2018/7/5第3章安全集成的实施信息安全保障人员认证22摘要•信息系统安全集成工程是信息系统安全工程的一个子集。•信息系统安全集成工程可以理解为系统安全工程、软件工程、系统集成及安全管理等诸多领域的融合。12018/7/5信息安全保障人员认证目录安全集成实施过程框架安全需求安全设计安全实施安全测评安全监视与评审改进3信息安全保障人员认证43.1安全集成实施过程框架•信息系统安全集成是工程活动,也可以是安全服务,即安全集成的交付物可以是系统、产品甚至是服务。•信息系统安全集成服务是“信息系统集成过程中的安全需求界定、安全设计、安全实施、安全保障等活动。采用信息系统安全工程的方法和理论,将安全单元、安全产品部件进行集成的活动”。•信息系统安全集成服务将信息系统集成工程分为了安全需求界定、安全设计、安全实施和安全保障四个阶段。22018/7/5信息安全保障人员认证5安全集成服务与工程•安全需求界定阶段包含了符合性要求和风险评估2个环节;•安全设计阶段包含了措施盘点、措施计划和集成与安全设计3个环节;•安全实施阶段包括了措施实施和工程实施2个环节;•安全保障阶段包括了安全测评、监视、评审与改进4个环节。信息安全保障人员认证6安全集成的阶段与环节阶段模式需求分析安全设计安全实施安全保障安全的集成符合性要求风险评估措施盘点措施计划措施实施监视评审改进集成的安全集成与安全设计工程实施安全测评监视评审改进32018/7/5两种模式的关系符合性要求改进风险评估集成与评审安全设计监视工程实施安全评测评审改进监视7符合性要求措施实施风险评估措施盘点措施计划信息安全保障人员认证信息安全保障人员认证8系统安全工程与安全集成工程阶段信息系统安全集成系统安全工程集成安全安全集成工程过程风险过程保障过程需求分析阶段符合性要求√√风险评估√√设计阶段安全设计措施盘点√措施计划√√实施阶段工程实施措施实施√√安全保障阶段安全测评√√√监视√√评审√√改进√42018/7/5信息安全保障人员认证91.界定安全需求2.确定服务合同3.确定服务人员和组织4.签订保密协议集成准备方案设计建设实施安全保证1.安全方案设计1.管理安全控制措施2.安全协调3.安全监控1.验证和确认安全2.建立保证论据安全集成服务过程信息安全保障人员认证安全管理与安全集成工程基本安全需求原则主要领导负责原则全员参与原则系统方法原则持续改进原则依法管理原则分权和授权原则分级保护原则管理与技术并重原则自保护和国家监管结合原则101234567891052018/7/5信息安全保障人员认证113.2安全需求•安全需求分析的目的•明确地识别组织的有关被集成信息系统的安全需求,并与各方达成安全共识信息安全保障人员认证123.2安全需求•理解客户的安全需求•法律、政策、标准、外部影响和约束条件•安全风险,明确风险评估的方法、确定风险接受准则、确立安全风险级别•识别被集成系统的目的,以便确定安全来龙去脉•捕获被集成系统运行的高层次安全视图•捕获定义被集成系统安全的高层次目标•定义一组一致的要求,用以规定将要在被集成系统实现的保护•就所规定的安全需求与客户需要相匹配达成协议62018/7/5信息安全保障人员认证13安全现状分析•安全现状分析的主要工作•对开展安全集成前信息系统的安全现状进行全面的评价和分析的活动。信息安全保障人员认证14安全现状分析•安全现状分析的主要目的•识别目前信息系统在信息安全保障方面所存在的缺陷和不足,信息系统现存的安全风险,理解安全集成项目所需要解决的安全问题72018/7/5信息安全保障人员认证15安全现状分析内容业务现状实体对象的安全风险保障环节的建设情况资源现状管理现状信息安全保障人员认证16策略与符合性符合性要求信息安全策略要求安全组织保障法律法规、规章制度、标准与规范发布、管理和保护其信息安全而制定的一组规章、规范和措施的总合,是对系统内信息资源使用和管理规则的正式描述,是所有使用和管理系统内信息资源的人员都必须遵守的规则安全保障体系建设除了接受国家信息安全管理机关(如:公安部门、保密部门、密码管理部门等)宏观管理外,在系统内部还应建立自己...
VIP
