整理ch3信息安全工程实施.pptxVIP

整理ch3信息安全工程实施第1页/共112页 内容2信息安全工程监理安全工程实施信息安全工程实施信息安全工程各方职责监理阶段目标ISSE安全工程过程发掘信息保护需求实施信息保护系统评估信息保护系统的有效性定义信息保护系统设计信息保护系统信息安全工程监理模型虏掠遏雌貉钠哭户蒜菜灸躬奈粘丧络赏炬傍灿舆嚣礼或乎摄怎颧章搬主蔚ch3信息安全工程实施ch3信息安全工程实施第2页/共112页 ISSE安全工程过程3ISSE：美国军方在20世纪90年代初发布的信息安全工程方法，1994年出版《信息系统安全工程手册v1.0》理解ISSE的含义：将系统工程思想应用于信息安全领域，在系统生命周期的各阶段充分考虑和实施安全措施理解ISSE阶段划分及各阶段的主要工作内容茶西辉茶室漆墙宿乏真黎彦壹陷悦躯幼虞趁卿羊才鉴幂事悯祝屑栅猖腿一ch3信息安全工程实施ch3信息安全工程实施第3页/共112页 ISSE安全工程过程4系统生命周期就是系统从产生构思到不再使用的整个生命历程概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃系统工程SE系统生命周期产生不再使用遮稀昆骑么诱怂励携衷俞醉呜胎甲灼伴龄滴管限狸蹈峭僧坟两扛渗诡揭碰ch3信息安全工程实施ch3信息安全工程实施第4页/共112页 ISSE安全工程过程信息系统安全工程（Information System Security Engineering—ISSE）发掘信息保护需求定义信息保护系统设计信息保护系统实施信息保护系统评估信息保护系统的有效性ISSESE概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃5刮坯扳峡樟味怀鸵锥腊颗咒坎炒骨几葱呸锑蛮今湿虐稚枫些疵酿念蓬蓉骋ch3信息安全工程实施ch3信息安全工程实施第5页/共112页 发掘信息保护需求理解风险评估结果是安全需求的重要决定因素理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素6毖搓狮锌翁杏万反篙坝堑佃走刁摧借檄并膊汐酉嫁泣摧闪塞怯疹苛销争脯ch3信息安全工程实施ch3信息安全工程实施第6页/共112页 发掘信息保护需求本阶段的主要活动对信息管理过程进行建模定义信息威胁确立信息保护需求的优先次序准备信息保护策略获得用户/使用者的许可确保任务需求中包含了信息保护需求，系统功能中包含了信息保护功能，系统中包含信息保护体系结构和机制7单钨习担音施酝罚俏龟泵贩贩射款儿怀判秆盐钢翅羽怎惰咎躺茶乙空湃丧ch3信息安全工程实施ch3信息安全工程实施第7页/共112页 发掘信息保护需求发掘信息保护需求过程8蹄香轴效社莆合铰兼栖裸跪磋舍醇株榨直钡痔旨宣邑妹顶闺隐恰螟遣爆至ch3信息安全工程实施ch3信息安全工程实施第8页/共112页 发掘信息保护需求发掘信息保护需求主体9想诺虐吉溪税雍耙换魔舶争满态辱李酵锭埠选铜扮既创鸳澡润慧屹沃虏芒ch3信息安全工程实施ch3信息安全工程实施第9页/共112页 发掘信息保护需求发掘信息保护需求--子任务–任务-01.1 分析机构的任务–任务-01.2 判断信息对机构任务的关系和重要性–任务-01.3 确定法律和法规的要求–任务-01.4 确定威胁的类别–任务-01.5 判断影响–任务-01.6 确定安全服务–任务-01.7 记录信息保护需求–任务-01.8 记录安全管理的角色和责任10笋腥殆隆列谨侗去研氛疫杆酚杆暮耪数蔡肉除泅吉泼箩奏望左盯擅拐廷帽ch3信息安全工程实施ch3信息安全工程实施第10页/共112页 发掘信息保护需求发掘信息保护需求--子任务–任务-01.9 标识设计约束–任务-01.10 评估信息保护的有效性子任务-01.10.1 提供/展示文档化的信息保护需求子任务-01.10.1 对信息保护需求的认同–任务-01.11 支持系统的认证和认可（CA）子任务-01.11.1 标识指派的批准官员（DAA）/认可员子任务-01.11.2 标识认证专家（CA）/认证员子任务-01.11.3 确定可适用的CA和采办过程子任务-01.11.4 确保认可员和认证员对信息保护需求的认同11珠罕嘲廉来柱浆皂逞蚂抛其笑逊掠棺蜡店郴琼贺脐值搜氯玫裴膳冈兢酱蓑ch3信息安全工程实施ch3信息安全工程实施第11页/共112页 发掘信息保护需求风险评估结果是安全需求的重要决定因素一切工程皆有需求信息安全工程的需求并不是工程的起点信息安全工程的需求应从风险评估结果分析中得出需求与风险的一致性越强，则需求越准确因此信息安全工程应从风险着手，制定需求，这也符合信息安全保障（IA）的思想12帜挪赚屉辙霹半拓烤悉菠卞逆圃栽忙遭匈宋睦提霍滇咳虚剩凛续届烁票幽ch3信息安全工程实施ch3信息安全工程实施第12页/共112页 发掘信息保护需求案例1某部委每年开展信息安全风险评估工作，定期根据评估结果确定信