CISP0402信息安全工程第二部分20120411解说.ppt

ISSE安全工程过程 ISSE安全工程过程 ISSE原理 三个ISSE 的原理是： 1．始终保持问题和解决问题的空间分开。 2．问题空间是由客户的任务或业务需求确定的。 3．系统工程师和信息系统安全工程师确定解决问题空间，它是由问题空间推导出来的。 ISSE原理 本原理的概述强调指出，客户拥有问题——它是系统需要支持的客户任务或业务。 尽管客户拥有问题，但是客户并不总是发掘问题并把其文档化的专家，况且这里还有系统工程师和系统安全工程师的帮助。系统工程师和系统安全工程师而不是客户是开发解决方案的专家。系统工程师和系统安全工程师将要阻止客户干预系统设计的倾向。客户的设计输入将变成对最终设计的限制并限制了ISSE设计的自由度。 信息系统安全工程ISSE 发掘信息保护需求 学习内容 理解信息安全需求提出的过程 理解风险评估结果是安全需求的重要决定因素 理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素 理解并能够确定信息安全需求的优先次序 发掘信息保护需求 本阶段的主要活动 界定范围 分析业务/任务 识别基线（相关法律、法规、政策等要求） 识别风险 记录需求 获得用户/使用者的许可 发掘信息保护需求 发掘信息保护需求过程 发掘信息保护需求 发掘信息保护需求主体 发掘信息保护需求 风险评估结果是安全需求的重要决定因素 一切工程皆有需求 信息安全工程的需求并不是工程的起点 信息