【正文】 2023年 2月 14日星期二 2時 22分 50秒 14:22:5014 February 2023 1一個人即使已登上頂峰，也仍要自強不息。 2023年 2月 14日星期二 下午 2時 22分 50秒 14:22: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。勝人者有力，自勝者強。 :22:5014:22Feb2314Feb23 1越是無能的人，越喜歡挑剔別人的錯兒。 , February 14, 2023 閱讀一切好書如同和過去最杰出的人談話。 2023年 2月 14日星期二 2時 22分 50秒 14:22:5014 February 2023 1空山新雨后，天氣晚來秋。 2023年 2月 14日星期二 下午 2時 22分 50秒 14:22: 1楚塞三湘接，荊門九派通。 14:22:5014:22:5014:22Tuesday, February 14, 2023 1不知香積寺，數(shù)里入云峰。 14:22:5014:22:5014:222/14/2023 2:22:50 PM 1成功就是日復一日那一點點小小努力的積累。 下午 2時 22分 50秒 下午 2時 22分 14:22: 沒有失敗，只有暫時停止成功！。 2023年 2月 下午 2時 22分 :22February 14, 2023 1行動出成果，工作出財富。 :22:5014:22:50February 14, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 :22:5014:22Feb2314Feb23 1故人江海別，幾度隔山川。 , February 14, 2023 雨中黃葉樹，燈下白頭人。 89 ?計劃執(zhí)行 ?規(guī)范化執(zhí)行 ?跟蹤執(zhí)行 ?驗證執(zhí)行 ?定義標準過程 ?協(xié)調(diào)安全實施 ?執(zhí)行已定義的過程 ?建立可測量的質(zhì)量目標 ?客觀地管理過程的執(zhí)行 1 非正規(guī) 執(zhí)行 2 計劃與跟蹤 3 充分定義 4 量化控制 5 連續(xù)改進 ?執(zhí)行 基本 實施 ?改進組織能力 ?改進過程的有效性 能力級別：代表安全工程組織的成熟級別 公共特征 未實施 0 能力級別 90 能力級別 0級 ?未實施級 ? 沒有公共特征 ? 不能成功執(zhí)行過程區(qū)域中的全部基本實施 ? 如果某組織在某一過程區(qū)域的能力成熟度為 0級，則該組織無法提供某一特定信息安全工程服務 91 能力級別 1級 ?非正規(guī)執(zhí)行級 ? 該級別過程區(qū)域的基本實施均被執(zhí)行，但未經(jīng)過嚴格的計劃和跟蹤，而是基于個人的知識和努力。 驗收測試證明安全措施的功能、性能都達標了。 大家團結一致，協(xié)調(diào)配合把以上事情做好。 保證這些安全措施確實發(fā)揮作用了。 ?監(jiān)控的內(nèi)容應包含： ? 新系統(tǒng)是否按照設計要求，有效降低了風險 ? 新系統(tǒng)是否對原有系統(tǒng)產(chǎn)生影響，是否引入了新的風險 ? 分析新系統(tǒng)在功能和性能上的變化趨勢，判斷是否需要進一步調(diào)整 ? 對系統(tǒng)在試運行過程出現(xiàn)的事件進行詳細記錄和分析，并形成文檔 83 PA07：協(xié)調(diào)安全 ?此過程區(qū)域包括以下 4項基本實施 ? 定義協(xié)調(diào)目標 ? 識別協(xié)調(diào)機制 ? 促進協(xié)調(diào) ? 協(xié)調(diào)安全決策和建議 84 PA07：協(xié)調(diào)安全 ?“ 信息安全人人有責 ” ，特別是在安全工程過程中必須重視工程組織各方的溝通與協(xié)調(diào)工作，這項工作作用在“工程過程”的全部 PA中 ?作為系統(tǒng)承建單位應做到： ? 熟悉工程組織各方的角色（定好位） ? 熟悉業(yè)主單位的組織形式和與信息系統(tǒng)相關的各部門職責（踩好點） ? 協(xié)助業(yè)主單位定義工程組各方職責 ? 提供工程項目溝通協(xié)調(diào)機制的解決方案 ? 工程過程中嚴格執(zhí)行溝通協(xié)調(diào)機制 85 保證過程 證據(jù) 證據(jù) 保證論據(jù) PA11 驗證和證實安全 指定安全要求 其他多個 PA PA06 建立保證論據(jù) ?保證是指安全需要得到滿足的信任程度 ?SSECMM的信任程度來自于安全工程過程可重復性的結果質(zhì)量。 ? 如“抵抗一般性攻擊”，不但要分析威脅源、威脅能力、威脅動機等，還要分析信息系統(tǒng)自身存在的漏洞 \脆弱性情況 ? 另：任何需求的分析或提出，都必須建立在明確的系統(tǒng)使命基礎之上 77 PA10：確定安全需求 ?幫助用戶梳理需求是一項重要工作，必須依照其業(yè)務特點提出合適的安全需求。如：符合 **政策要求、提高安全保障水平、抵抗一般攻擊行為等。 ? SSECMM強調(diào) 安全工程是一個大的項目隊伍中的一部分 ，需要與其它科目工程師的活動相互協(xié)調(diào)。 5 4 3 2 1 0 PA01 PA02 PA03 PA04 PA05 能力 級別 安全過程區(qū)域 69 域維 22個 PA分成三類 ?系統(tǒng)安全工程涉及到三個過程類 ? 工程過程類（ Engineering） ? 組織過程類（ Organization） ? 項目過程類（ Project） ?工程過程類中包含 11個過程區(qū)域，描述了系統(tǒng)安全工程中實施的與安全直接相關的活動 ?組織和項目過程類中包含 11個過程區(qū)域，并不直接同系統(tǒng)安全相關，但常與 11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度 70 域維 工程類 PA 核實和確認安全（ Verify and Validate Security） PA11 明確安全需求（ Specify Security Needs） PA10 提供安全輸入（ Provide Security Input） PA09 監(jiān)視安全態(tài)勢（ Monitor Security Posture） PA08 協(xié)調(diào)安全（ Coordinate Security） PA07 建立保證論據(jù)（ Build Assurance Argument) PA06 評估脆弱性（ Assess Vulnerability） PA05 評估威脅（ Assess Threat） PA04 評估安全風險（ Assess Security Risk) PA03 評估影響（ Assess Impact） PA02 管理安全控制（ Administer Security Controls） PA01 風險過程 工程過程 保證過程 71 域維 項目類和組織類 PA 與供應商協(xié)調(diào) PA22 提供持續(xù)發(fā)展的技能和知識 PA21 管理系統(tǒng)工程支持環(huán)境 PA20 管理產(chǎn)品系列進化 PA19 改進組織的系統(tǒng)工程過程 PA18 定義組織的系統(tǒng)工程過程 PA17 計劃技術活動 PA16 監(jiān)視和控制技術活動 PA15 管理項目風險 PA14 管理配置 PA13 保證質(zhì)量 PA12 項目過程 組織過程 72 過程類之間的相互關系 保證論據(jù) 風險信息 產(chǎn)品或服務 工程過程 Engineering 保證過程 Assurance 風險過程 Risk 73 風險過程 PA04：評估威脅 威脅信息 threat 脆弱性信息 vulnerability 影響信息 impact 風險信息 PA05：評估脆弱性 PA02：評估影響 PA03：評估安全風險 ? 風險就是有害事件發(fā)生的可能性 ? 一個有害事件有三個部分組成：威脅、脆弱性和影響。 05共 6個級別 公共特征 通用實踐 68 SSECMM能力成熟度評價 ?通過設置這兩個相互依賴的維， SSECMM在各個能力級別上覆蓋了整個安全活動范圍。共 22個 PA被分為安全工程類、組織管理類和項目管理類 。如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它。 66 域維 過程類 域維 Base Practices Base Practices Base Practices Base Practices Base Practices 基本實施 Process Areas Process Areas Process Areas 過程區(qū) BP,Base Practice。 ?2023年， ISO/IEC IS 21827 ? 目前， SSECMM