正文内容

信息安全工程ppt课件ppt-资料下载页

2024-03-02 12:24本页面
  

【正文】 理方案• 。• 验收报告• 安全评估报告• 风险评估报告• 安全评估报告• 安全认证证书技术评审技术评审评审 评审评审验收测试系统评估 系统认证评审仿真环境测试测试测试测评认证测评认证安全测试版本: 1 .0合同授予合同授予安全服务合同安全服务合同 安全集成合同 工程实施合同 安全服务合同参见:中国信息安全产品测评认证中心的“国家信息安全测评认证 ”, 2022年第 2期, P6P14 信息系统安全保障工程实施框架 XX电子政务信息系统安全保障工程 实践示意图 参见:中国信息安全产品测评认证中心的“国家信息安全测评认证 ”, 2022年第 2期, P6P14 立项阶段开发 / 采购阶段实施阶段运行维护阶段废弃阶段省市级XX 安全保障工程实施试点各省市级XX 安全保障工程实施各省市级XX 安全保障工程实施立项阶段开发 / 采购阶段实施阶段立项阶段开发 / 采购阶段实施阶段运行维护阶段立项阶段开发 / 采购阶段实施阶段运行维护阶段 运行维护阶段XX 电子政务信息系统安全保障工程(一)前期准备阶段XX 电子政务信息系统安全保障工程(二)试点实施阶段XX 电子政务信息系统安全保障工程(三)全面实施阶段XX 电子政务信息系统安全保障工程(四)运行维护阶段XX 电子政务信息系统安全保障工程(五)废弃阶段IT项目管理中的安全考虑 立项阶段  确立业务对信息安全的总体要求  识别各类安全要求  证明安全要求的正确性  分析、协调、综合形成各类文档 • 信息安全规划 • 安全需求报告 • 风险评估报告 • 立项报告 IT项目管理中的安全考虑 —开发和采购阶段  数据的正确处理 • 输入数据的校验  范围之外的值  无效数据类型  丢失或不完整的数据  未授权或非法的输入:防止缓冲区溢出和代码注入 • 数据处理过程控制  处理的时间顺序  发生故障后运行的程序  系统失效或处理错误后的恢复 • 输出数据的验证  输出的去向正确  数据的准确性、完备性和精确性 IT项目管理中的安全考虑 —开发和采购阶段  加密控制 • 选择适当的加密算法类型、强度和质量 • 选择加密的通信线路和加密内容 • 制定密钥管理的方法  密钥的分发方式  密钥的保存  密钥的更新方式  密钥遗失、泄露和破坏后的处理方法  密钥的撤销和销毁 IT项目管理中的安全考虑 —开发和采购阶段  系统资源的安全 • 系统软件安装控制:选择安全的系统软件、安装必要的组件、防止盗版的安装、及时更新 • 系统测试数据的保护:尽量不用真实生产数据,如果必须用,注意对拷贝过程进行控制、对测试系统的访问控制、测试之后信息清除、有效的审计措施 • 应用系统源代码保护:  运行系统尽量不保留源代码  对源代码库进行访问控制  管理向程序员发布源代码  源代码库的有效审计 IT项目管理中的安全考虑 —实施阶段  项目变更管理 • 建立严格清晰的变更程序 • 变更时要对变更原因和变更的影响进行评估 • 必要时在测试系统中进行测试 • 变更要形成文档记录 IT项目管理中的安全考虑 —交付和废弃  交付过程 • 初验 • 试运行 • 终验  交付后 • 持续的风险评估和安全加固  废弃 • 信息的彻底清除 五、信息安全工程监理 信息安全工程监理参考模型 监理咨询支撑要素控制和管理手段监理咨询阶段过程设计招标实施验收变更监理咨询组织结构监理咨询设施信息安全保障专业知识质量管理质量控制进度控制成本控制合同管理信息管理组织协调“ 三控制、两管理、一协调 ”监理规划标准规范 合同 监理实施细则监理规划标准规范 监理实施细则监理咨询阶段及其目标 招标阶段  工程招标阶段的主要监理目标 • 协助业主单位明确信息安全工程 需求 ,确定工程建设目标; • 促使承建单位编制的 信息安全方案 符合国家和业主单位的相关规定,满足需求,合理可行; • 促使业主单位、承建单位所签定 合同 在技术、经济上的合理性; 监理咨询阶段及其目标 设计阶段  工程设计阶段的主要监理目标 • 加强 工程实施方案 的合法性、合理性、与安全工程需求和设计方案的符合性; • 促使工程计划、设计方案满足工程需求,符合相关的法律、法规和标准,并与工程建设合同相符,具有可验证性。 • 协助业主单位、承建单位消除设计文档在进入工程实施前可预见的缺陷。 监理咨询阶段及其目标 实施阶段  工程实施阶段的主要监理目标 • 加强工程实施方案的合法性、合理性、与设计方案的符合性; • 促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准; • 明确工程实施计划,对于计划的调整必须合理、受控; • 促使工程实施过程满足承建合同的要求,并与工程设计方案、工程计划相符; 监理咨询阶段及其目标 验收阶段  工程验收阶段的主要监理目标 • 明确工程项目测试验收方案的符合性(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)及可行性; • 促使工程的最终功能和性能符合承建合同、法律、法规和标准的要求; • 推动承建单位所提供的工程各阶段形成的技术、管理文档的内容和种类符合相关标准。 招标阶段技术部分 描述和证据  主要完成证据 • 用户签认的 《 需求书 》 ;附件一:监理方签认的 《 需求书报审表 》 • 《 信息安全建设方案 》 、 《 方案评审报告 》 和 《 专家评审意见 》 ;附件一:监理方签认的 《 信息安全建设方案报审表 》  其他证据: 《 风险评估报告 》 等  咨询服务:同承建方、业主方进行沟通、培训;通过所编制的相关标准、规范和指南文件等协助承建方和业主方更好地编制满足需求、业务要求和相关国家、部门等政策、法规标准和行政要求的相关文件 承建方 监理方 业主方 需求审核 需求书 需求书报审表 信息安全建设方案 方案评审 方案评审报告 信息安全建设方案报审表 专家评审意见 业主对需求书进行盖章认可 签认的需求书 监理方协助业主方进行专家评审 设计阶段监理流程 设计阶段 描述和证据  主要完成证据:三方签认的 《 信息安全工程实施方案 》 、 《 安全工程阶段测试方案 》 ;附件一:监理方签认的 《 信息安全工程实施报审表 》 ,附件二:监理方签认的 《 信息安全工程阶段测试方案报审表 》  其他证据: 《 风险评估报告 》 、 《 安全工程效益评估方案 》 等  咨询服务:通过所编制的相关标准、规范和指南文件等协助承建方和业主方更好地编制满足需求、业务要求和相关国家、部门等政策、法规标准和行政要求的相关文件 承建方 监理方 业主方 方案审核 信息安全工程实施方案 信息安全工程实施方案报审表 对安全工程实施方案签认 签认的实施方案 方案审核 信息安全工程阶段测试方案 信息安全工程阶段测试方案报审表 对安全工程阶段性测试方案签认 签认的方案 实施阶段监理流程 实施阶段 描述和证据  主要完成证据 • 监理方签认的 《 安全工程阶段实施细则 》 附件一:监理方签认的 《 实施细则报审表 》 • 监理方签认的 《 质量管理计划 》 附件一:监理方签认的 《 质量管理计划报审表 》  其他证据:各种工程实施过程文件  监理工作:依据实施方案、实施方案细则和质量管理计划对工程实施过程进行符合性监督和检查 承建方 监理方 业主方 安全工程阶段实施细则审核 安全工程阶段实施细则 实施细则报审表 质量管理计划 质量管理计划审核 质量管理计划报审表 业主确认认可实施细则 业主确认认可质量管理计划 验收阶段监理流程 验收阶段 描述和证据  主要完成证据 • 三方签认的 《 初验、终验验收方案 》 附件一:监理方签认的 《 初验、终验验收方案报审表 》 • 三方签认的 《 初验、终验报告 》 附件一:监理方签认的 《 初验、终验报告报审表 》  其他证据:各种工程验收过程文件 承建方 监理方 业主方 初验、终验方案审核 初验、终验验收方案 验收方案报审表 初验、终验报告 初验、终验审核 初验、终验报审表 业主签认方案 业主签认初验、终验报告 例题  模型( SSECMM)的主要过程: • A. 风险过程 • B. 保证过程 • C. 工程过程 • D. 评估过程 例题  型( SSECMM)的第 3级: • A. 计划跟踪 • B. 量化控制 • C. 充分定义 • D. 持续改进 例题  ,应对安全问题予以足够的重视。以下说法错误的是 : • ,应对生产系统中的数据进行严格的控制 • ,应注意数据输入、处理和输出等阶段对数据的控制 • ,在开发过程中就应当严格遵守,不能有任何改变 • ,不能等闲视之 例题  • 、进度控制、成本控制、合同管理、信息管理和协调 • 、进度控制、成本控制、合同管理和协调 • 、认可设计方案、监视安全态势、建立保障证据和协调 • 、认可设计方案、监视安全态势和协调 例题  SSECMM模型中工程过程的过程区( PA) • • • • 问题?
点击复制文档内容
教学课件相关推荐
文库吧 www.wenkub.com
备案图鄂ICP备17016276号-1