目前对于信息技术和服务采购组织而言仍缺乏有效的安全采购过程实践指南。该文提出了一种基于CMMI-ACQ的安全采购模型SAMEC,以CMMI-ACQ模型的组织形式和模型内容作为基础,考虑采购过程中可能存在的安全隐患及ISO27000安全标准的要求,在信息技术和服务的采购过程中分别扩展出相应的安全目标和实践。最后从过程的角度分析了利用该模型如何对对文献中的典型安全问题或风险等进行了问题解决和风险规避,可知SAMEC模型能够帮助组织进行安全的信息技术和服务采购从而保证采购成功地完成。

• 单位
  重庆市公安局; 中国科学院大学; 中国科学院软件研究所