有限責任公司京東科技信息技術有限公司恒生電子股份有限公司優維科技深圳

()、、、()

有限公司北京光環國際教育科技股份有限公司勵德愛思唯爾信息技術北京有限公司上海分公司

、、()、

福建理工大學

。

本文件主要起草人肖然謝保龍張霖張海云周紀海曹學勤陳崇發黎明楊璐杜巍閆林

:、、、、、、、、、、、

徐毅王娟張玲陳磊郭瑞楊浩鄭偉娜李增和蔣帆李文喬李之琳邵雙全丁寧楊信劉勁輝

、、、、、、、,、、、、、、、

李聃汪珺萬學凡杜偉王志民

、、、、。

Ⅲ

T/CIE186—2023

引言

數字化時代是軟件改變世界的時代如今任何一個行業中的任何一項業務都離不開軟件平臺的支

。

撐在確保業務價值的前提下安全可靠地提升軟件研發效能已經成為全球企業數字化時代的核心競

。,

爭力作為業務研發安全運營一體化的英文縮寫已經成為一個專有名詞并在國際上得

。BizDevSecOps,

到廣泛認可和接納

。

業務研發安全運營一體化是指在軟件產品和相關服務的規劃設計研發和交付過程中通過優化

、、,

整個組織在需求開發測試部署安全和運營等關鍵階段的協作機制和實踐實現基于業務價值交付

、、、、,

的全生命周期治理

。

本文件在總結國際金融機構科技組織及大量行業的實踐和評估模型并充分研究和驗證的基礎

、

上結合國內企業特點進行了本土化適配是匯聚國內外優秀實踐總結的結果

,,。

本文件可以從多個維度評估組織的業務研發安全運營一體化成熟度主要包括工具支撐價值流

,、

動成效度量以及角色定位等通過深入理解和應用這些成熟度標準組織能夠逐步提升研發效能實

、。,,

現更快速更高質量的軟件交付以及更緊密的業務研發與安全運營的協同業務

、,。

研發安全運營一體化是一種重視業務軟件研發信息安全和數據隱私和業

“(Biz)”“(Dev)”“(Sec)”“

務運營以及運維之間溝通合作的文化和方法實踐鼓勵跨職能協作和持續學習改進通過

IT(Ops)”,。

持續規劃持續設計持續測試持續集成持續部署持續安全等一系列的組織級能力的打造透過滾

、、、、、,“

動規劃持續交付和安全內建等系列實踐活動構建面向未來基于業務價值實現的軟件研發體系

”“”“”,、。

最終使數字化產品和服務能夠更加快捷頻繁高價值地迭代和可靠發展

、、。

業務研發安全運營一體化可以幫助企業在數字化轉型中提升軟件研發效能促進業務與技術融合

、。

同時在保證質量的前提下實現高質量的軟件產品和服務的快速交付以及業務需求和市場環境變化

,,,

的靈活應對

。

業務研發安全運營一體化的理念基于國際數字化能力基金會發布的數字化轉型與創新管

(iFDC)

理知識體系的核心價值主張包括

VeriSM。VeriSM:

價值驅動面向客戶的端到端價值流

———(ValueDriven):;

持續演進持續優化流程實踐和架構

———(Evolving):、;

及時響應快速適應業務和市場變化

———(Responsive):;

協調整合跨領域跨緯度的持續協調整合

———(Integrated):。

Ⅳ

T/CIE186—2023

業務研發安全運營一體化能力成熟度模型

1范圍

本文件規定了業務研發安全運營一體化能力成熟度模型中的總體架構級別劃

(BizDevSecOps)、

分以及持續規劃持續設計持續測試持續集成持續部署和持續安全

,、、、、。

本文件適用于各類組織開展能力成熟度模型建立及優化活動的評估實施和改進

BizDevSecOps、。

2規范性引用文件

本文件沒有規范性引用文件

。

3術語定義和縮略語

、

31術語和定義

.

下列術語和定義適用于本文件

。

311

..

業務研發安全運營一體化BizDevSecOps

用于促進業務開發應用程序軟件工程技術運營和質量保證部門之間的溝通協作與整

、(/)、(QA)、

合的一組過程方法與系統的統稱

、。

312

..

持續集成continuousintegration

開發人員每天一次或者多次將代碼集成到主干集成分支上每次集成都會通過自動化的流水線進

/,

行驗證并發現集成的問題

。

313

..

持續部署continuousdeployment

在軟件版本控制過程中通過自動化流程快速頻繁地實現軟件的構建和測試并發布到生產環

,,