信息技术信息安全技术信息系统安全工程管理要求.docxVIP

（信息技术）信息安全技术

信息系统安全工程管理要

求

3.4

脆弱性vulnerability

能够被某种威胁利用的某个或某组资产的弱点。

3.5

风险risk

某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。

3.6

需求方owner

信息系统安全工程建设的拥有者或组织者。

3.7

实施方developer

信息系统安全工程的建设与服务的提供方。

3.8

第三方thirdparty

独立于需求方、实施方，从事信息系统安全工程建设相关活动的中立组织或机构。

3.9

项目project

项目是各种相关实施活动和资源的总和，这些实施活动和资源用于开发或维护信息安全工程。一个项目往往有相关的资金，成本账目和交付时间表。

3.10

过程process

把输入转化为输出的一组相关活动。

3.11

过程管理processmanagement

一系列用于预见、评价和控制过程执行的活动和体系结构。

4安全工程体系

4.1概述

在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。通过这个体系从安全工程中分离出实施和保证的基本特征，立信息系统安全分级保护要求与工程管理的关系。

4.2安全工程目标

理解需求方的安全风险，根据已标识的安全风险建立合理的安全要求，将安全要求转换成安全指南，这些安全指南指导项目实施的其它活动，在正确有效的安全机制下建立对信息安全的信心和保证；判断系统中和系统运行时残留的安全脆弱性，及其对运行的影响是否可容忍（即可接受的风险），使安全工程成为一个可信的工程活动，能够满足相应等级信息系统设计的要求。

4.3基本关系

安全工程由安全等级、保证与实施要求两个维度组成，不同等级要求的安全工程对应不同的保证与实施要求。其中保证是由资格保证要求和组织保证要求构成，实施是由工程实施要求和项目实施要求构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求；组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求；工程实施要求表示信息安全工程中对安全实施过程的要求；项目实施要求表示信息安全工程中对项目实施过程的要求。

5资格保证要求

5.1系统集成资质要求

国家主管部门认可的系统集成资质。

5.2人员资质要求

国家主管部门认可的安全服务人员资质。

5.3第三方服务要求

国家主管部门认可的服务单位资质。

5.4安全产品要求

信息安全产品应具有在国内生产、经营、销售的许可证，并符合相应的等级。

5.5工程监理要求

5.5.1应具备信息安全系统建设工程实施监理管理制度。

5.5.2系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。

5.6法律、法规、政策符合性要求

系统应符合国家相关的法律、法规和政策。

6组织保证要求

6.1定义组织的系统工程过程

6.1.1基本要求

应为系统工程定义一套标准有明确目标的过程，这套标准的过程可以通过裁剪应用于定义新工程项目的过程。

6.1.2制定过程目标

6.1.2.1从组织的应用目标出发为组织的系统工程过程制定目标。

6.1.2.2系统工程过程在业务环境中运行，为了使组织的标准实现制度化，该目标应得到明确的认可；

这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。

6.1.3收集过程资产

6.1.3.1收集和维护系统工程过程资产。

6.1.3.2在组织和项目层次中，由过程定义活动所产生的信息都需要存储（在过程资产库中），使得那些剪裁、过程设计活动中的资产能被使用人理解，并得到维护与保持。

6.1.4开发组织的系统工程过程

6.1.4.1为组织开发一个充分定义的标准系统工程过程。

6.1.4.2在开发组织的标准系统工程过程中，可能使用到过程资产库中的设备；在开发任务时，可能需要一些新的过程资产，应该将这些资产添加到过程资产库中；应该将组织的标准系统工程过程置于过程资产库中。

6.1.5定义剪裁指南

定义剪裁组织的标准系统工程过程的指南，该指南在开发项目的定义过程中使用。

6.2改进组织的系统工程过程

6.2.1基本要求

应实施测量和改进系统工程过程的连续活动，以标准系统工程过程定义为基础，通过不断改进活动提高组织系统工程过程的效益和效率。

6.2.2评定过程

6.2.2.1评定组织中现有的执行过程以便了解它们的强项和弱项，了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键；

6.2.2.2评定时应考虑过程执行的测量与课程学习过程；评定可以多种形式进行，评定方法的选择应与文化和组织需求相匹配。

6.2.3规划过程改进

应基于对潜在改进