CISP-18-信息安全工程-1.ppt

CISP-18-信息安全工程 中国信息安全测评中心 2010年10月 知识体系介绍 学习目标 了解系统工程、质量管理、能力成熟度模型和项目管理基本概念 可以用“信息系统安全工程”（ISSE）的方法考虑信息安全工程的实施 理解并运用“信息安全工程能力成熟度模型”（SSE-CMM）指导信息安全工程的实施 掌握IT项目管理中的重要安全措施和实践方法 理解信息安全工程监理的概念、意义和实践方法 一、信息安全工程基础 安全工程基础 系统工程基础 质量管理基础 项目管理基础 能力成熟度模型基础 系统工程基础 钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，使一种对所有系统都具有普遍意义的科学方法” 以人参与系统为研究对象 根据系统的目的和总体发展要求 应用自然科学和社会科学的思想、理论、方法和手段 对系统功能和构成要素、结构、信息、控制进行分析与综合 最终达到系统的圆满实现 系统工程不是基本理论，也不属于技术实现，而是一种方法论 系统工程基础 系统工程具有以下特点： 系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。 系统工程涉及各种学科、各个领域的各种内容，因此它是跨越不同学科的综合性科学。 以整体的、综合的、关联的、科学的、实践的观点来看待研究对象 在解决一个具体项目时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心。 质量管理基础 质量 质量指产品或服务，满足规定或需要的特征。它既包括有形产品也包括无形产品；既包括产品内在的特性、也包括产品外在的特性。即包括了产品的适用性和符合性的全部内涵。 质量控制（QC） 是对生产的全部过程加以控制，是面的控制，不是点的控制。为保证产品过程或服务质量，必须采取一系列的作业、技术、组织、管理等有关活动，这些都属于质量控制的范畴 质量管理（QM） 它指对确定和达到质量所必须的职能和活动的管理，其管理职能主要是负责质量方针政策的制订和实施等 质量管理基础 ISO9000族标准并不是产品的技术标准，而是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施的标准。 　　具体地讲ISO9000族标准就是在以下四个方面规范质量管理： 　　1.机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限。 　　2.程序：组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系、操作检查程序，并使之文件化。 　　3.过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制。从根据市场调研确定产品、设计产品、采购原材料，到生产、检验、包装和储运等，其全过程按程序要求控制质量。并要求过程具有标识性、监督性、可追溯性。 　　4.总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升。 项目管理基础 所谓项目管理，就是项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。 项目管理的要素： 质量 进度 成本 能力成熟度模型基础 CMM – Capability Maturity Model 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品； 所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程； CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”； 能力成熟度模型 过程能力方案： 单个过程域或一系列过程域 组织机构可以灵活选择改进哪个过程域和改进至什么程度 组织机构成熟度方案 跨组织机构的一系列已建立的过程域 提供预定义的路线图，组织机构基于已验证的过程组和顺序进行改进 能力级别和成熟度级别 常用的CMM模型 标准背景 能力成熟模型应用范畴 二、ISSE信息系统安全工程 SE-系统工程过程 系统安全工程（SSE） System Security Engineering; 是系统工程的一个子集，遵从系统工程的思想，包括一般性原则和规律； 系统安全工程的主要目标是： 了解企业现存的安全风险； 根据已识别的安全风险建立一组平衡的安全需求； 综合各种工程学科的努力将安全需求转化为贯穿系统生命周期的工程实施指南； 通过正确有效的安全机制来保证安全系统的信任度达到组织的要求； 确保系统的残余风险