收藏
下载资源

{管理信息化信息技术}信息安全技术信息系统安全工程管理要求

上传人:蜀歌 文档编号:157669526 上传时间:2020-12-26 格式:PDF 页数:33 大小:616.54KB
返回 下载 相关 举报
{管理信息化信息技术}信息安全技术信息系统安全工程管理要求_第1页
第1页 / 共33页
{管理信息化信息技术}信息安全技术信息系统安全工程管理要求_第2页
第2页 / 共33页
{管理信息化信息技术}信息安全技术信息系统安全工程管理要求_第3页
第3页 / 共33页
{管理信息化信息技术}信息安全技术信息系统安全工程管理要求_第4页
第4页 / 共33页
{管理信息化信息技术}信息安全技术信息系统安全工程管理要求_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《{管理信息化信息技术}信息安全技术信息系统安全工程管理要求》由会员分享,可在线阅读,更多相关《{管理信息化信息技术}信息安全技术信息系统安全工程管理要求(33页珍藏版)》请在金锄头文库上搜索。

1、管理信息化信息技术信 息安全技术信息系统安全 工程管理要求 管理信息化信息技术信 息安全技术信息系统安全 工程管理要求 3.4 脆弱性 vulnerability 能够被某种威胁利用的某个或某组资产的弱点。 3.5 风险 risk 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 3.6 需求方 owner 信息系统安全工程建设的拥有者或组织者。 3.7 实施方 developer 信息系统安全工程的建设与服务的提供方。 3.8 第三方 thirdparty 独立于需求方、实施方,从事信息系统安全工程建设相关活动的中立组织或机构。 3.9 项目 project 项目是各种

2、相关实施活动和资源的总和, 这些实施活动和资源用于开发或维护信息安全工程。 一个项目往往 有相关的资金,成本账目和交付时间表。 3.10 过程 process 把输入转化为输出的一组相关活动。 3.11 过程管理 processmanagement 一系列用于预见、评价和控制过程执行的活动和体系结构。 4 安全工程体系 4.1 概述 在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。 通过这个体系从安全工程 中分离出实施和保证的基本特征,立信息系统安全分级保护要求与工程管理的关系。 4.2 安全工程目标 理解需求方的安全风险,根据已标识的安全风险建立合理的安全要求,将安全

3、要求转换成安全指南,这些安 全指南指导项目实施的其它活动,在正确有效的安全机制下建立对信息安全的信心和保证 ; 判断系统中和系 统运行时残留的安全脆弱性,及其对运行的影响是否可容忍(即可接受的风险) ,使安全工程成为一个可信 的工程活动,能够满足相应等级信息系统设计的要求。 4.3 基本关系 安全工程由安全等级、 保证与实施要求两个维度组成, 不同等级要求的安全工程对应不同的保证与实施要求。 其中保证是由资格保证要求和组织保证要求构成, 实施是由工程实施要求和项目实施要求构成。 资格保证要 求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求 ; 组织保证要求表示 信息

4、安全工程过程要求中对需求方组织保证的要求 ; 工程实施要求表示信息安全工程中对安全实施过程的要 求;项目实施要求表示信息安全工程中对项目实施过程的要求。 5 资格保证要求 5.1 系统集成资质要求 国家主管部门认可的系统集成资质。 5.2 人员资质要求 国家主管部门认可的安全服务人员资质。 5.3 第三方服务要求 国家主管部门认可的服务单位资质。 5.4 安全产品要求 信息安全产品应具有在国内生产、经营、销售的许可证,并符合相应的等级。 5.5 工程监理要求 5.5.1 应具备信息安全系统建设工程实施监理管理制度。 5.5.2 系统聘请专业监理公司,且监理公司具有国家主管部门认可监理资质证书。

5、 5.6 法律、法规、政策符合性要求 系统应符合国家相关的法律、法规和政策。 6 组织保证要求 6.1 定义组织的系统工程过程 6.1.1 基本要求 应为系统工程定义一套标准有明确目标的过程, 这套标准的过程可以通过裁剪应用于定义新工程项目的过程。 6.1.2 制定过程目标 6.1.2.1 从组织的应用目标出发为组织的系统工程过程制定目标。 6.1.2.2 系统工程过程在业务环境中运行,为了使组织的标准实现制度化,该目标应得到明确的认可; 这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。 6.1.3 收集过程资产 6.1.3.1 收集和维护系统工程过程资产。 6.1.3.

6、2 在组织和项目层次中,由过程定义活动所产生的信息都需要存储(在过程资产库中),使得那些剪 裁、过程设计活动中的资产能被使用人理解,并得到维护与保持。 6.1.4 开发组织的系统工程过程 6.1.4.1 为组织开发一个充分定义的标准系统工程过程。 6.1.4.2 在开发组织的标准系统工程过程中,可能使用到过程资产库中的设备;在开发任务时,可能需要一 些新的过程资产, 应该将这些资产添加到过程资产库中 ; 应该将组织的标准系统工程过程置于过程资产库中。 6.1.5 定义剪裁指南 定义剪裁组织的标准系统工程过程的指南,该指南在开发项目的定义过程中使用。 6.2 改进组织的系统工程过程 6.2.1

7、基本要求 应实施测量和改进系统工程过程的连续活动, 以标准系统工程过程定义为基础, 通过不断改进活动提高组织 系统工程过程的效益和效率。 6.2.2 评定过程 6.2.2.1 评定组织中现有的执行过程以便了解它们的强项和弱项,了解组织现有的执行过程的强项和弱项是 建立改进活动基线的关键; 6.2.2.2 评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进行,评定方法的选择应与文化 和组织需求相匹配。 6.2.3 规划过程改进 应基于对潜在改进所产生影响的分析,为组织制订过程改进计划,以达到过程的目标。 6.2.4 改变标准过程 改变组织的标准系统工程过程以便反映目标的改进。 6.2.

8、5 沟通过程改进 适当地同现有项目和其它有相关团体共同沟通过程的改进。 6.3 管理系列产品演化 6.3.1 基本要求 应通过引进服务、设备和新技术实现产品更新与工程费用降低,获取工程进度和执行的最佳收益。 6.3.2 定义产品演化 6.3.2.1 定义要提供产品的类型。 6.3.2.2 定义支持组织战略目标的系列产品。 6.3.2.3 考虑组织的强项和弱项、竞争力、潜在的市场份额和可利用的技术。 6.3.3 标识新生产技术 6.3.3.1 标识新生产技术或加强基础设施建设, 将有助于组织获取、 开发和应用新生产技术来提高竞争优势。 6.3.3.2 确定可能引入到系列产品的新生产技术,为确定新

9、技术和基础设施改进而建立并能维护的原始资料 和方法。 6.3.4 适应开发过程 6.3.4.1 在产品开发周期中采取必要的变动以支持新产品的开发。 6.3.4.2 适应组织的产品开发过程,熟悉并利用准备在将来使用的组件。 6.3.5 确保关键组件的可用性 6.3.5.1 确保关键组件都可利用,并可以支持有计划的产品改进。 6.3.5.2 组织应确定产品系列的关键组件及其可用性的计划。 6.3.6 插入产品技术 6.3.6.1 将新的技术插入到产品开发、市场营销和制造过程中。 6.3.6.2 管理将新技术引入到系列产品的工作(包括现有产品系列组件的改进、新组件的引进);标识和管 理与产品设计变化

10、有关的风险。 6.4 管理系统工程支持环境 6.4.1 基本要求 应能够为不同需求的系统工程提供支持环境,并可以通过剪裁适应不同的项目。根据技术、环境状态的变化 对支持环境进行改进。 6.4.2 维持技术认识 6.4.2.1 维持对支持实现组织目标的那些技术的认识。 6.4.2.2 对工艺现状或实施现状应该插入新的技术,组织应具有对新技术的充分认识。 6.4.3 确定支持需求 根据组织的需要确定组织的系统工程支持环境的需求。 6.4.4 获得系统工程支持环境 6.4.4.1 获得一个系统工程支持环境,该环境要满足在确定支持需求中通过利用分析候选解决要求项的实施 而建立的要求。 6.4.4.2

11、针对所需的系统工程支持环境,确定其评价标准和潜在的候选解决方案;利用分析候选解决要求项 选择一个解决方案;得到并实现所选的系统工程支持环境。 6.4.5 剪裁系统工程支持环境 剪裁系统工程支持环境,以满足单个项目的要求。 6.4.6 插入新技术 6.4.6.1 根据组织的应用目标和项目需要将新技术插入到系统工程支持环境中。 6.4.6.2 组织的系统工程支持环境应用新技术更新,并要支持组织的应用目标及工程需要;在系统工程支持 环境中,应提供使用新技术的培训。 6.4.7 维护环境 6.4.7.1 维护系统工程支持环境以持续支持依赖该环境的项目。 6.4.7.2 维护活动包括计算机系统管理、培训

12、、热线支持、专家的作用、发展或者扩充一个技术库等。 6.4.8 监视系统工程支持环境 6.4.8.1 监视系统工程支持环境以发现改进的机会。 6.4.8.2 确定影响系统工程支持环境有用性的因素,包括任何新插入的技术;监视新技术和整个系统工程支 持环境的接受情况。 6.5 培训 6.5.1 基本要求 应建立一套完整的培训体系, 能够为员工提供满足组织需求并适用于系统工程活动的, 及时有效的知识与技 能培训。 6.5.2 确定培训要求 6.5.2.1 以项目的要求、组织的战略计划和现有的员工技能情况为指导,确定组织在技能与知识方面所需的 改进。 6.5.2.2 综合现有的程序、组织的战略计划和现

13、有员工的技能等各方面信息确定这些要求。 6.5.3 选择知识或技能的获取模式 6.5.3.1 评价和选择通过培训或其它资源获取知识或技能的适当模式。 6.5.3.2 应确保所选择的方法是最佳的,以使得所需技能和知识对项目及时有效。 6.5.4 确保技能和知识的可用性 确保技能和知识对系统工程活动是适用的。 6.5.5 准备培训材料 6.5.5.1 根据确定的培训要求准备培训材料。 6.5.5.2 为每一个由组织内部人员建成的班编制培训材料,或为每一个已存在的班准备培训材料。 6.5.6 培训人员 6.5.6.1 培训教员要具备执行赋予他们的角色的技能与知识。 6.5.6.2 要根据培训计划和编

14、制的材料进行人员培训。 6.5.7 评估培训的有效性 6.5.7.1 评估培训的有效性以满足所确定的培训要求。 6.5.7.2 评估有效性的方法应与培训计划编制和培训材料的拟定同时列出;应及时获取有效性评估的结果, 以便对培训做出相应调整。 6.5.8 维护培训记录 6.5.8.1 维护培训与取得经验的记录。 6.5.8.2 维护记录以追踪每个人员接受培训的情况,以及受训后的技能和能力。 6.5.9 维护培训材料 6.5.9.1 维护知识库中的培训材料。 6.5.9.2 维护知识库中的课件材料以供员工今后访问,并且在课程材料变动时可供跟踪。 6.6 与供应商协调 6.6.1 基本要求 应能够根

15、据工程的需求建立与维护供应商的关系,确保供应商能够为系统工程提供满足要求的产品或服务。 6.6.2 确定系统的组件或服务 确定应由其它外部组织提供的系统组件或服务。 6.6.3 确定胜任的供应商或销售商 6.6.3.1 标识在特定领域中具有专门技术的供应商。 6.6.3.2 供应商的能力包括胜任开发过程、制造过程、验证责任、及时交付、生存周期支持过程及远程有效 通信能力,上述能力应符合本组织的各项要求。 6.6.4 选择供应商或销售商 6.6.4.1 依照 7.1 选择供应商。 6.6.4.2 以合乎逻辑和公平的方式选择供应商以满足产品的目标;提供最能弥补本组织能力的供应商特征, 标识合格的候

16、选者;通过要求项 7.1“管理安全控制”的实施来选择出合适的供应商。 6.6.5 提出要求 6.6.5.1 对供应商提出组织对系统组件或服务的要求、期望和效果指标。 6.6.5.2 在合同签署时组织应将它的要求和期望清楚地指明并排出优先顺序,并且要指明对供应商方面的所 有限制;组织要与供应商密切合作,使其充分了解产品达到的要求和自己要承担的责任,并达成相互理解。 6.6.6 维持沟通 6.6.6.1 与供应商维持及时的双向沟通。 6.6.6.2 组织与供应商要对期望的和所需的沟通建立相互谅解。所建立的沟通的特点包括:双方公认的公开 的没有任何限制的信息类型,受限的信息类型(如策略或合同关系),所期望的信息请求与回应的及时性, 用于沟通的工具和方法,安全,保密以及期望的分布情况。 7 工程实施要求 7.1 管理安全控制 7.1.1 基本要求 应保证系统在运行状态下达到设计预期的安全特性,安全控制措施被配置且能正常使用。 7.1.2 建立安全职责 7.1.2.1 建立安全控制措施的职责和责任并通知到组织中的每一个人。 7.1.2.2 本项目应该保证承担相应安全责任的人员是负责的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号