常见的信息系统安全集成-第1章.ppt

1 信息系统安全集成 概念与标准 2 本章摘要 本章讲述信息系统安全集成概念与信息系统安全集成相关的标准，并详细讲述信息系统安全集成服务资质认证实施规则。 摘 要 主要内容 一、基本概念 二、SSE-CMM标准及其演化进程介绍 三、ISO20000与ISO27000标准介绍 四、信息系统安全集成服务资质认证实施规则 4 一、基本概念 1.什么是信息系统安全集成？ 新建系统 升级系统 优化加固 信息系统安全集成是在组织IT战略指导思想下按照组织的信息系统安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。 5 一、基本概念 2.标准与标准化的概念 GB/T 20000.1-2002《标准化工作指南 第1部分: 标准化和相关活动的通用词汇》中对标准的定义：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。 标准化是制定、发布及实施标准的过程。标准是科学、技术和实践经验的总结。标准化是为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。 6 一、基本概念 3.标准化组织简介 国际标准化组织，简称ISO，是世界上最大的非政府性标准化专门机构，是国际标准化领域中一个十分重要的组织。 中国国家标准化管理委员会，英文缩写SAC，为国家质检总局管理的事业单位。 国家标准化管理委员会是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。 分为国际标准化组织、区域标准化组织、行业标准化组织、国家标准化组织。 7 二、SSE-CMM标准介绍及其在国内外演化进程 本节主要内容： １ SSE-CMM概念 ２ SSE-CMM背景与发展 ３ SSE-CMM背景与发展 8 二、SSE-CMM标准介绍及其在国内外演化进程 SSE-CMM中文解释为：信息安全工程能力成熟度模型。它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。 1.SSE-CMM概念 SSE-CMM模型是安全工程实施的标准度量标准，它覆盖了： 整个生命期，包括开发、运行、维护和终止； 整个组织，包括其中的管理、组织和工程活动； 与其它规范并行的相互作用，如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范； 与其它机构的相互作用，包括获取、系统管理、认证、认可和评价机构。 9 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM背景 无论是顾客，还是供应商都对改进安全产品、系统和服务的开发感兴趣。 安全工程领域已有一些被充分接受的原则，但仍缺少一个易于理解的评估安全工程实施的框架。 SSE-CMM正是这样一个框架，它为安全工程原则的应用提供了一个衡量和改进的途径。 10 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM发展 SSE-CMM由美国国家安全局（NSA）提出，汇聚60多个厂商集中开发。 1993年美国国家安全局提出SSE-CMM的构想； 1995年3月SSE-CMM项目工作组完成了SSE-CMM模型和认定方法工作； 1996年10月出版SSE-CMM的第一版； 1997年4月出版SSE-CMM的第二版； 2003年7月出版SSE-CMM的第三版。 11 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM、ISO/TEC 21872与GB/T20261的关系 2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002。 2006年中国将ISO/TEC 21872：2002转化为国标GB/T20261：2006。 12 二、SSE-CMM标准介绍及其在国内外演化进程 3.SSE-CMM应用与意义 SSE-CMM的应用 SSE-CMM涉及到整个系统生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。 SSE-CMM适用于安全产品开发、安全系统开发、系统集成和提供安全服务与全工程的机构； SSE-CMM适用于所有类型和规模的安全工程，如军队、政府机构、学术机构、商业机构等。 13 二、SSE-CMM标准介绍及其在国内外演化进程 3.SSE-CMM应用与意义 SSE-CMM的意义 通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商； 工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上； 基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心。 SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目。这个SSE-CMM将带来以下益处： 14 三、