信息系统安全集成-第1章.ppt

* 4、安全集成服务资质认证实施规则 １.概述 安全集成服务资质的适用范围 资质规范提出了信息系统安全集成服务提供者（以下简称服务提供者）应具备的服务能力要求，及实施信息系统安全集成服务资质认证的程序与管理要求。 适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。 * 4、安全集成服务资质认证实施规则 １.概述 安全集成服务资质的认证依据 GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。  * 4、安全集成服务资质认证实施规则 ２.基本资质要求 对安全集成服务提供者的资质要求 基本能力要求 分级评价要求 基本条件 基本管理能力 基本技术能力 集成准备 方案设计 建设实施 安全保证 三级资质能力要求 二级资质能力要求 一级资质能力要求 服务过程要求 在了解安全、信息安全、信息系统与系统集成概念的基础上讲解信息系统安全集成的概念。 * 先对标准进行词语解释。顺便讲解标准的实施与分类。 * 对历史与由来讲述，并介绍下属机构及组织。 * * 信息系统安全集成 概念与标准 * 本章摘要 本章讲述信息系统安全集成概念与信息系统安全集成相关的标准，并详细讲述信息系统安全集成服务资质认证实施规则。 摘 要 主要内容 一、基本概念 二、SSE-CMM标准及其演化进程介绍 三、ISO20000与ISO27000标准介绍 四、信息系统安全集成服务资质认证实施规则 * 一、基本概念 1.什么是信息系统安全集成？ 新建系统 升级系统 优化加固 信息系统安全集成是在组织IT战略指导思想下按照组织的信息系统安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。 * 一、基本概念 2.标准与标准化的概念 GB/T 20000.1-2002《标准化工作指南 第1部分: 标准化和相关活动的通用词汇》中对标准的定义：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。 标准化是制定、发布及实施标准的过程。标准是科学、技术和实践经验的总结。标准化是为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。 * 一、基本概念 3.标准化组织简介 国际标准化组织，简称ISO，是世界上最大的非政府性标准化专门机构，是国际标准化领域中一个十分重要的组织。 中国国家标准化管理委员会，英文缩写SAC，为国家质检总局管理的事业单位。 国家标准化管理委员会是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。 分为国际标准化组织、区域标准化组织、行业标准化组织、国家标准化组织。 * 二、SSE-CMM标准介绍及其在国内外演化进程 本节主要内容： １ SSE-CMM概念 ２ SSE-CMM背景与发展 ３ SSE-CMM背景与发展 * 二、SSE-CMM标准介绍及其在国内外演化进程 SSE-CMM中文解释为：信息安全工程能力成熟度模型。它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。 1.SSE-CMM概念 SSE-CMM模型是安全工程实施的标准度量标准，它覆盖了： 整个生命期，包括开发、运行、维护和终止； 整个组织，包括其中的管理、组织和工程活动； 与其它规范并行的相互作用，如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范； 与其它机构的相互作用，包括获取、系统管理、认证、认可和评价机构。 * 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM背景 无论是顾客，还是供应商都对改进安全产品、系统和服务的开发感兴趣。 安全工程领域已有一些被充分接受的原则，但仍缺少一个易于理解的评估安全工程实施的框架。 SSE-CMM正是这样一个框架，它为安全工程原则的应用提供了一个衡量和改进的途径。 * 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM发展 SSE-CMM由美国国家安全局（NSA）提出，汇聚60多个厂商集中开发。 1993年美国国家安全局提出SSE-CMM的构想； 1995年3月SSE-CMM项目工作组完成了SSE-CM