第3章 安全集成的实施V5.pptx

2018/7/5第3章安全集成的实施信息安全保障人员认证22摘要信息系统安全集成工程是信息系统安全工程的一个子集。信息系统安全集成工程可以理解为系统安全工程、软件工程、系统集成及安全管理等诸多领域的融合。1

2018/7/5信息安全保障人员认证目录安全集成实施过程框架安全需求安全设计安全实施安全测评安全监视与评审改进3信息安全保障人员认证43.1安全集成实施过程框架信息系统安全集成是工程活动，也可以是安全服务，即安全集成的交付物可以是系统、产品甚至是服务。信息系统安全集成服务是“信息系统集成过程中的安全需求界定、安全设计、安全实施、安全保障等活动。采用信息系统安全工程的方法和理论，将安全单元、安全产品部件进行集成的活动”。信息系统安全集成服务将信息系统集成工程分为了安全需求界定、安全设计、安全实施和安全保障四个阶段。2

2018/7/5信息安全保障人员认证5安全集成服务与工程安全需求界定阶段包含了符合性要求和风险评估2个环节；安全设计阶段包含了措施盘点、措施计划和集成与安全设计3个环节；安全实施阶段包括了措施实施和工程实施2个环节；安全保障阶段包括了安全测评、监视、评审与改进4个环节。信息安全保障人员认证6安全集成的阶段与环节阶段模式需求分析安全设计安全实施安全保障安全的集成符合性要求风险评估措施盘点措施计划措施实施监视评审改进集成的安全集成与安全设计工程实施安全测评监视评审改进3

2018/7/5两种模式的关系符合性要求改进 风险评估集成与评审 安全设计监视 工程实施安全评测评审改进监视7符合性要求措施实施风险评估措施盘点措施计划信息安全保障人员认证信息安全保障人员认证8系统安全工程与安全集成工程阶段信息系统安全集成 系统安全工程集成安全安全集成工程过程风险过程保障过程需求分析阶段符合性要求√√风险评估√√设计阶段安全设计措施盘点√措施计划√√实施阶段工程实施措施实施√√安全保障阶段安全测评√√√监视√√评审√√改进√4

2018/7/5信息安全保障人员认证91.界定安全需求2.确定服务合同确定服务人员和组织签订必威体育官网网址协议集成准备方案设计建设实施安全保证1.安全方案设计管理安全控制措施安全协调3.安全监控验证和确认安全建立保证论据安全集成服务过程信息安全保障人员认证安全管理与安全集成工程基本安全需求原则主要领导负责原则全员参与原则系统方法原则持续改进原则依法管理原则分权和授权原则分级保护原则管理与技术并重原则自保护和国家监管结合原则10123456789105

2018/7/5信息安全保障人员认证113.2安全需求安全需求分析的目的明确地识别组织的有关被集成信息系统的安全需求，并与各方达成安全共识信息安全保障人员认证123.2安全需求理解客户的安全需求法律、政策、标准、外部影响和约束条件安全风险，明确风险评估的方法、确定风险接受准则、确立安全风险级别识别被集成系统的目的，以便确定安全来龙去脉捕获被集成系统运行的高层次安全视图捕获定义被集成系统安全的高层次目标定义一组一致的要求，用以规定将要在被集成系统实现的保护就所规定的安全需求与客户需要相匹配达成协议6

2018/7/5信息安全保障人员认证13安全现状分析安全现状分析的主要工作对开展安全集成前信息系统的安全现状进行全面的评价和分析的活动。信息安全保障人员认证14安全现状分析安全现状分析的主要目的识别目前信息系统在信息安全保障方面所存在的缺陷和不足，信息系统现存的安全风险，理解安全集成项目所需要解决的安全问题7

2018/7/5信息安全保障人员认证15安全现状分析内容业务现状实体对象的安全风险保障环节的建设情况资源现状管理现状信息安全保障人员认证16策略与符合性符合性要求信息安全策略要求安全组织保障法律法规、规章制度、标准与规范发布、管理和保护其信息安全而制定的一组规章、规范和措施的总合，是对系统内信息资源使用和管理规则的正式描述，是所有使用和管理系统内信息资源的人员都必须遵守的规则安全保障体系建设除了接受国家信息安全管理机关（如：公安部门、必威体育官网网址部门、密码管理部门等）宏观管理外，在系统内部还应建立自己的信息安全组织保障体系，它包含组织、制度、岗位和人员。8

2018/7/5信息安全保障人员认证17系统信息安全分析信息安全风险评估是“依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。”。识别资产识别脆弱性识别威胁评估影响信息安全保障人员认证18两种思路传统思路有哪些资产？资产由哪些脆弱性？有哪些威胁？CISAW风险管理业务不期望的结果有哪些？原因是什