【正文】 性：發(fā)掘信息保護(hù)需求、定義系統(tǒng)安全要求、定義系統(tǒng)安全體系結(jié)構(gòu)、開展詳細(xì)的安全設(shè)計(jì)以及實(shí)現(xiàn)系統(tǒng)安全。“評(píng)估信息保護(hù)的有效性”中的各項(xiàng)任務(wù)和子任務(wù)已經(jīng)列入上述的活動(dòng)中。 70 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 其他任務(wù) —規(guī)劃技術(shù)工作 – –任務(wù) 估計(jì)項(xiàng)目范圍 – –任務(wù) 確定資源及其可用性 – –任務(wù) 確定角色和責(zé)任 – –任務(wù) 估計(jì)項(xiàng)目成本 – –任務(wù) 制定項(xiàng)目進(jìn)度 – –任務(wù) 標(biāo)識(shí)技術(shù)活動(dòng) – –任務(wù) 標(biāo)識(shí)可交付項(xiàng) – –任務(wù) 定義管理接口 – –任務(wù) 準(zhǔn)備技術(shù)管理規(guī)劃 – –任務(wù) 審查項(xiàng)目計(jì)劃 – –任務(wù) 得到客戶的認(rèn)同 71 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 其他任務(wù) —管理技術(shù)工作 – –任務(wù) 指導(dǎo)技術(shù)工作 – –任務(wù) 跟蹤項(xiàng)目資源 – –任務(wù) 跟蹤技術(shù)參數(shù) – –任務(wù) 監(jiān)督技術(shù)活動(dòng)的進(jìn)展 – –任務(wù) 確?？山桓俄?xiàng)的質(zhì)量 – –任務(wù) 管理配置要素 – –任務(wù) 審查項(xiàng)目績效 – –任務(wù) 報(bào)告項(xiàng)目狀態(tài) 72 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 風(fēng)險(xiǎn)評(píng)估是重要系統(tǒng)驗(yàn)收和投入運(yùn)行前的必要工作 – 系統(tǒng)驗(yàn)收引入風(fēng)險(xiǎn)評(píng)估機(jī)制是政策的要求。 –風(fēng)險(xiǎn)評(píng)估是確保和驗(yàn)證安全措施實(shí)現(xiàn)的重要手段 73 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 設(shè)計(jì)和部署的信息安全措施應(yīng)發(fā)揮應(yīng)有的作用 署，部署上架后就可以簽字驗(yàn)收，使用和配置是運(yùn)維的事情（錯(cuò)誤認(rèn)識(shí)） 2. “ 安全措施 ” 必須予以落實(shí)才可以稱為安全措施 落實(shí)才能發(fā)揮其安全作用 74 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 安全與效率的關(guān)系是互相促進(jìn)的，系統(tǒng)的效率是靠安全來保障的，以犧牲安全為代價(jià)換取系統(tǒng)的效率的短視行為 ，但為了視頻會(huì)議不受 “ 影響 ” ，策略為透明全通模式，短時(shí)的暢通換來的是病毒泛濫、入侵頻發(fā)，網(wǎng)絡(luò)癱瘓。 ，才能使安全發(fā)揮最大效益，同時(shí)也使應(yīng)用的到最好的保護(hù)。 75 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 信息安全工程常伴有“影響效率或隱私”的阻力，應(yīng)正確認(rèn)識(shí)、做好宣講、果斷行事，長痛不如短痛確保長治久安 ，需在每臺(tái)個(gè)人 PC安裝客戶端軟件，終端用戶害怕個(gè)人隱私泄露，抵觸情緒很大。 2. “ 一把手 ” 簽發(fā)安裝命令，張貼海報(bào)、進(jìn)行宣講，大規(guī)模快速完成安裝部署，即刻配置策略，速戰(zhàn)速?zèng)Q。 基本消失。 76 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 系統(tǒng)驗(yàn)收引入風(fēng)險(xiǎn)評(píng)估機(jī)制是政策的要求 – 為落實(shí) 《 國家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法 》 （發(fā)改委 [2022]55號(hào)令）對風(fēng)險(xiǎn)評(píng)估的要求， 發(fā)改高技【 2022】 2071號(hào)文件 《 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 》 提出了具體要求：（相當(dāng)于“信息安全審計(jì)”） ? 電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作 ? 項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù) ? 項(xiàng)目驗(yàn)收申請時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告 – 系統(tǒng)驗(yàn)收引入風(fēng)險(xiǎn)評(píng)估機(jī)制是政策的要求 77 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 案例 – 某單位在信息安全策略中明確指出，信息化建設(shè)項(xiàng)目在試運(yùn)行階段必須執(zhí)行安全風(fēng)險(xiǎn)評(píng)估，并將評(píng)估結(jié)果和整改情況作為終驗(yàn)和付款的重要依據(jù)。 – 某部委信息安全處長：“風(fēng)險(xiǎn)評(píng)估的引入即保證和驗(yàn)證了系統(tǒng)的安全有效性，同時(shí)也分擔(dān)了部分工程風(fēng)險(xiǎn)。我們工程驗(yàn)收評(píng)審不再只憑甲方意見和乙方的匯報(bào)，風(fēng)險(xiǎn)評(píng)估使我們找到了一種更為科學(xué)的手段來驗(yàn)證安全，更找到了一種更為可靠的角色來分擔(dān)風(fēng)險(xiǎn)?！? – 風(fēng)險(xiǎn)評(píng)估是評(píng)估信息保護(hù)系統(tǒng)的有效性的重要手段 78 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 信息安全工作需要覆蓋系統(tǒng)全生命周期 – 信息安全工作不是一勞永逸的，需要在全生命周期予以重視 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問題是覆蓋全生命周期 ? 持續(xù)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制是保障系統(tǒng)安全的必要工作 – 持續(xù)的風(fēng)險(xiǎn)評(píng)估是信息安全保障的一項(xiàng)基礎(chǔ)性工作 – 持續(xù)的風(fēng)險(xiǎn)評(píng)估為新的安全決策和需求提供重要依據(jù) 79 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 信息安全工作不是一勞永逸的，需要在全生命周期予以重視 ? 某行業(yè)通過五年安全防護(hù)體系建設(shè)，為全國省級(jí)單位部署了 12款安全產(chǎn)品。 ? “ 完成了產(chǎn)品部署工作，信息安全工作就高枕無憂了 ” 。 ? 運(yùn)維階段設(shè)備無人管理、日志無人分析、配置無人跟新 80 評(píng)估信息保護(hù)系統(tǒng)的有效性 一種是已經(jīng)被攻破的 從風(fēng)險(xiǎn)的角度看，信息系統(tǒng)只有以下兩種： 另一種是即將被攻破的 81 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問題是覆蓋全生命周期的 技術(shù)工程管理人員保障要素開發(fā)采購實(shí)施交付運(yùn)行維護(hù)完整性可用性廢棄保密性安全特征計(jì)劃組織生命周期82 評(píng)估信息保護(hù)系統(tǒng)的有效性 – 要與風(fēng)險(xiǎn)管理、安全保障等思想相結(jié)合，綜合認(rèn)識(shí)信息安全問題是覆蓋全生命周期的 對 象確 立風(fēng) 險(xiǎn)評(píng) 估風(fēng) 險(xiǎn)控 制審 核批 準(zhǔn)溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查83 持續(xù)的風(fēng)險(xiǎn)評(píng)估是 信息安全保障的一 項(xiàng)基礎(chǔ)性工作 持續(xù)的風(fēng)險(xiǎn)評(píng)估為新 的安全決策和需求提供 重要依據(jù) 風(fēng)險(xiǎn)評(píng)估 評(píng)估信息保護(hù)系統(tǒng)的有效性 84 ISSE應(yīng)用情況 ? 確定信息保護(hù)需求 ? 在一個(gè)可接受的信息保護(hù)風(fēng)險(xiǎn)下滿足信息保護(hù)的需求 ? 根據(jù)需求，構(gòu)建一個(gè)功能上的信息保護(hù)體系結(jié)構(gòu) ? 根據(jù)物理體系結(jié)構(gòu)和邏輯體系結(jié)構(gòu)分配信息保護(hù)的具體 功能 ? 設(shè)計(jì)信息系統(tǒng)，用于實(shí)現(xiàn)信息保護(hù)的體系結(jié)構(gòu) ? 從整個(gè)系統(tǒng)的成本、規(guī)劃運(yùn)行的適宜性和有效性綜合， 85 ISSE應(yīng)用情況 ? 參與對其他信息保護(hù)和系統(tǒng)工程學(xué)科的綜合應(yīng)用 ? 將 ISSE過程與系統(tǒng)工程與采辦工程相結(jié)合 ? 以驗(yàn)證信息保護(hù)設(shè)計(jì)方案并確認(rèn)信息保護(hù)的需求為目的，對系統(tǒng)進(jìn)行測試 ? 根據(jù)需要對整個(gè)過程進(jìn)行擴(kuò)充和剪裁，提供系統(tǒng)部署后的進(jìn)一步測試 86 信息安全工程監(jiān)理 87 信息安全工程監(jiān)理 ?熟悉信息安全工程監(jiān)理模型 ?了解監(jiān)理階段目標(biāo) ?了解安全工程各方職責(zé) 學(xué)習(xí)目標(biāo) 88 信息安全工程監(jiān)理模型 ? 了解信息安全工程監(jiān)理工作的意義 ? 了解信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 89 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 認(rèn)真實(shí)施信息安全工程監(jiān)理制度意義是重大的。它無論是對國家，還是對建設(shè)單位（業(yè)主），對施工單位（承包商）都是有明顯的積極意義的。 90 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 –對國家來說，建立具有中國特色的信息安全工程建設(shè)監(jiān)理制度，必將提高投資效益和建設(shè)水平，確保國家信息安全建設(shè)計(jì)劃和工程合同的實(shí)施，建立起信息化和信息安全領(lǐng)域的新秩序。 91 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 對于建設(shè)單位（業(yè)主）來說，可以使其籌建機(jī)構(gòu)大大精簡，既節(jié)省人力、開支，又可使工程得到有效的優(yōu)質(zhì)的管理 – 對于監(jiān)理機(jī)構(gòu)，可以充分發(fā)