信息安全工程中国信息安全测评中心课程内容2信息安全工程知识体知识域安全工程基础安全工程生命周期系统工程、项目管理、质量管理能力成熟度基础信息安全工程概述SSE-CMM体系与原理安全工程过程安全工程能力安全工程评估安全工程能力知识子域发掘信息保护需求开展详细安全设计实施系统安全确定系统安全要求设计系统安全体系结构评估信息保护的有效性信息安全工程各方职责监理阶段目标信息安全工程监理模型知识子域学习目标理解信息安全工程的基本概念和重要性熟悉系统安全工程能力成熟度模型(SSE-CMM),能够应用系统安全工程能力成熟度模型(SSE-CMM)指导开展信息安全工程建设、改进安全服务质量3安全工程概述信息安全工程是信息安全保障的重要组成部分,但是却被广泛忽视等级保护—技术、管理传统风险评估—资产\威胁\脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”;从一般安全人员看信息安全是“重应用、轻安全”;从专业人员的角度看信息安全的状况是“重要素、轻过程”,情况更严重。信息安全工程就是要解决信息系统生命周期的“过程安全”问题从生活中的案例开始《消防通道设计规范》规定“商住楼中住宅的疏散楼梯应独立设置”右图是一家门市,为应付消防检查自行搭建的消防通道5安全工程的重要性如果在大楼的设计和实施阶段没有考虑消防,把楼盖完了,再去设置消防通道,必然会导致成本的上升和安全性的下降安全工程在信息化建设中的重要性有过之而无不及6信息化建设中的案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL注入漏洞,可以泄露用户交易信息7信息化建设中的案例(续)当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解,没有能力消除该漏洞。公司董事会研究最终决定,为保护用户隐私,暂时不再为用户提供网上交易信息查询服务!8国家政策要求《关于加强信息安全保障工作的意见》明确要求“信息安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。各地区各部门在信息化建设中,要同步考虑信息安全建设,保证信息安全设施的运行维护费用。”《关于加强信息安全保障工作的意见》明确要求“信息安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。各地区各部门在信息化建设中,要同步考虑信息安全建设,保证信息安全设施的运行维护费用。”国家发展改革委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的中心思想是:电子政务工程建设项目必须同步考虑安全问题,提供安全专项资金,信息安全风险评估结论是项目验收的重要依据。国家发展改革委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的中心思想是:电子政务工程建设项目必须同步考虑安全问题,提供安全专项资金,信息安全风险评估结论是项目验收的重要依据。9需要牢记在心的原则安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实施”“重功能、轻安全”,“先建设、后安全”都是信息化建设的大忌信息安全工程是信息安全保障工作中不可或缺的环节10知识域:安全工程能力成熟度模型知识子域:SSE-CMM体系与原理了解SSE-CMM的适用范围了解过程、过程区和过程能力的概念了解域维/安全过程区与能力维/公共特征的关系知识子域:安全工程过程区域了解过程类、过程区和基本实施的关系理解风险过程、工程过程和保证过程的含义了解各个安全工程过程区的含义知识子域:安全工程能力评价理解能力级别、公共特征和通用实施的关系理解各个信息安全工程能力级别的含义11为什么要学习安全工程能力成熟度模型SSE-CMM为信息安全工程过程改进建立一个框架模型通过SSE-CMM的学习了解信息安全工程中通常要实施的活动有哪些,即信息安全工程中包括的过程有哪些评价和改进这些过程的指标是什么,即实施信息安全工程应当追求的过程能力12什么是系统安全工程系统安全工程尚不存在统一的定义系统安全工程的主要目标是:获...
