【正文】 ，保證信息安全設(shè)施的運(yùn)行維護(hù)費(fèi)用。信息安全工程原理 CISP運(yùn)營中心 沈傳寧 學(xué)習(xí)目標(biāo) ?理解信息安全建設(shè)必須同信息化建設(shè) “ 同步規(guī)劃、同步實(shí)施 ” 的原則 ?理解如何運(yùn)用信息安全能力成熟度模型理論評(píng)價(jià)和改進(jìn)信息安全工程能力 2 課程內(nèi)容 3 安全工程 原理 知識(shí)體 知識(shí)域 安全工程 理論背景 安全工程能力 成熟度模型 知識(shí)子域 質(zhì)量管理基礎(chǔ) 能力成熟度模型基礎(chǔ) 系統(tǒng)工程與項(xiàng)目管理基礎(chǔ) SSECMM體系與原理 安全工程過程區(qū)域 安全工程能力評(píng)價(jià) 知識(shí)域：安全工程理論背景 ?知識(shí)子域： 系統(tǒng)工程與項(xiàng)目管理基礎(chǔ) ? 了解系統(tǒng)工程基本思想 ? 了解項(xiàng)目管理基本概念和要素 ?知識(shí)子域：質(zhì)量管理基礎(chǔ) ? 了解質(zhì)量管理基本概念 ? 了解八項(xiàng)質(zhì)量管理基本原則 ?知識(shí)子域：能力成熟度模型 ? 理解“工程能力成熟度”基本思想 ? 了解能力成熟度模型的應(yīng)用范圍 ? 了解“過程能力方案”和“組織機(jī)構(gòu)成熟度方案”的區(qū)別 4 從生活中的案例開始 ?《 消防通道設(shè)計(jì)規(guī)范 》規(guī)定“商住樓中住宅的疏散樓梯應(yīng)獨(dú)立設(shè)置” ?右圖是一家門市，為應(yīng)付消防檢查自行搭建的消防通道 5 安全工程的重要性 ?如果在大樓的設(shè)計(jì)和實(shí)施階段沒有考慮消防，把樓蓋完了，再去設(shè)置消防通道，必然會(huì)導(dǎo)致成本的上升和安全性的下降 ?安全工程在信息化建設(shè)中的重要性有過之而無不及 6 信息化建設(shè)中的案例 ?A公司開展家用電話自助刷卡支付業(yè)務(wù) ?用戶可以通過其網(wǎng)站查詢個(gè)人付款信息 ?第三方 安全 測(cè)評(píng) 發(fā)現(xiàn) 該網(wǎng)站存在SQL注入漏洞，可以泄露用戶交易信息 7 信息化建設(shè)中的案例（續(xù)） ?當(dāng)初外包開發(fā)此網(wǎng)站的公司已經(jīng)倒閉 ?A公司技術(shù)人員對(duì)網(wǎng)站系統(tǒng)開發(fā)情況不了解，沒有能力消除該漏洞。公司董事會(huì)研究最終決定，為保護(hù)用戶隱私，暫時(shí)不再為用戶提供網(wǎng)上交易信息查詢服務(wù)！ 8 安全工程的作用 ?信息系統(tǒng)的建設(shè)是一項(xiàng)系統(tǒng)工程，具有復(fù)雜性 ?信息安全問題是信息系統(tǒng)與生俱來的 ?安全工程是以最優(yōu)費(fèi)效比提供并滿足安全需求 9 國家政策要求 《關(guān)于加強(qiáng)信息安全保障工作的意見》明確要求“信息安全建設(shè)是信息化的有機(jī)組成部分，必須與信息化 同步規(guī)劃、同步建設(shè) 。 ” 國家發(fā)展改革委 《 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 》 的中心思想是：電子政務(wù)工程建設(shè)項(xiàng)目必須同步考慮安全問題，提供 安全專項(xiàng)資金 ，信息安全 風(fēng)險(xiǎn)評(píng)估 結(jié)論是項(xiàng)目驗(yàn)收的重要依據(jù)。 13 系統(tǒng)工程基礎(chǔ) ?霍爾三維結(jié)構(gòu)圖 系統(tǒng)指標(biāo)設(shè)計(jì) 知識(shí)維（專業(yè)、行業(yè)） 邏輯維 （工作步驟） 工程技術(shù) 醫(yī)學(xué) 社會(huì)科學(xué) 規(guī)劃 計(jì)劃 系統(tǒng)開發(fā) 制造 安裝 運(yùn)行 更新 明確問題 系統(tǒng)綜合 系統(tǒng)分析 決策 最優(yōu)化 實(shí)施計(jì)劃 14 系統(tǒng)工程特點(diǎn) ?系統(tǒng)工程具有以下特點(diǎn)： ? 系統(tǒng)工程不同于一般的工程技術(shù)學(xué)科，如水利工程、機(jī)械工程等“硬”工程；系統(tǒng)工程偏重于工程的組織與經(jīng)營管理一類“軟”科學(xué)的研究。 ? 以整體的、綜合的、關(guān)聯(lián)的、科學(xué)的、實(shí)踐的觀點(diǎn)來看待研究對(duì)象 ? 在解決一個(gè)具體項(xiàng)目時(shí)，它要求把項(xiàng)目或過程分成幾大步驟，而每個(gè)步驟又按一定的程序展開。 ? 任何系統(tǒng)都是人、設(shè)備和過程的有機(jī)組合，其中人是最主要的因素。 15 系統(tǒng)工程的思想 ?以 人參與系統(tǒng) 為研究對(duì)象 ? 任何系統(tǒng)都是人、設(shè)備和過程的有機(jī)組合，其中人是最主要的因素。這就保證了系統(tǒng)思想在每個(gè)部分、每個(gè)環(huán)節(jié)上體現(xiàn)出來。即從項(xiàng)目的投資決策開始到項(xiàng)目結(jié)束的全過程進(jìn)行計(jì)劃、組織、指揮、協(xié)調(diào)、控制和評(píng)價(jià)，以實(shí)現(xiàn)項(xiàng)目的目標(biāo) 17 項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用 項(xiàng)目管理的要素 ?項(xiàng)目 范圍 管理 ? 是為了實(shí)現(xiàn)項(xiàng)目的目標(biāo)，對(duì)項(xiàng)目的工作內(nèi)容進(jìn)行控制的管理過程。 ?項(xiàng)目 時(shí)間 管理 ? 是為了確保項(xiàng)目最終的按時(shí)完成的一系列管理過程。 ?項(xiàng)目 成本 管理 ? 是為了保證完成項(xiàng)目的實(shí)際成本、費(fèi)用不超過預(yù)算成本、費(fèi)用的管理過程。 18 項(xiàng)目管理的要素 ? 項(xiàng)目 質(zhì)量 管理 ? 是為了確保項(xiàng)目達(dá)到客戶所規(guī)定的質(zhì)量要求所實(shí)施的一系列管理過程。 ? 人力資源 管理 ? 是為了保證所有項(xiàng)目關(guān)系人的能力和積極性都得到最有效地發(fā)揮和利用所做的一系列管理措施。 ? 項(xiàng)目 溝通 管理 ? 是為了確保項(xiàng)目的信息的合理收集和傳輸所需要實(shí)施的一系列措施，它包括溝通規(guī)劃，信息傳輸和進(jìn)度報(bào)告等。它包括風(fēng)險(xiǎn)識(shí)別，風(fēng)險(xiǎn)量化，制訂對(duì)策和風(fēng)險(xiǎn)控制等。它包括采購計(jì)劃，采購與征購，資源的選擇以及合同的管理等項(xiàng)目工作。它包括項(xiàng)目集成計(jì)劃的制定，項(xiàng)目集成計(jì)劃的實(shí)施，項(xiàng)目變動(dòng)的總體控制等。 ? 什么是質(zhì)量管理（ QM） ? ISO9000：“質(zhì)量管理是指全部管理職能的一個(gè)方面。” ? 質(zhì)量管理可以理解為為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)。 22 質(zhì)量管理標(biāo)準(zhǔn) ? 質(zhì)量管理的標(biāo)準(zhǔn) ? ISO9000族標(biāo)準(zhǔn)并不是產(chǎn)品的技術(shù)標(biāo)準(zhǔn)，而是針對(duì)組織的管理結(jié)構(gòu)、人員、技術(shù)能力、各項(xiàng)規(guī)章制度、技術(shù)文件和內(nèi)部監(jiān)督機(jī)制等一系列體現(xiàn)組織保證產(chǎn)品及服務(wù)質(zhì)量的管理措施的標(biāo)準(zhǔn)。 ? ： 組織的產(chǎn)品生產(chǎn)必須制定規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、質(zhì)量手冊(cè)、質(zhì)量體系、操作檢查程序，并使之文件化。從根據(jù)市場(chǎng)調(diào)研確定產(chǎn)品、設(shè)計(jì)產(chǎn)品、采購原材料，到生產(chǎn)、檢驗(yàn)、包裝和儲(chǔ)運(yùn)等，其全過程按程序要求控制質(zhì)量。 ? ： 不斷地總結(jié)、評(píng)價(jià)質(zhì)量管理體系，不斷地改進(jìn)質(zhì)量管理體系，使質(zhì)量管理呈螺旋式上升。把顧客的滿意作為核心驅(qū)動(dòng)力 ? 2）領(lǐng)導(dǎo)作用 ? 領(lǐng)導(dǎo)者將本組織的宗旨、方向、和內(nèi)部環(huán)境統(tǒng)一起來，并創(chuàng)造使員工能夠充分參與實(shí)現(xiàn)組織目標(biāo)的環(huán)境。 ? 3）全員參與 ? 保證所有人員的工作都納入到標(biāo)準(zhǔn)體系中去。 24 質(zhì)量管理標(biāo)準(zhǔn) ?ISO9000： 2023提出的八項(xiàng)質(zhì)量管理原則 ? 4)過程方法 ? 通過對(duì)每項(xiàng)工作的標(biāo)準(zhǔn)維持來保證總體質(zhì)量目標(biāo)的實(shí)現(xiàn)，將相關(guān)的資源和活動(dòng)作為過程進(jìn)行管理，可以更高效地取得預(yù)期結(jié)果 ? 5)管理的系統(tǒng)方法 ? 針對(duì)設(shè)定的目標(biāo)，識(shí)別、理解并管理一個(gè)由相互關(guān)聯(lián)的過程所組成的體系，有助于提高組織的有效性和效率。 ? 6)持續(xù)改進(jìn) ? 使用 PDCA使 ISO9000體系成為一項(xiàng)長期的行之有效的質(zhì)量管理措施 25 質(zhì)量管理標(biāo)準(zhǔn) ?ISO9000： 2023提出的八項(xiàng)質(zhì)量管理原則 ? 7）基于事實(shí)的決策方法 ? 針對(duì)數(shù)據(jù)和信息的邏輯分析或判斷是有效決策的基礎(chǔ)。與供方互利的關(guān)系 ? 8）互利的供方關(guān)系 ? 通過互利的關(guān)系，增強(qiáng)組織及其供方創(chuàng)造價(jià)值的能力。 26 知識(shí)域：安全工程理論背景 ?知識(shí)子域： 系統(tǒng)工程與項(xiàng)目管理基礎(chǔ) ? 了解系統(tǒng)工程基本思想 ? 了解項(xiàng)目管理基本概念和要素 ?知識(shí)子域：質(zhì)量管理基礎(chǔ) ? 了解質(zhì)量管理基本概念 ? 了解八項(xiàng)質(zhì)量管理基本原則 ?知識(shí)子域：能力成熟度模型 ? 理解“工程能力成熟度”基本思想 ? 了解能力成熟度模型的應(yīng)用范圍 ? 了解“過程能力方案”和“組織機(jī)構(gòu)成熟度方案”的區(qū)別 27 能力成熟度模型的來由 ?由質(zhì)量管理工作發(fā)展出的概念“過程改進(jìn)”，即增加工作過程的能力 ?隨著過程能力的提高，過程變得可預(yù)測(cè)和可度量，控制或消除造成質(zhì)量低劣和生產(chǎn)率不高 ?需要一個(gè)結(jié)構(gòu)化的架構(gòu)來指導(dǎo)一個(gè)組織的過程改進(jìn)，即 能力成熟度模型 28 能力成熟度模型的出發(fā)點(diǎn) ? 我參加 CISP培訓(xùn)班之前自學(xué)了 CISP知識(shí)體系的大部分內(nèi)容，參加培訓(xùn)時(shí)不缺勤認(rèn)真聽講，考前進(jìn)行了充分的復(fù)習(xí)，我相信我是可以通過考試的。 ? 改進(jìn)后的軟件過程將開發(fā)出質(zhì)量更好的軟件，使更多的軟件項(xiàng)目免受時(shí)間和費(fèi)用超支之苦。在這種文化之下，人們很自然地傾向于產(chǎn)生更多的具體結(jié)果。 ? 人們認(rèn)為每個(gè)活動(dòng)都應(yīng)直接產(chǎn)生短期效果。 ? 以過程為中心的組織 ? 過程被看做整個(gè)商業(yè)環(huán)境中的一個(gè)問題或事件，它們會(huì)對(duì)最終的結(jié)果、組織、生產(chǎn)者以及三者之間的關(guān)系造成影響。 ? 最終的目標(biāo)是接受并遵循過程，過程本身被看作商業(yè)運(yùn)作的規(guī)范。但是如果你一開始就將事情做好，雖然這樣可以滿足要求，并且也應(yīng)當(dāng)是正確的做法，但卻不會(huì)為人注意。 ? 長期的救火消耗了組織運(yùn)行的資源。所有解決問題的投入和努力都蛻化為快速而無效的修補(bǔ)。 34 過程成熟度 —— 兒童 VS成年人 關(guān)鍵行為 兒童 成年人 計(jì)劃性 充滿活力，不斷嘗試，但重復(fù)著錯(cuò)誤 具有長遠(yuǎn)眼光，做事情有計(jì)劃，可以根據(jù)以往總結(jié)的經(jīng)驗(yàn)指導(dǎo)下一步行動(dòng) 應(yīng)急性 對(duì)于突發(fā)事件、意外情況會(huì)手足無措 對(duì)于突發(fā)情況，可以保持冷靜的頭腦，經(jīng)過分析判斷，解決問題 穩(wěn)定性 有時(shí)可以做好某事，有時(shí)不能 了解