信息安全工程 培训机构名称讲师姓名版本: 3.0发布日期: 2014-12-1生效日期: 2015-1-1课程内容信息安全工程基础知识体知识域信息安全工程概述信息安全工程理论基础信息安全工程概念知识子域信息安全工程实施发掘信息保护需求定义信息系统安全要求设计系统安全体系结构开发详细安全设计实现系统安全评估信息保护的有效性支持认证和认可信息安全工程监理信息安全工程监理概述信息安全工程监理过程课程内容3信息安全工程能力评估知识体知识域SSE-CMM概述SSE-CMM 的体系结构SSE-CMM 概念及作用知识子域信息安全工程过程风险过程领域工程过程领域保证过程领域计划和跟踪级充分定义级信息安全工程能力量化控制级持续改进级未实施级非正式执行级知识域:信息安全工程概述知识域:信息安全工程概述 知识子域:信息安全工程概念• 了解信息安全工程的重要性和意义• 了解信息安全工程的基本原则 知识子域:信息安全工程理论基础• 了解系统工程基本思想• 了解项目管理基本概念和要素• 了解质量管理基本概念• 理解“能力成熟度模型”基本思想4信息安全工程概述信息安全工程是信息安全保障的重要组成部分,但是却被广泛忽视 等级保护—技术、管理 传统风险评估—资产 \ 威胁 \ 脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”;从一般安全人员看信息安全是“重应用、轻安全”;从专业人员的角度看信息安全的状况是“重要素、轻过程”,情况更严重。信息安全工程就是要解决信息系统生命周期的“过程安全”问题5信息化建设中的案例A 公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL 注入漏洞,可以泄露用户交易信息6信息化建设中的案例(续)当初外包开发此网站的公司已经倒闭A 公司技术人员对网站系统开发情况不了解,没有能力消除该漏洞。公司董事会研究最终决定,为保护用户隐私,暂时不再为用户提供网上交易信息查询服务!7需要牢记在心的原则信息安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实施” “ 重功能、轻安全”,“先建设、后安全”都是信息化建设的大忌信息安全工程是信息安全保障工作中不可或缺的环节8支撑信息安全工程的理论基础系统工程思想项目管理方法质量管理体系能力成熟度模型9什么是系统工程钱学森:“系统工程是组织管理系统规划、研究、制造...
