【正文】 理方案? 。? 驗(yàn)收?qǐng)?bào)告? 安全評(píng)估報(bào)告? 風(fēng)險(xiǎn)評(píng)估報(bào)告? 安全評(píng)估報(bào)告? 安全認(rèn)證證書技術(shù)評(píng)審技術(shù)評(píng)審評(píng)審 評(píng)審評(píng)審驗(yàn)收測(cè)試系統(tǒng)評(píng)估 系統(tǒng)認(rèn)證評(píng)審仿真環(huán)境測(cè)試測(cè)試測(cè)試測(cè)評(píng)認(rèn)證測(cè)評(píng)認(rèn)證安全測(cè)試版本： 1 .0合同授予合同授予安全服務(wù)合同安全服務(wù)合同 安全集成合同 工程實(shí)施合同 安全服務(wù)合同參見：中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的“國(guó)家信息安全測(cè)評(píng)認(rèn)證 ”， 2022年第 2期， P6P14 信息系統(tǒng)安全保障工程實(shí)施框架 XX電子政務(wù)信息系統(tǒng)安全保障工程 實(shí)踐示意圖 參見：中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的“國(guó)家信息安全測(cè)評(píng)認(rèn)證 ”， 2022年第 2期， P6P14 立項(xiàng)階段開發(fā) / 采購(gòu)階段實(shí)施階段運(yùn)行維護(hù)階段廢棄階段省市級(jí)XX 安全保障工程實(shí)施試點(diǎn)各省市級(jí)XX 安全保障工程實(shí)施各省市級(jí)XX 安全保障工程實(shí)施立項(xiàng)階段開發(fā) / 采購(gòu)階段實(shí)施階段立項(xiàng)階段開發(fā) / 采購(gòu)階段實(shí)施階段運(yùn)行維護(hù)階段立項(xiàng)階段開發(fā) / 采購(gòu)階段實(shí)施階段運(yùn)行維護(hù)階段 運(yùn)行維護(hù)階段XX 電子政務(wù)信息系統(tǒng)安全保障工程（一）前期準(zhǔn)備階段XX 電子政務(wù)信息系統(tǒng)安全保障工程（二）試點(diǎn)實(shí)施階段XX 電子政務(wù)信息系統(tǒng)安全保障工程（三）全面實(shí)施階段XX 電子政務(wù)信息系統(tǒng)安全保障工程（四）運(yùn)行維護(hù)階段XX 電子政務(wù)信息系統(tǒng)安全保障工程（五）廢棄階段IT項(xiàng)目管理中的安全考慮 立項(xiàng)階段 ? 確立業(yè)務(wù)對(duì)信息安全的總體要求 ? 識(shí)別各類安全要求 ? 證明安全要求的正確性 ? 分析、協(xié)調(diào)、綜合形成各類文檔 ? 信息安全規(guī)劃 ? 安全需求報(bào)告 ? 風(fēng)險(xiǎn)評(píng)估報(bào)告 ? 立項(xiàng)報(bào)告 IT項(xiàng)目管理中的安全考慮 —開發(fā)和采購(gòu)階段 ? 數(shù)據(jù)的正確處理 ? 輸入數(shù)據(jù)的校驗(yàn) ? 范圍之外的值 ? 無(wú)效數(shù)據(jù)類型 ? 丟失或不完整的數(shù)據(jù) ? 未授權(quán)或非法的輸入：防止緩沖區(qū)溢出和代碼注入 ? 數(shù)據(jù)處理過程控制 ? 處理的時(shí)間順序 ? 發(fā)生故障后運(yùn)行的程序 ? 系統(tǒng)失效或處理錯(cuò)誤后的恢復(fù) ? 輸出數(shù)據(jù)的驗(yàn)證 ? 輸出的去向正確 ? 數(shù)據(jù)的準(zhǔn)確性、完備性和精確性 IT項(xiàng)目管理中的安全考慮 —開發(fā)和采購(gòu)階段 ? 加密控制 ? 選擇適當(dāng)?shù)募用芩惴愋?、?qiáng)度和質(zhì)量 ? 選擇加密的通信線路和加密內(nèi)容 ? 制定密鑰管理的方法 ? 密鑰的分發(fā)方式 ? 密鑰的保存 ? 密鑰的更新方式 ? 密鑰遺失、泄露和破壞后的處理方法 ? 密鑰的撤銷和銷毀 IT項(xiàng)目管理中的安全考慮 —開發(fā)和采購(gòu)階段 ? 系統(tǒng)資源的安全 ? 系統(tǒng)軟件安裝控制：選擇安全的系統(tǒng)軟件、安裝必要的組件、防止盜版的安裝、及時(shí)更新 ? 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)：盡量不用真實(shí)生產(chǎn)數(shù)據(jù)，如果必須用，注意對(duì)拷貝過程進(jìn)行控制、對(duì)測(cè)試系統(tǒng)的訪問控制、測(cè)試之后信息清除、有效的審計(jì)措施 ? 應(yīng)用系統(tǒng)源代碼保護(hù)： ? 運(yùn)行系統(tǒng)盡量不保留源代碼 ? 對(duì)源代碼庫(kù)進(jìn)行訪問控制 ? 管理向程序員發(fā)布源代碼 ? 源代碼庫(kù)的有效審計(jì) IT項(xiàng)目管理中的安全考慮 —實(shí)施階段 ? 項(xiàng)目變更管理 ? 建立嚴(yán)格清晰的變更程序 ? 變更時(shí)要對(duì)變更原因和變更的影響進(jìn)行評(píng)估 ? 必要時(shí)在測(cè)試系統(tǒng)中進(jìn)行測(cè)試 ? 變更要形成文檔記錄 IT項(xiàng)目管理中的安全考慮 —交付和廢棄 ? 交付過程 ? 初驗(yàn) ? 試運(yùn)行 ? 終驗(yàn) ? 交付后 ? 持續(xù)的風(fēng)險(xiǎn)評(píng)估和安全加固 ? 廢棄 ? 信息的徹底清除 五、信息安全工程監(jiān)理 信息安全工程監(jiān)理參考模型 監(jiān)理咨詢支撐要素控制和管理手段監(jiān)理咨詢階段過程設(shè)計(jì)招標(biāo)實(shí)施驗(yàn)收變更監(jiān)理咨詢組織結(jié)構(gòu)監(jiān)理咨詢?cè)O(shè)施信息安全保障專業(yè)知識(shí)質(zhì)量管理質(zhì)量控制進(jìn)度控制成本控制合同管理信息管理組織協(xié)調(diào)“ 三控制、兩管理、一協(xié)調(diào) ”監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 合同 監(jiān)理實(shí)施細(xì)則監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 監(jiān)理實(shí)施細(xì)則監(jiān)理咨詢階段及其目標(biāo) 招標(biāo)階段 ? 工程招標(biāo)階段的主要監(jiān)理目標(biāo) ? 協(xié)助業(yè)主單位明確信息安全工程 需求 ，確定工程建設(shè)目標(biāo)； ? 促使承建單位編制的 信息安全方案 符合國(guó)家和業(yè)主單位的相關(guān)規(guī)定，滿足需求，合理可行； ? 促使業(yè)主單位、承建單位所簽定 合同 在技術(shù)、經(jīng)濟(jì)上的合理性； 監(jiān)理咨詢階段及其目標(biāo) 設(shè)計(jì)階段 ? 工程設(shè)計(jì)階段的主要監(jiān)理目標(biāo) ? 加強(qiáng) 工程實(shí)施方案 的合法性、合理性、與安全工程需求和設(shè)計(jì)方案的符合性； ? 促使工程計(jì)劃、設(shè)計(jì)方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，并與工程建設(shè)合同相符，具有可驗(yàn)證性。 ? 協(xié)助業(yè)主單位、承建單位消除設(shè)計(jì)文檔在進(jìn)入工程實(shí)施前可預(yù)見的缺陷。 監(jiān)理咨詢階段及其目標(biāo) 實(shí)施階段 ? 工程實(shí)施階段的主要監(jiān)理目標(biāo) ? 加強(qiáng)工程實(shí)施方案的合法性、合理性、與設(shè)計(jì)方案的符合性； ? 促使工程中所使用的產(chǎn)品和服務(wù)符合承建合同及國(guó)家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)； ? 明確工程實(shí)施計(jì)劃，對(duì)于計(jì)劃的調(diào)整必須合理、受控； ? 促使工程實(shí)施過程滿足承建合同的要求，并與工程設(shè)計(jì)方案、工程計(jì)劃相符； 監(jiān)理咨詢階段及其目標(biāo) 驗(yàn)收階段 ? 工程驗(yàn)收階段的主要監(jiān)理目標(biāo) ? 明確工程項(xiàng)目測(cè)試驗(yàn)收方案的符合性（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）及可行性； ? 促使工程的最終功能和性能符合承建合同、法律、法規(guī)和標(biāo)準(zhǔn)的要求； ? 推動(dòng)承建單位所提供的工程各階段形成的技術(shù)、管理文檔的內(nèi)容和種類符合相關(guān)標(biāo)準(zhǔn)。 招標(biāo)階段技術(shù)部分 描述和證據(jù) ? 主要完成證據(jù) ? 用戶簽認(rèn)的 《 需求書 》 ；附件一：監(jiān)理方簽認(rèn)的 《 需求書報(bào)審表 》 ? 《 信息安全建設(shè)方案 》 、 《 方案評(píng)審報(bào)告 》 和 《 專家評(píng)審意見 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全建設(shè)方案報(bào)審表 》 ? 其他證據(jù)： 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 等 ? 咨詢服務(wù)：同承建方、業(yè)主方進(jìn)行溝通、培訓(xùn)；通過所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國(guó)家、部門等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 需求審核 需求書 需求書報(bào)審表 信息安全建設(shè)方案 方案評(píng)審 方案評(píng)審報(bào)告 信息安全建設(shè)方案報(bào)審表 專家評(píng)審意見 業(yè)主對(duì)需求書進(jìn)行蓋章認(rèn)可 簽認(rèn)的需求書 監(jiān)理方協(xié)助業(yè)主方進(jìn)行專家評(píng)審 設(shè)計(jì)階段監(jiān)理流程 設(shè)計(jì)階段 描述和證據(jù) ? 主要完成證據(jù)：三方簽認(rèn)的 《 信息安全工程實(shí)施方案 》 、 《 安全工程階段測(cè)試方案 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全工程實(shí)施報(bào)審表 》 ，附件二：監(jiān)理方簽認(rèn)的 《 信息安全工程階段測(cè)試方案報(bào)審表 》 ? 其他證據(jù)： 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 、 《 安全工程效益評(píng)估方案 》 等 ? 咨詢服務(wù)：通過所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國(guó)家、部門等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 方案審核 信息安全工程實(shí)施方案 信息安全工程實(shí)施方案報(bào)審表 對(duì)安全工程實(shí)施方案簽認(rèn) 簽認(rèn)的實(shí)施方案 方案審核 信息安全工程階段測(cè)試方案 信息安全工程階段測(cè)試方案報(bào)審表 對(duì)安全工程階段性測(cè)試方案簽認(rèn) 簽認(rèn)的方案 實(shí)施階段監(jiān)理流程 實(shí)施階段 描述和證據(jù) ? 主要完成證據(jù) ? 監(jiān)理方簽認(rèn)的 《 安全工程階段實(shí)施細(xì)則 》 附件一：監(jiān)理方簽認(rèn)的 《 實(shí)施細(xì)則報(bào)審表 》 ? 監(jiān)理方簽認(rèn)的 《 質(zhì)量管理計(jì)劃 》 附件一：監(jiān)理方簽認(rèn)的 《 質(zhì)量管理計(jì)劃報(bào)審表 》 ? 其他證據(jù)：各種工程實(shí)施過程文件 ? 監(jiān)理工作：依據(jù)實(shí)施方案、實(shí)施方案細(xì)則和質(zhì)量管理計(jì)劃對(duì)工程實(shí)施過程進(jìn)行符合性監(jiān)督和檢查 承建方 監(jiān)理方 業(yè)主方 安全工程階段實(shí)施細(xì)則審核 安全工程階段實(shí)施細(xì)則 實(shí)施細(xì)則報(bào)審表 質(zhì)量管理計(jì)劃 質(zhì)量管理計(jì)劃審核 質(zhì)量管理計(jì)劃報(bào)審表 業(yè)主確認(rèn)認(rèn)可實(shí)施細(xì)則 業(yè)主確認(rèn)認(rèn)可質(zhì)量管理計(jì)劃 驗(yàn)收階段監(jiān)理流程 驗(yàn)收階段 描述和證據(jù) ? 主要完成證據(jù) ? 三方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)驗(yàn)收方案 》 附件一：監(jiān)理方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)驗(yàn)收方案報(bào)審表 》 ? 三方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)報(bào)告 》 附件一：監(jiān)理方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)報(bào)告報(bào)審表 》 ? 其他證據(jù)：各種工程驗(yàn)收過程文件 承建方 監(jiān)理方 業(yè)主方 初驗(yàn)、終驗(yàn)方案審核 初驗(yàn)、終驗(yàn)驗(yàn)收方案 驗(yàn)收方案報(bào)審表 初驗(yàn)、終驗(yàn)報(bào)告 初驗(yàn)、終驗(yàn)審核 初驗(yàn)、終驗(yàn)報(bào)審表 業(yè)主簽認(rèn)方案 業(yè)主簽認(rèn)初驗(yàn)、終驗(yàn)報(bào)告 例題 ? 模型（ SSECMM）的主要過程： ? A. 風(fēng)險(xiǎn)過程 ? B. 保證過程 ? C. 工程過程 ? D. 評(píng)估過程 例題 ? 型（ SSECMM）的第 3級(jí)： ? A. 計(jì)劃跟蹤 ? B. 量化控制 ? C. 充分定義 ? D. 持續(xù)改進(jìn) 例題 ? ，應(yīng)對(duì)安全問題予以足夠的重視。以下說法錯(cuò)誤的是 : ? ,應(yīng)對(duì)生產(chǎn)系統(tǒng)中的數(shù)據(jù)進(jìn)行嚴(yán)格的控制 ? ，應(yīng)注意數(shù)據(jù)輸入、處理和輸出等階段對(duì)數(shù)據(jù)的控制 ? ，在開發(fā)過程中就應(yīng)當(dāng)嚴(yán)格遵守，不能有任何改變 ? ，不能等閑視之 例題 ? ? 、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào) ? 、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào) ? 、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)、建立保障證據(jù)和協(xié)調(diào) ? 、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)和協(xié)調(diào) 例題 ? SSECMM模型中工程過程的過程區(qū)（ PA） ? ? ? ? 問題？