【正文】 存在的任何殘余風(fēng)險(xiǎn) ? 子任務(wù) 得到客戶對(duì)詳細(xì)安全設(shè)計(jì)的認(rèn)同 – –任務(wù) 支持系統(tǒng)的認(rèn)證和認(rèn)可（ Camp。 –信息系統(tǒng)建設(shè)與信息安全建設(shè)同步設(shè)計(jì)可以避免重復(fù)投資，增強(qiáng)效益 52 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 根據(jù)安全需求有針對(duì)性地設(shè)計(jì)安全措施是非常必要的 –安全設(shè)計(jì)要依據(jù)安全需求 –安全設(shè)計(jì)要具備可行性和一定的前瞻性 –達(dá)到風(fēng)險(xiǎn) —需求 —設(shè)計(jì)的一致性和協(xié)調(diào)性 53 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 案例 1 – 某單位提出安全建設(shè)的需求是加強(qiáng)網(wǎng)絡(luò)邊界的防護(hù)，集成單位根據(jù)需求，制定的設(shè)計(jì)方案中包含有數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品、桌面防護(hù)系統(tǒng)、 SOC系統(tǒng)等，沒(méi)有實(shí)現(xiàn)邊界防護(hù)的目標(biāo)，卻實(shí)現(xiàn)了內(nèi)部防范與審計(jì)。A文檔能滿足客戶和認(rèn)可員及認(rèn)證 ?員的要求 ?子任務(wù) 為 Camp?！霸u(píng)估信息保護(hù)的有效性”中的各項(xiàng)任務(wù)和子任務(wù)已經(jīng)列入上述的活動(dòng)中。 75 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 信息安全工程常伴有“影響效率或隱私”的阻力，應(yīng)正確認(rèn)識(shí)、做好宣講、果斷行事，長(zhǎng)痛不如短痛確保長(zhǎng)治久安 ，需在每臺(tái)個(gè)人 PC安裝客戶端軟件，終端用戶害怕個(gè)人隱私泄露，抵觸情緒很大。 – 某部委信息安全處長(zhǎng)：“風(fēng)險(xiǎn)評(píng)估的引入即保證和驗(yàn)證了系統(tǒng)的安全有效性，同時(shí)也分擔(dān)了部分工程風(fēng)險(xiǎn)。 ? 運(yùn)維階段設(shè)備無(wú)人管理、日志無(wú)人分析、配置無(wú)人跟新 80 評(píng)估信息保護(hù)系統(tǒng)的有效性 一種是已經(jīng)被攻破的 從風(fēng)險(xiǎn)的角度看，信息系統(tǒng)只有以下兩種： 另一種是即將被攻破的 81 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問(wèn)題是覆蓋全生命周期的 技術(shù)工程管理人員保障要素開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)完整性可用性廢棄保密性安全特征計(jì)劃組織生命周期82 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問(wèn)題是覆蓋全生命周期的 對(duì) 象確 立風(fēng) 險(xiǎn)評(píng) 估風(fēng) 險(xiǎn)控 制審 核批 準(zhǔn)溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查83 持續(xù)的風(fēng)險(xiǎn)評(píng)估是 信息安全保障的一 項(xiàng)基礎(chǔ)性工作 持續(xù)的風(fēng)險(xiǎn)評(píng)估為新 的安全決策和需求提供 重要依據(jù) 風(fēng)險(xiǎn)評(píng)估 評(píng)估信息保護(hù)系統(tǒng)的有效性 84 ISSE應(yīng)用情況 ? 確定信息保護(hù)需求 ? 在一個(gè)可接受的信息保護(hù)風(fēng)險(xiǎn)下滿足信息保護(hù)的需求 ? 根據(jù)需求，構(gòu)建一個(gè)功能上的信息保護(hù)體系結(jié)構(gòu) ? 根據(jù)物理體系結(jié)構(gòu)和邏輯體系結(jié)構(gòu)分配信息保護(hù)的具體 功能 ? 設(shè)計(jì)信息系統(tǒng)，用于實(shí)現(xiàn)信息保護(hù)的體系結(jié)構(gòu) ? 從整個(gè)系統(tǒng)的成本、規(guī)劃運(yùn)行的適宜性和有效性綜合， 85 ISSE應(yīng)用情況 ? 參與對(duì)其他信息保護(hù)和系統(tǒng)工程學(xué)科的綜合應(yīng)用 ? 將 ISSE過(guò)程與系統(tǒng)工程與采辦工程相結(jié)合 ? 以驗(yàn)證信息保護(hù)設(shè)計(jì)方案并確認(rèn)信息保護(hù)的需求為目的，對(duì)系統(tǒng)進(jìn)行測(cè)試 ? 根據(jù)需要對(duì)整個(gè)過(guò)程進(jìn)行擴(kuò)充和剪裁，提供系統(tǒng)部署后的進(jìn)一步測(cè)試 86 信息安全工程監(jiān)理 87 信息安全工程監(jiān)理 ?熟悉信息安全工程監(jiān)理模型 ?了解監(jiān)理階段目標(biāo) ?了解安全工程各方職責(zé) 學(xué)習(xí)目標(biāo) 88 信息安全工程監(jiān)理模型 ? 了解信息安全工程監(jiān)理工作的意義 ? 了解信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 89 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 認(rèn)真實(shí)施信息安全工程監(jiān)理制度意義是重大的。 92 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 對(duì)施工單位（集成商）來(lái)說(shuō)，在其與得到建設(shè)單位委托的監(jiān)理機(jī)構(gòu)打交道，在技術(shù)上、管理上可以有共同語(yǔ)言，即使發(fā)生爭(zhēng)議，也比較容易按現(xiàn)行專業(yè)法規(guī)去妥善處理，將減少或杜絕過(guò)去甲、乙雙方之間那種不正常的“扯皮”，而提高施工及管理的效率 93 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 監(jiān)理咨詢支撐要素控制和管理手段監(jiān)理咨詢階段過(guò)程設(shè)計(jì)招標(biāo)實(shí)施驗(yàn)收變更監(jiān)理咨詢組織結(jié)構(gòu)監(jiān)理咨詢?cè)O(shè)施信息安全保障專業(yè)知識(shí)質(zhì)量管理質(zhì)量控制進(jìn)度控制成本控制合同管理信息管理組織協(xié)調(diào)― 三控制、兩管理、一協(xié)調(diào) ‖監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 合同 監(jiān)理實(shí)施細(xì)則監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 監(jiān)理實(shí)施細(xì)則監(jiān)理范圍 ? 信息安全工程監(jiān)理內(nèi)容范圍是信息安全工程，并不專注于某一產(chǎn)品的性能和功能 – 查驗(yàn)產(chǎn)品型號(hào)與合同型號(hào)是否一致 – 查驗(yàn)貨品及配件是否完好無(wú)破損 – 查驗(yàn)產(chǎn)品是否能夠通過(guò)加電測(cè)試 – 查驗(yàn)產(chǎn)品部署位置是否與實(shí)施方案一致 – 查驗(yàn)產(chǎn)品配置策略是否與實(shí)施方案一致 – 檢測(cè)產(chǎn)品的性能和功能是否滿足本次項(xiàng)目需求 95 監(jiān)理范圍 ? 信息安全工程監(jiān)理的時(shí)間范圍是從簽署監(jiān)理合同開(kāi)始到工程的結(jié)束 – 業(yè)主單位應(yīng)先選擇監(jiān)理方，再選擇集成方，最后選擇產(chǎn)品供應(yīng)方 – 信息安全工程監(jiān)理覆蓋的階段為需求、設(shè)計(jì)、實(shí)施和驗(yàn)收，并不包含運(yùn)維階段，是全工程實(shí)施周期的，不是全生命周期的。 102 信息安全工程流程和各方職責(zé) ? 信息安全工程招標(biāo)、設(shè)計(jì)、實(shí)施和驗(yàn)收階段業(yè)務(wù)單位、承建單位和監(jiān)理單位的職責(zé)和工作流程 103 招標(biāo)階段技術(shù)部分 描述和證據(jù) ? 主要完成證據(jù) – 用戶簽認(rèn)的 《 需求書(shū) 》 ；附件一：監(jiān)理方簽認(rèn)的 《 需求書(shū)報(bào)審表 》 – 《 信息安全建設(shè)方案 》 、 《 方案評(píng)審報(bào)告 》 和 《 專家評(píng)審意見(jiàn) 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全建設(shè)方案報(bào)審表 》 ? 其他證據(jù)： 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 等 ? 咨詢服務(wù)：同承建方、業(yè)主方進(jìn)行溝通、培訓(xùn)；通過(guò)所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國(guó)家、部門等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 需求審核 需求書(shū) 需求書(shū)報(bào)審表 信息安全建設(shè)方案 方案評(píng)審 方案評(píng)審報(bào)告 信息安全建設(shè)方案報(bào)審表 專家評(píng)審意見(jiàn) 業(yè)主對(duì)需求書(shū)進(jìn)行蓋章認(rèn)可 簽認(rèn)的需求書(shū) 監(jiān)理方協(xié)助業(yè)主方進(jìn)行專家評(píng)審 104 設(shè)計(jì)階段監(jiān)理流程 設(shè)計(jì)階段 描述和證據(jù) ? 主要完成證據(jù)：三方簽認(rèn)的 《 信息安全工程實(shí)施方案 》 、 《 安全工程階段測(cè)試方案 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全工程實(shí)施報(bào)審表 》 ，附件二：監(jiān)理方簽認(rèn)的 《 信息安全工程階段測(cè)試方案報(bào)審表 》 ? 其他證據(jù)： 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 、 《 安全工程效益評(píng)估方案 》 等 ? 咨詢服務(wù)：通過(guò)所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國(guó)家、部門等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 方案審核 信息安全工程實(shí)施方案 信息安全工程實(shí)施方案報(bào)審表 對(duì)安全工程實(shí)施方案簽認(rèn) 簽認(rèn)的實(shí)施方案 方案審核 信息安全工程階段測(cè)試方案 信息安全工程階段測(cè)試方案報(bào)審表 對(duì)安全工程階段性測(cè)試方案簽認(rèn) 簽認(rèn)的方案 106 實(shí)施階段監(jiān)理流程 實(shí)施階段 描述和證據(jù) ? 主要完成證據(jù)