1、安全集成服务过程要求的四个阶段 界定安全需求界定安全需求 确定服务合同确定服务合同 确定服务人员和组织确定服务人员和组织 签订保密协议签订保密协议 集成准备集成准备 方案设计方案设计 建设实施建设实施 安全保证安全保证 安全方案设计安全方案设计 管理安全控制措施管理安全控制措施 安全协调安全协调 安全监控安全监控 验证和确认安全验证和确认安全 建立保证论据建立保证论据集成准备阶段要求解读约束是什么?约束是什么?目标是什么?目标是什么?安全需求说明安全需求说明 安全约束条件安全约束条件 威胁环境分析威胁环境分析 安全轮廓说明安全轮廓说明 安全分析视图安全分析视图 安全要求基线安全要求基线 安全目
2、标安全目标达成一致性协议达成一致性协议方案设计阶段达成安全需求共识达成安全需求共识确定安全约束条件和考虑事项确定安全约束条件和考虑事项识别安全集成的项目方案识别安全集成的项目方案评审评审项目方案项目方案提供安全提供安全集成集成指南指南提供安全运行指南提供安全运行指南本阶段的主要目的:本阶段的主要目的:基于识别的安全需求,为信息系统的规划人基于识别的安全需求,为信息系统的规划人员、设计人员、实施人员和客户提供所需的员、设计人员、实施人员和客户提供所需的安全信息。这些信息至少包括安全体系安全信息。这些信息至少包括安全体系结构、设计或实施的项目方案以及安全指南结构、设计或实施的项目方案以及安全指南要
3、求解读各方需求协商各方需求协商约束条件影响选择约束条件影响选择各方安全指南的提供各方安全指南的提供与设计人员、开发人员、客户沟通确认,以确保相关与设计人员、开发人员、客户沟通确认,以确保相关团体对安全输入需求达成共识团体对安全输入需求达成共识。确定安全约束条件和考虑事项,以便做出最佳安全集成选择确定安全约束条件和考虑事项,以便做出最佳安全集成选择向各工作组提供项目相关的安全指南向各工作组提供项目相关的安全指南向信息系统运行的用户和管理员提供安全运行指南向信息系统运行的用户和管理员提供安全运行指南方案识别和评审方案识别和评审识别安全集成的项目方案识别安全集成的项目方案利用安全约束条件和考虑事项对
4、项目方案进行评审利用安全约束条件和考虑事项对项目方案进行评审建设实施阶段制定制定协调目标协调目标识别协调机制识别协调机制促进安全协调促进安全协调协调安全决策和建议协调安全决策和建议要求解读:安全协调确定安全集成协调目标和关系确定安全集成协调目标和关系识别安全集成的协调机制识别安全集成的协调机制促进安全集成协调促进安全集成协调运用已识别的协调机制协调有关安全的决策和建议运用已识别的协调机制协调有关安全的决策和建议要求解读:安全管理控制建立安全管理职责和建立安全管理职责和管理安全控制机制的配置管理安全控制机制的配置管理安全管理安全意识、培训和意识、培训和教育教育定期维护与管理安全控制定期维护与管理
5、安全控制措施措施通过正确实施和配置,确保信息系统的安全措施在其运行状态下达到了预期目标。要求解读:管理安全控制 管理安全控制机制的配置管理安全控制机制的配置定期维护和管理安全控制机制定期维护和管理安全控制机制建立安全控制机制的管理职责和可核查性,并且传达建立安全控制机制的管理职责和可核查性,并且传达给组织中的所有成员给组织中的所有成员对所有员工的安全意识、培训和教育进行管理对所有员工的安全意识、培训和教育进行管理分析事件记录分析事件记录监控监控安全环境安全环境变化变化识别安全事件识别安全事件监控安全防护措施监控安全防护措施要求解读:安全监控评审安全态势评审安全态势管理安全事件的响应管理安全事件
6、的响应保护安全监控结果保护安全监控结果要求解读:安全监控日志组成和来源描述日志组成和来源描述入侵事件报告和总结入侵事件报告和总结系统恢复优先级列表系统恢复优先级列表风险容量评审风险容量评审安全态势定期评审安全态势定期评审日志分析和总结日志分析和总结应急响应和计划应急响应和计划监控结果可用性和授权管理监控结果可用性和授权管理安全保证阶段要求解读:建立安全保证论据获获提供表明客户安全需求得到满足安全保证论据提供表明客户安全需求得到满足安全保证论据识别识别安全保证目标安全保证目标分析安全保证证据分析安全保证证据识别和控制安全保证证据识别和控制安全保证证据制定安全测量准则制定安全测量准则制定制定安全保证策略安全保证策略要求解读:验证和确认安全 验证和确认计划验证和确认计划 测试、分析、演示和观察计划测试、分析、演示和观察计划端到端的可追踪矩阵端到端的可追踪矩阵 验证和确认测试结果验证和确认测试结果项目方案的验证结果项目方案的验证结果 验证和确认方案问题报验证和确认方案问题报告告 项目方案的确认结果项目方案的确认结果 验证和确认计划验证和确认计划 谢谢 谢谢 !
