信息系统安全集成第1章.pptVIP

* 4、安全集成服务资质认证实施规则 ２.基本资质要求 基本条件 服务提供者应： 具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格； 近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实； 具有固定的工作场所。 遵守国家现行法律、法规的规定。 第三十页，共四十一页。 * 4、安全集成服务资质认证实施规则 ２.基本资质要求 基本管理能力要求 确保客户信息的安全、可控； 确保密岗位与职责，定期对服务人员进行保密教育与培训，并签订《保密责任书》； 建立人员管理程序； 制定规范的项目管理制度，并按照项目管理制度实施； 制定项目风险管理制度； 制定符合标准要求的安全集成方案、报告等文档模板； 制定针对供方的管理要求。  第三十一页，共四十一页。 * 信息系统安全集成 概念与标准 第一页，共四十一页。 * 本章摘要 本章讲述信息系统安全集成概念与信息系统安全集成相关的标准，并详细讲述信息系统安全集成服务资质认证实施规则。 摘 要 第二页，共四十一页。 主要内容 一、基本概念 二、SSE-CMM标准及其演化进程介绍 三、ISO20000与ISO27000标准介绍 四、信息系统安全集成服务资质认证实施规则 第三页，共四十一页。 * 一、基本概念 1.什么是信息系统安全集成？ 新建系统 升级系统 优化加固 信息系统安全集成是在组织IT战略指导思想下按照组织的信息系统安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。 第四页，共四十一页。 * 一、基本概念 2.标准与标准化的概念 GB/T 20000.1-2002《标准化工作指南 第1部分: 标准化和相关活动的通用词汇》中对标准的定义：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。 标准化是制定、发布及实施标准的过程。标准是科学、技术和实践经验的总结。标准化是为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。 第五页，共四十一页。 * 一、基本概念 3.标准化组织简介 国际标准化组织，简称ISO，是世界上最大的非政府性标准化专门机构，是国际标准化领域中一个十分重要的组织。 中国国家标准化管理委员会，英文缩写SAC，为国家质检总局管理的事业单位。 国家标准化管理委员会是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。 分为国际标准化组织、区域标准化组织、行业标准化组织、国家标准化组织。 第六页，共四十一页。 * 二、SSE-CMM标准介绍及其在国内外演化进程 本节主要内容： １ SSE-CMM概念 ２ SSE-CMM背景与发展 ３ SSE-CMM背景与发展 第七页，共四十一页。 * 二、SSE-CMM标准介绍及其在国内外演化进程 SSE-CMM中文解释为：信息安全工程能力成熟度模型。它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。 1.SSE-CMM概念 SSE-CMM模型是安全工程实施的标准度量标准，它覆盖了： 整个生命期，包括开发、运行、维护和终止； 整个组织，包括其中的管理、组织和工程活动； 与其它规范并行的相互作用，如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范； 与其它机构的相互作用，包括获取、系统管理、认证、认可和评价机构。 第八页，共四十一页。 * 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM背景 无论是顾客，还是供应商都对改进安全产品、系统和服务的开发感兴趣。 安全工程领域已有一些被充分接受的原则，但仍缺少一个易于理解的评估安全工程实施的框架。 SSE-CMM正是这样一个框架，它为安全工程原则的应用提供了一个衡量和改进的途径。 第九页，共四十一页。 * 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM发展 SSE-CMM由美国国家安全局（NSA）提出，汇聚60多个厂商集中开发。 1993年美国国家安全局提出SSE-CMM的构想； 1995年3月SSE-CMM项目工作组完成了SSE-CMM模型和认定方法工作； 1996年10月出版SSE-CMM的第一版； 1997年4月出版SSE-CMM的第二版； 2003年7月出版SSE-CMM的第三版。 第十页，共四十一页。 * 二、SSE-CMM标准介绍及其在国内外演化进程 2.SSE-CMM背景与发展 SSE-CMM、ISO/TEC 21872与GB/T20261的关系 2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002。 2006年