【正文】 102 信息安全工程流程和各方職責(zé) ? 信息安全工程招標(biāo)、設(shè)計(jì)、實(shí)施和驗(yàn)收階段業(yè)務(wù)單位、承建單位和監(jiān)理單位的職責(zé)和工作流程 103 招標(biāo)階段技術(shù)部分 描述和證據(jù) ? 主要完成證據(jù) – 用戶簽認(rèn)的 《 需求書(shū) 》 ；附件一：監(jiān)理方簽認(rèn)的 《 需求書(shū)報(bào)審表 》 – 《 信息安全建設(shè)方案 》 、 《 方案評(píng)審報(bào)告 》 和 《 專家評(píng)審意見(jiàn) 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全建設(shè)方案報(bào)審表 》 ? 其他證據(jù)： 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 等 ? 咨詢服務(wù)：同承建方、業(yè)主方進(jìn)行溝通、培訓(xùn)；通過(guò)所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國(guó)家、部門(mén)等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 需求審核 需求書(shū) 需求書(shū)報(bào)審表 信息安全建設(shè)方案 方案評(píng)審 方案評(píng)審報(bào)告 信息安全建設(shè)方案報(bào)審表 專家評(píng)審意見(jiàn) 業(yè)主對(duì)需求書(shū)進(jìn)行蓋章認(rèn)可 簽認(rèn)的需求書(shū) 監(jiān)理方協(xié)助業(yè)主方進(jìn)行專家評(píng)審 104 設(shè)計(jì)階段監(jiān)理流程 設(shè)計(jì)階段 描述和證據(jù) ? 主要完成證據(jù)：三方簽認(rèn)的 《 信息安全工程實(shí)施方案 》 、 《 安全工程階段測(cè)試方案 》 ；附件一：監(jiān)理方簽認(rèn)的 《 信息安全工程實(shí)施報(bào)審表 》 ，附件二：監(jiān)理方簽認(rèn)的 《 信息安全工程階段測(cè)試方案報(bào)審表 》 ? 其他證據(jù)： 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 、 《 安全工程效益評(píng)估方案 》 等 ? 咨詢服務(wù)：通過(guò)所編制的相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南文件等協(xié)助承建方和業(yè)主方更好地編制滿足需求、業(yè)務(wù)要求和相關(guān)國(guó)家、部門(mén)等政策、法規(guī)標(biāo)準(zhǔn)和行政要求的相關(guān)文件 承建方 監(jiān)理方 業(yè)主方 方案審核 信息安全工程實(shí)施方案 信息安全工程實(shí)施方案報(bào)審表 對(duì)安全工程實(shí)施方案簽認(rèn) 簽認(rèn)的實(shí)施方案 方案審核 信息安全工程階段測(cè)試方案 信息安全工程階段測(cè)試方案報(bào)審表 對(duì)安全工程階段性測(cè)試方案簽認(rèn) 簽認(rèn)的方案 106 實(shí)施階段監(jiān)理流程 實(shí)施階段 描述和證據(jù) ? 主要完成證據(jù) – 監(jiān)理方簽認(rèn)的 《 安全工程階段實(shí)施細(xì)則 》 附件一：監(jiān)理方簽認(rèn)的 《 實(shí)施細(xì)則報(bào)審表 》 – 監(jiān)理方簽認(rèn)的 《 質(zhì)量管理計(jì)劃 》 附件一：監(jiān)理方簽認(rèn)的 《 質(zhì)量管理計(jì)劃報(bào)審表 》 ? 其他證據(jù)：各種工程實(shí)施過(guò)程文件 ? 監(jiān)理工作：依據(jù)實(shí)施方案、實(shí)施方案細(xì)則和質(zhì)量管理計(jì)劃對(duì)工程實(shí)施過(guò)程進(jìn)行符合性監(jiān)督和檢查 承建方 監(jiān)理方 業(yè)主方 安全工程階段實(shí)施細(xì)則審核 安全工程階段實(shí)施細(xì)則 實(shí)施細(xì)則報(bào)審表 質(zhì)量管理計(jì)劃 質(zhì)量管理計(jì)劃審核 質(zhì)量管理計(jì)劃報(bào)審表 業(yè)主確認(rèn)認(rèn)可實(shí)施細(xì)則 業(yè)主確認(rèn)認(rèn)可質(zhì)量管理計(jì)劃 108 驗(yàn)收階段監(jiān)理流程 驗(yàn)收階段 描述和證據(jù) ? 主要完成證據(jù) – 三方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)驗(yàn)收方案 》 附件一：監(jiān)理方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)驗(yàn)收方案報(bào)審表 》 – 三方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)報(bào)告 》 附件一：監(jiān)理方簽認(rèn)的 《 初驗(yàn)、終驗(yàn)報(bào)告報(bào)審表 》 ? 其他證據(jù)：各種工程驗(yàn)收過(guò)程文件 承建方 監(jiān)理方 業(yè)主方 初驗(yàn)、終驗(yàn)方案審核 初驗(yàn)、終驗(yàn)驗(yàn)收方案 驗(yàn)收方案報(bào)審表 初驗(yàn)、終驗(yàn)報(bào)告 初驗(yàn)、終驗(yàn)審核 初驗(yàn)、終驗(yàn)報(bào)審表 業(yè)主簽認(rèn)方案 業(yè)主簽認(rèn)初驗(yàn)、終驗(yàn)報(bào)告 110 習(xí)題和思考題 ? 作業(yè) ? 1ISSE定義的安全工程過(guò)程包含哪些階段？ ? 2 如何解決安全工程需求的合理性和符合性？ ? 3為什么說(shuō)風(fēng)險(xiǎn)評(píng)估貫穿于安全工程的全過(guò)程？ ? 答疑 。 –協(xié)助業(yè)主單位、承建單位消除設(shè)計(jì)文檔在進(jìn)入工程實(shí)施前可預(yù)見(jiàn)的缺陷。 92 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 對(duì)施工單位（集成商）來(lái)說(shuō)，在其與得到建設(shè)單位委托的監(jiān)理機(jī)構(gòu)打交道，在技術(shù)上、管理上可以有共同語(yǔ)言，即使發(fā)生爭(zhēng)議，也比較容易按現(xiàn)行專業(yè)法規(guī)去妥善處理，將減少或杜絕過(guò)去甲、乙雙方之間那種不正常的“扯皮”，而提高施工及管理的效率 93 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 監(jiān)理咨詢支撐要素控制和管理手段監(jiān)理咨詢階段過(guò)程設(shè)計(jì)招標(biāo)實(shí)施驗(yàn)收變更監(jiān)理咨詢組織結(jié)構(gòu)監(jiān)理咨詢?cè)O(shè)施信息安全保障專業(yè)知識(shí)質(zhì)量管理質(zhì)量控制進(jìn)度控制成本控制合同管理信息管理組織協(xié)調(diào)― 三控制、兩管理、一協(xié)調(diào) ‖監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 合同 監(jiān)理實(shí)施細(xì)則監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 監(jiān)理實(shí)施細(xì)則監(jiān)理范圍 ? 信息安全工程監(jiān)理內(nèi)容范圍是信息安全工程，并不專注于某一產(chǎn)品的性能和功能 – 查驗(yàn)產(chǎn)品型號(hào)與合同型號(hào)是否一致 – 查驗(yàn)貨品及配件是否完好無(wú)破損 – 查驗(yàn)產(chǎn)品是否能夠通過(guò)加電測(cè)試 – 查驗(yàn)產(chǎn)品部署位置是否與實(shí)施方案一致 – 查驗(yàn)產(chǎn)品配置策略是否與實(shí)施方案一致 – 檢測(cè)產(chǎn)品的性能和功能是否滿足本次項(xiàng)目需求 95 監(jiān)理范圍 ? 信息安全工程監(jiān)理的時(shí)間范圍是從簽署監(jiān)理合同開(kāi)始到工程的結(jié)束 – 業(yè)主單位應(yīng)先選擇監(jiān)理方，再選擇集成方，最后選擇產(chǎn)品供應(yīng)方 – 信息安全工程監(jiān)理覆蓋的階段為需求、設(shè)計(jì)、實(shí)施和驗(yàn)收，并不包含運(yùn)維階段，是全工程實(shí)施周期的，不是全生命周期的。 90 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 –對(duì)國(guó)家來(lái)說(shuō)，建立具有中國(guó)特色的信息安全工程建設(shè)監(jiān)理制度，必將提高投資效益和建設(shè)水平，確保國(guó)家信息安全建設(shè)計(jì)劃和工程合同的實(shí)施，建立起信息化和信息安全領(lǐng)域的新秩序。 ? 運(yùn)維階段設(shè)備無(wú)人管理、日志無(wú)人分析、配置無(wú)人跟新 80 評(píng)估信息保護(hù)系統(tǒng)的有效性 一種是已經(jīng)被攻破的 從風(fēng)險(xiǎn)的角度看，信息系統(tǒng)只有以下兩種： 另一種是即將被攻破的 81 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問(wèn)題是覆蓋全生命周期的 技術(shù)工程管理人員保障要素開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)完整性可用性廢棄保密性安全特征計(jì)劃組織生命周期82 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問(wèn)題是覆蓋全生命周期的 對(duì) 象確 立風(fēng) 險(xiǎn)評(píng) 估風(fēng) 險(xiǎn)控 制審 核批 準(zhǔn)溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查83 持續(xù)的風(fēng)險(xiǎn)評(píng)估是 信息安全保障的一 項(xiàng)基礎(chǔ)性工作 持續(xù)的風(fēng)險(xiǎn)評(píng)估為新 的安全決策和需求提供 重要依據(jù) 風(fēng)險(xiǎn)評(píng)估 評(píng)估信息保護(hù)系統(tǒng)的有效性 84 ISSE應(yīng)用情況 ? 確定信息保護(hù)需求 ? 在一個(gè)可接受的信息保護(hù)風(fēng)險(xiǎn)下滿足信息保護(hù)的需求 ? 根據(jù)需求，構(gòu)建一個(gè)功能上的信息保護(hù)體系結(jié)構(gòu) ? 根據(jù)物理體系結(jié)構(gòu)和邏輯體系結(jié)構(gòu)分配信息保護(hù)的具體 功能 ? 設(shè)計(jì)信息系統(tǒng)，用于實(shí)現(xiàn)信息保護(hù)的體系結(jié)構(gòu) ? 從整個(gè)系統(tǒng)的成本、規(guī)劃運(yùn)行的適宜性和有效性綜合， 85 ISSE應(yīng)用情況 ? 參與對(duì)其他信息保護(hù)和系統(tǒng)工程學(xué)科的綜合應(yīng)用 ? 將 ISSE過(guò)程與系統(tǒng)工程與采辦工程相結(jié)合 ? 以驗(yàn)證信息保護(hù)設(shè)計(jì)方案并確認(rèn)信息保護(hù)的