收藏
下载资源

信息系统安全等级保护与项目管理

上传人:f****u 文档编号:110577752 上传时间:2019-10-30 格式:PDF 页数:2 大小:792.58KB
返回 下载 相关 举报
信息系统安全等级保护与项目管理_第1页
第1页 / 共2页
信息系统安全等级保护与项目管理_第2页
第2页 / 共2页
亲,该文档总共2页,全部预览完了,如果喜欢就下载吧!
资源描述

《信息系统安全等级保护与项目管理》由会员分享,可在线阅读,更多相关《信息系统安全等级保护与项目管理(2页珍藏版)》请在金锄头文库上搜索。

1、目标有 3 5项。以四级的安全管理目的为例,与项目管理过 程相关的安全目标有: 表 2 . 1 安全目标与项目管理过程 其它的一些安全目标,也会影响项目范围的定义与项目 的运行、维护的过程: 表 2 . 2 其它安全目标 信息安全等级保护制度 1 是我国在信息安全领域的一项基 本的政策。等级保护的实施将对信息系统建设的项目管理带 来重要的变化,符合等级保护的要求是等级保护制度下的项 目管理的一项重要目标,成功的项目管理也是信息系统建设 达到等级保护要求的必经途径。 安全目标与项目管理过程 项目是为生产某一独特产品或服务所做的一次性工作。 项目管理在项目活动中运用知识、 技能、 工具和技术来实现

2、项 目要求。项目管理知识体系( P r o j e c t Ma n a g e me n t B o d y o f K n o w l e d g e , P MB O K ) 2 美国项目管理学会P MI ( P r o j e c t Ma n a g e - m e n t I n s t i t u t e ) 在2 0 世纪7 0 年代末提出,迄今已修订三次。 在 P MB O K 中, 将项目的管理分为9 个知识领域, 即范围管理、 时 间管理、成本管理、质量管理、 人力资源管理、沟通管理、 采 购管理、风险管理和综合管理(图2 . 1 ) 。 图 2 . 1 项目管理知识结构

3、 “安全目标”是不同安全保护等级的信息系统为了对抗 威胁而达到相应安全保护能力应实现的目标。在信息系统 安全等级保护基本要求中,一到四级的信息系统安全管理 等级保护 公安部第三研究所 金 波 信息系统安全 项目管理 与 49 历 程 2 0 0 6 管理要求与项目管理过程 项目管理的 5个过程组(图 3 . 1 ) 3 是:启动过程组, 确定并核准项目或项目阶段;规划过程组, 确定和细化目标, 并为实现项目而要达到的目标和完成项目要解决的问题范围而 规划必要的行动路线 ; 执行过程组, 将人与其它资源结合为整 体实施项目管理计划;监控过程组,定期测量并监视绩效情 况, 发现偏离项目管理计划之处

4、, 以便在必要时采取纠正措施 来实现项目的目标 ; 收尾过程组, 正式验收产品、 服务或成果, 并有条不紊地结束项目或项目阶段。 图 3 . 1 项目过程循环 在实行等级保护的项目的管理过程中,必需贯彻等级保 护的管理要求。 以三级 (监督保护级) 的管理要求为例, 分析 等级保护对项目生命周期提出的管理要求。 启动过程组 制定项目初步范围说明书 在项目的初步范围说明书中, 应明确系统安全采用等级保护制度, 并确定其初步的定级。 计划过程组 范围定义 应明确信息系统划分为子系统的方法, 并确定 信息系统或子系统的安全保护等级。 制作工作分解结构WB S 等级保护的系统集成工作分解时, 除传统的

5、工作外, 应包括以下工作包:系统定级, 包括系统定 级的评审与备案;安全风险评估;安全方案设计;安全测评; 安全管理制度制订;安全培训;安全应急计划制订。 费用估算 在费用估算过程中, 应估算WB S 中增加的工作 包的费用, 同时, 还需估算第三方测试和评估的费用, 同时为 沟通和合作预留管理成本, 为应急计划做好管理储备。 质量规划 通过质量保证与质量控制确保安全产品、 系统 中使用的硬件、 软件产品的可信度和产品质量。 人力资源规划 要落实专人建立与客户的安全职能部门之 间的接口, 落实相关人员的安全职责, 并为团队提供在软件开 发、工程实施的安全培训。 沟通规划 建立与客户安全职能部门

6、之间的沟通渠道、 与 兄弟单位、 公安机关、 电信公司的合作与沟通、 与供应商、 业 界专家、 专业的安全公司、 安全组织的合作与沟通, 有必要时 可聘请信息安全专家作为专家指导项目。 风险管理规划 在风险管理规划中, 应识别与项目过程中 的可能信息安全风险, 并为项目制订自身的安全风险规划。 发包规划 信息安全产品须具有计算机信息系统安全专用 产品销售许可证与相应安全等级使用许可,密码产品应符合 国家密码主管部门的要求, 并制订产品采购过程控制方法与选 型准则 ; 软件外包应明确软件的安全要求 ; 安全服务商应具备 符合系统的等级要求的, 由等级保护相关主管部门安全服务资 质许可。 执行过程

7、组 在执行过程中,要求专人负责、正式地执 行安全工程过程, 实施计划中的质量保护与质量控制, 确保项 目满足实施所需的所有过程, 并能及时发现偏差予以纠正。 监控过程组 监控过程组对照项目管理计划和项目实施基准来监视正在 进行的活动, 对妨碍整体变更控制的因素施加影响, 以做到仅 实施经过批准的变更。 监控过程应符合授权与审批、 审核与检 查、变更管理的安全要求。 收尾过程组 项目收尾 项目收尾是完成项目的所有活动, 项目收尾应 经过安全测评, 测评后符合相应的等级保护要求才能验收与投 入正式运行。 合同收尾 根据合同要求, 检测外包合同提供的产品或服 务质量与安全性, 对于软件产品, 应检测

8、软件包中可能存在的 恶意代码。 在项目管理的生命周期过程中,结合等级保护的管理规 范和技术标准, 进行信息系统的规划设计、 建设施工, 是信息 系统等级保护在系统集成过程中的最佳实践。 只有通过有效地 项目管理的实施, 才能将等级保护落到实处, 才能有效地保障 所建设的信息系统的安全。 参考文献: 1 四部委关于信息安全等级保护工作的实施意见 (公通 字 2 0 0 4 6 6 号) ;2 0 0 4 0 9 1 5 2 项目管理知识体系指南(第 3 版) ;美国国家标准 A NS I / P MI 9 9 - 0 0 1 - 2 0 0 4 3 公安部信息安全等级保护评估中心, 信息系统安全等 级保护基本要求。 50 历 程 2 0 0 6

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号