【正文】 一：監(jiān)理方簽認的 《 信息安全建設方案報審表 》 ? 其他證據： 《 風險評估報告 》 等 ? 咨詢服務：同承建方、業(yè)主方進行溝通、培訓；通過所編制的相關標準、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務要求和相關國家、部門等政策、法規(guī)標準和行政要求的相關文件 承建方 監(jiān)理方 業(yè)主方 需求審核 需求書 需求書報審表 信息安全建設方案 方案評審 方案評審報告 信息安全建設方案報審表 專家評審意見 業(yè)主對需求書進行蓋章認可 簽認的需求書 監(jiān)理方協(xié)助業(yè)主方進行專家評審 104 設計階段監(jiān)理流程 設計階段 描述和證據 ? 主要完成證據：三方簽認的 《 信息安全工程實施方案 》 、 《 安全工程階段測試方案 》 ；附件一：監(jiān)理方簽認的 《 信息安全工程實施報審表 》 ，附件二：監(jiān)理方簽認的 《 信息安全工程階段測試方案報審表 》 ? 其他證據： 《 風險評估報告 》 、 《 安全工程效益評估方案 》 等 ? 咨詢服務：通過所編制的相關標準、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務要求和相關國家、部門等政策、法規(guī)標準和行政要求的相關文件 承建方 監(jiān)理方 業(yè)主方 方案審核 信息安全工程實施方案 信息安全工程實施方案報審表 對安全工程實施方案簽認 簽認的實施方案 方案審核 信息安全工程階段測試方案 信息安全工程階段測試方案報審表 對安全工程階段性測試方案簽認 簽認的方案 106 實施階段監(jiān)理流程 實施階段 描述和證據 ? 主要完成證據 – 監(jiān)理方簽認的 《 安全工程階段實施細則 》 附件一：監(jiān)理方簽認的 《 實施細則報審表 》 – 監(jiān)理方簽認的 《 質量管理計劃 》 附件一：監(jiān)理方簽認的 《 質量管理計劃報審表 》 ? 其他證據：各種工程實施過程文件 ? 監(jiān)理工作：依據實施方案、實施方案細則和質量管理計劃對工程實施過程進行符合性監(jiān)督和檢查 承建方 監(jiān)理方 業(yè)主方 安全工程階段實施細則審核 安全工程階段實施細則 實施細則報審表 質量管理計劃 質量管理計劃審核 質量管理計劃報審表 業(yè)主確認認可實施細則 業(yè)主確認認可質量管理計劃 108 驗收階段監(jiān)理流程 驗收階段 描述和證據 ? 主要完成證據 – 三方簽認的 《 初驗、終驗驗收方案 》 附件一：監(jiān)理方簽認的 《 初驗、終驗驗收方案報審表 》 – 三方簽認的 《 初驗、終驗報告 》 附件一：監(jiān)理方簽認的 《 初驗、終驗報告報審表 》 ? 其他證據：各種工程驗收過程文件 承建方 監(jiān)理方 業(yè)主方 初驗、終驗方案審核 初驗、終驗驗收方案 驗收方案報審表 初驗、終驗報告 初驗、終驗審核 初驗、終驗報審表 業(yè)主簽認方案 業(yè)主簽認初驗、終驗報告 110 習題和思考題 ? 作業(yè) ? 1ISSE定義的安全工程過程包含哪些階段？ ? 2 如何解決安全工程需求的合理性和符合性？ ? 3為什么說風險評估貫穿于安全工程的全過程？ ? 答疑 。 ? 運維階段設備無人管理、日志無人分析、配置無人跟新 80 評估信息保護系統(tǒng)的有效性 一種是已經被攻破的 從風險的角度看，信息系統(tǒng)只有以下兩種： 另一種是即將被攻破的 81 評估信息保護系統(tǒng)的有效性 – 要與風險管理、安全保障等思想相結合，綜合認識信息安全問題是覆蓋全生命周期的 技術工程管理人員保障要素開發(fā)采購實施交付運行維護完整性可用性廢棄保密性安全特征計劃組織生命周期82 評估信息保護系統(tǒng)的有效性 – 要與風險管理、安全保障等思想相結合，綜合認識信息安全問題是覆蓋全生命周期的 對 象確 立風 險評 估風 險控 制審 核批 準溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查83 持續(xù)的風險評估是 信息安全保障的一 項基礎性工作 持續(xù)的風險評估為新 的安全決策和需求提供 重要依據 風險評估 評估信息保護系統(tǒng)的有效性 84 ISSE應用情況 ? 確定信息保護需求 ? 在一個可接受的信息保護風險下滿足信息保護的需求 ? 根據需求，構建一個功能上的信息保護體系結構 ? 根據物理體系結構和邏輯體系結構分配信息保護的具體 功能 ? 設計信息系統(tǒng)，用于實現(xiàn)信息保護的體系結構 ? 從整個系統(tǒng)的成本、規(guī)劃運行的適宜性和有效性綜合， 85 ISSE應用情況 ? 參與對其他信息保護和系統(tǒng)工程學科的綜合應用 ? 將 ISSE過程與系統(tǒng)工程與采辦工程相結合 ? 以驗證信息保護設計方案并確認信息保護的需求為目的，對系統(tǒng)進行測試 ? 根據需要對整個過程進行擴充和剪裁，提供系統(tǒng)部署后的進一步測試 86 信息安全工程監(jiān)理 87 信息安全工程監(jiān)理 ?熟悉信息安全工程監(jiān)理模型 ?了解監(jiān)理階段目標 ?了解安全工程各方職責 學習目標 88 信息安全工程監(jiān)理模型 ? 了解信息安全工程監(jiān)理工作的意義 ? 了解信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 89 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 認真實施信息安全工程監(jiān)理制度意義是重大的。 75 評估信息保護系統(tǒng)的有效性 – 信息安全工程常伴有“影響效率或隱私”的阻力，應正確認識、做好宣講、果斷行事，長痛不如短痛確保長治久安 ，需在每臺個人 PC安裝客戶端軟件，終端用戶害怕個人隱私泄露，抵觸情緒很大。A文檔能滿足客戶和認可員及認證 ?員的要求 ?子任務 為 Camp。A） ? 子任務 準備并提交最終的體系結構文檔，用于風險分析 ? 子任務 與認可員和認證員一起協(xié)商風險分析的結果 47 設計信息保護系統(tǒng) ? 開展詳細的安全設計 —子任務 – –任務 確保對安全體系結構的遵循 – –任務 實施均衡取舍（ tradeoff）研究 – –任務 定義系統(tǒng)安全設計要素 ? 子任務 向系統(tǒng)安全設計要素中分配安全機制 ? 子任務 確定備選的商業(yè)現(xiàn)貨（ COTS） /政府現(xiàn)貨（ GOTS）安全產品 ? 子任務 確定需要定制的安全產品 ? 子任務 檢驗設計要素和系統(tǒng)接口（內部及外部） ? 子任務 制定規(guī)范 48 設計信息保護系統(tǒng) ? 開展詳細的安全設計 —子任務 – –任務 評估信息保護的有效性 ? 子任務 對詳細設計進行風險分析 ? 子任務 確保所選擇的安全設計能夠提供所需的安全服務 ? 子任務 向客戶解釋安全設計如何滿足安全要求 ? 子任務 向客戶解釋并記錄設計中存在的任何殘余風險 ? 子任務 得到客戶對詳細安全設計的認同 – –任務 支持系統(tǒng)的認證和認可（ Camp。 17 發(fā)掘信息保護需求 ? 案例 3 – 某單位委托中國信息安全測評中心對其信息安全設計方案進行評審，希望能夠在網絡魯棒性、安全性和產品選用的正確性等方面給出評審意見 – 其信息安全設計方案中的內容全