制定安全划.pptVIP

2.5 安全系统开发生命周期 在逻辑和物理设计阶段，安全管理者应使用已建立的安全模型来指导设计过程。机构可以改编或直接采用一个已有的框架来满足他们自己的信息安全要求。 一个机构的信息安全策略是策划信息安全项目要考虑的一个因素 。 信息安全项目的另一个组成部分是安全教育、培训以及意识提升（ SETA，security education、training and awareness）项目。 2.5 安全系统开发生命周期 实施阶段 SecSDLC 的实施阶段和传统 SDLC 很相似。获取（制造或购买）安全方案、测试、实施、再测试。评估员工资料，执行特殊培训和教育项目，最后，整个被测试好的方案呈递到上层管理层等待批准。 信息安全系统软件或应用程序系统的选择过程与普通的 IT 需求之间有很大的不同之处。买主应该拿到详细的说明书，并且应该不断获得关于产品和成本的详细信息。在一个 IT 项目的执行过程中，创建清楚的说明书以及严格的测试计划是最基本的，这可以确保高质量的执行。 2.5 安全系统开发生命周期 维护与改善 当今的信息安全系统需要不断的监控、测试、改善、更新和修复。传统的应用程序系统是在软件开发生命周期框架内开发的，并非用来预测在正常操作进程中面临的恶意攻击。在安全方面，建立稳定和可靠的的系统实际是一场防御战。由于新的威胁不断产生，原有的威胁不断演化，