CISP信息安全保障基本实践重点分析.ppt

* * * * * * 确定需求、持续改进：用户 制定方案、持续改进：开发者 开展测评：测评机构 * * * * ISSP引言 信息系统描述：TOE背景信息 信息系统安全环境：TOE 安全环境定义TOE 预期处理的“安全需求”。指明安全问题（环境的假设、 已知的威胁，TOE必须使用的组织安全策略） ，部分作用是形成安全需求 安全保障目的：安全目的提供预期响应安全需求的简要陈述，既有由TOE 满足的安全目的，也有由TOE 环境中IT 的或非IT 的方法满足的安全目的 GB/T 18336建议，安全目的不应涉及决定安全需求解决方法的实现细节。 安全保障要求：包括控制要求和能力成熟度要求 ISPP应用注解：附加信息 符合性声明：安全保障目的对安全环境的符合性，安全保障要求对安全保障目的的符合性 * 安全保障要求的组成如下： a) 安全技术保障要求。技术保障要求来自于支持信息系统安全保障的那些技术领域中期望的安全行为。第2部分定义了安全技术保障控制要求和技术架构能力成熟度级； b) 安全管理保障要求。管理保障要求来自于支持信息系统安全保障的那些管理领域中期望的安全行为。第3部分定义了安全管理保障控制要求和管理能力成熟度级； c) 安全工程保障要求。工程保障要求来自于支持信息系统安全保障的那些工程领域中期望的安全行为。第4部分定义了安全工程保障控制要求和工程能力成熟度级。