【正文】 一：監(jiān)理方簽認(rèn)的 《 信息安全建設(shè)方案報審表 》 ? 其他證據(jù)： 《 風(fēng)險評估報告 》 等 ? 咨詢服務(wù)：同承建方、業(yè)主方進(jìn)行溝通、培訓(xùn)；通過所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國家、部門等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 需求審核 需求書 需求書報審表 信息安全建設(shè)方案 方案評審 方案評審報告 信息安全建設(shè)方案報審表 專家評審意見 業(yè)主對需求書進(jìn)行蓋章認(rèn)可 簽認(rèn)的需求書 監(jiān)理方協(xié)助業(yè)主方進(jìn)行專家評審 104 設(shè)計階段監(jiān)理流程 設(shè)計階段 描述和證據(jù) ? 主要完成證據(jù)：三方簽認(rèn)的 《 信息安全工程實施方案 》 、 《 安全工程階段測試方案 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全工程實施報審表 》 ，附件二：監(jiān)理方簽認(rèn)的 《 信息安全工程階段測試方案報審表 》 ? 其他證據(jù)： 《 風(fēng)險評估報告 》 、 《 安全工程效益評估方案 》 等 ? 咨詢服務(wù)：通過所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國家、部門等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 方案審核 信息安全工程實施方案 信息安全工程實施方案報審表 對安全工程實施方案簽認(rèn) 簽認(rèn)的實施方案 方案審核 信息安全工程階段測試方案 信息安全工程階段測試方案報審表 對安全工程階段性測試方案簽認(rèn) 簽認(rèn)的方案 106 實施階段監(jiān)理流程 實施階段 描述和證據(jù) ? 主要完成證據(jù) – 監(jiān)理方簽認(rèn)的 《 安全工程階段實施細(xì)則 》 附件一：監(jiān)理方簽認(rèn)的 《 實施細(xì)則報審表 》 – 監(jiān)理方簽認(rèn)的 《 質(zhì)量管理計劃 》 附件一：監(jiān)理方簽認(rèn)的 《 質(zhì)量管理計劃報審表 》 ? 其他證據(jù)：各種工程實施過程文件 ? 監(jiān)理工作：依據(jù)實施方案、實施方案細(xì)則和質(zhì)量管理計劃對工程實施過程進(jìn)行符合性監(jiān)督和檢查 承建方 監(jiān)理方 業(yè)主方 安全工程階段實施細(xì)則審核 安全工程階段實施細(xì)則 實施細(xì)則報審表 質(zhì)量管理計劃 質(zhì)量管理計劃審核 質(zhì)量管理計劃報審表 業(yè)主確認(rèn)認(rèn)可實施細(xì)則 業(yè)主確認(rèn)認(rèn)可質(zhì)量管理計劃 108 驗收階段監(jiān)理流程 驗收階段 描述和證據(jù) ? 主要完成證據(jù) – 三方簽認(rèn)的 《 初驗、終驗驗收方案 》 附件一：監(jiān)理方簽認(rèn)的 《 初驗、終驗驗收方案報審表 》 – 三方簽認(rèn)的 《 初驗、終驗報告 》 附件一：監(jiān)理方簽認(rèn)的 《 初驗、終驗報告報審表 》 ? 其他證據(jù)：各種工程驗收過程文件 承建方 監(jiān)理方 業(yè)主方 初驗、終驗方案審核 初驗、終驗驗收方案 驗收方案報審表 初驗、終驗報告 初驗、終驗審核 初驗、終驗報審表 業(yè)主簽認(rèn)方案 業(yè)主簽認(rèn)初驗、終驗報告 110 習(xí)題和思考題 ? 作業(yè) ? 1ISSE定義的安全工程過程包含哪些階段？ ? 2 如何解決安全工程需求的合理性和符合性？ ? 3為什么說風(fēng)險評估貫穿于安全工程的全過程？ ? 答疑 。 ? 運維階段設(shè)備無人管理、日志無人分析、配置無人跟新 80 評估信息保護系統(tǒng)的有效性 一種是已經(jīng)被攻破的 從風(fēng)險的角度看，信息系統(tǒng)只有以下兩種： 另一種是即將被攻破的 81 評估信息保護系統(tǒng)的有效性 – 要與風(fēng)險管理、安全保障等思想相結(jié)合，綜合認(rèn)識信息安全問題是覆蓋全生命周期的 技術(shù)工程管理人員保障要素開發(fā)采購實施交付運行維護完整性可用性廢棄保密性安全特征計劃組織生命周期82 評估信息保護系統(tǒng)的有效性 – 要與風(fēng)險管理、安全保障等思想相結(jié)合，綜合認(rèn)識信息安全問題是覆蓋全生命周期的 對 象確 立風(fēng) 險評 估風(fēng) 險控 制審 核批 準(zhǔn)溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查83 持續(xù)的風(fēng)險評估是 信息安全保障的一 項基礎(chǔ)性工作 持續(xù)的風(fēng)險評估為新 的安全決策和需求提供 重要依據(jù) 風(fēng)險評估 評估信息保護系統(tǒng)的有效性 84 ISSE應(yīng)用情況 ? 確定信息保護需求 ? 在一個可接受的信息保護風(fēng)險下滿足信息保護的需求 ? 根據(jù)需求，構(gòu)建一個功能上的信息保護體系結(jié)構(gòu) ? 根據(jù)物理體系結(jié)構(gòu)和邏輯體系結(jié)構(gòu)分配信息保護的具體 功能 ? 設(shè)計信息系統(tǒng)，用于實現(xiàn)信息保護的體系結(jié)構(gòu) ? 從整個系統(tǒng)的成本、規(guī)劃運行的適宜性和有效性綜合， 85 ISSE應(yīng)用情況 ? 參與對其他信息保護和系統(tǒng)工程學(xué)科的綜合應(yīng)用 ? 將 ISSE過程與系統(tǒng)工程與采辦工程相結(jié)合 ? 以驗證信息保護設(shè)計方案并確認(rèn)信息保護的需求為目的，對系統(tǒng)進(jìn)行測試 ? 根據(jù)需要對整個過程進(jìn)行擴充和剪裁，提供系統(tǒng)部署后的進(jìn)一步測試 86 信息安全工程監(jiān)理 87 信息安全工程監(jiān)理 ?熟悉信息安全工程監(jiān)理模型 ?了解監(jiān)理階段目標(biāo) ?了解安全工程各方職責(zé) 學(xué)習(xí)目標(biāo) 88 信息安全工程監(jiān)理模型 ? 了解信息安全工程監(jiān)理工作的意義 ? 了解信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 89 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 認(rèn)真實施信息安全工程監(jiān)理制度意義是重大的。 75 評估信息保護系統(tǒng)的有效性 – 信息安全工程常伴有“影響效率或隱私”的阻力，應(yīng)正確認(rèn)識、做好宣講、果斷行事，長痛不如短痛確保長治久安 ，需在每臺個人 PC安裝客戶端軟件，終端用戶害怕個人隱私泄露，抵觸情緒很大。A文檔能滿足客戶和認(rèn)可員及認(rèn)證 ?員的要求 ?子任務(wù) 為 Camp。A） ? 子任務(wù) 準(zhǔn)備并提交最終的體系結(jié)構(gòu)文檔，用于風(fēng)險分析 ? 子任務(wù) 與認(rèn)可員和認(rèn)證員一起協(xié)商風(fēng)險分析的結(jié)果 47 設(shè)計信息保護系統(tǒng) ? 開展詳細(xì)的安全設(shè)計 —子任務(wù) – –任務(wù) 確保對安全體系結(jié)構(gòu)的遵循 – –任務(wù) 實施均衡取舍（ tradeoff）研究 – –任務(wù) 定義系統(tǒng)安全設(shè)計要素 ? 子任務(wù) 向系統(tǒng)安全設(shè)計要素中分配安全機制 ? 子任務(wù) 確定備選的商業(yè)現(xiàn)貨（ COTS） /政府現(xiàn)貨（ GOTS）安全產(chǎn)品 ? 子任務(wù) 確定需要定制的安全產(chǎn)品 ? 子任務(wù) 檢驗設(shè)計要素和系統(tǒng)接口（內(nèi)部及外部） ? 子任務(wù) 制定規(guī)范 48 設(shè)計信息保護系統(tǒng) ? 開展詳細(xì)的安全設(shè)計 —子任務(wù) – –任務(wù) 評估信息保護的有效性 ? 子任務(wù) 對詳細(xì)設(shè)計進(jìn)行風(fēng)險分析 ? 子任務(wù) 確保所選擇的安全設(shè)計能夠提供所需的安全服務(wù) ? 子任務(wù) 向客戶解釋安全設(shè)計如何滿足安全要求 ? 子任務(wù) 向客戶解釋并記錄設(shè)計中存在的任何殘余風(fēng)險 ? 子任務(wù) 得到客戶對詳細(xì)安全設(shè)計的認(rèn)同 – –任務(wù) 支持系統(tǒng)的認(rèn)證和認(rèn)可（ Camp。 17 發(fā)掘信息保護需求 ? 案例 3 – 某單位委托中國信息安全測評中心對其信息安全設(shè)計方案進(jìn)行評審，希望能夠在網(wǎng)絡(luò)魯棒性、安全性和產(chǎn)品選用的正確性等方面給出評審意見 – 其信息安全設(shè)計方案中的內(nèi)容全