情报包括形成一个企业知识集合,用于在整个组织执行活动的实践。该知识集合包括前瞻性安全指南和组织威胁模型。
攻击模型捕获信息,用以从攻击者的角度思考问题:威胁建模、滥用案例开发与完善、数据分类和技术专用攻击模式。
安全功能与设计实践负责为主要安全控制措施(满足标准和要求实践中定义的标准)创建可用的安全模式,为这些控制措施建立中间件框架,以及创建和发布其他前瞻性安全指导。
标准和要求实践涉及向组织征求明确的安全要求、确定推荐哪种 COTS、针对主要安全控制措施(如认证、输入验证等)建立标准、为在用技术创建安全标准,以及创建标准审查委员会。
