网络安全保障流程

需求定义

        满足法规合规、业务需求、风险评估

        信息系统保护轮廓ISPP-----标准化安全保障需求文档----从用户角度规范化、机构化

         需要包括：系统描述、安全环境、保障目的、安全保障要求、应用注解、符合性声明7部分

规划设计

        考虑业务功能和价值，哪些风险必须处理，哪些可以接受

        贴合实际可以实施：成本可接受、进度合理、技术可实现、组织管理和文化课接受

        信息系统安全目标ISST-----根据ISPP从建设方角度指定

        需要包括：系统描述、安全环境、保障目的、概要规范、ISPP声明、符合性声明7部分

工程实施

       具体实现内容：技术实现、产品研发、系统部署、安全调试、试运行等

       软件开发：SW-CMM、CMMI     ----1-5级 ---5级最高

       软件安全：SDL、SAMM、BSIMM、CLASP

       安全集成：ISO/IEC  21827 SSE-CMM ----1-5级---5级最高

评估测评

     评估方面：产品、系统、工程、人员、等保

     评估标准依据：

     信息产品安全测评：ISO/IEC 15408-----EAL1-EAL7级---7级最高----------数据库、软件

     信息系统保障测评：GB/T 20274（TCML、MCML、ECML 1-5级）---5级最高----产品组合搭建

     系统等级保护测评：等级保护----1-5级---5级最高----系统+运营+人员评估评级

     工程服务能力测评：ISO/IEC   21827 SSE-CMM ----1-5级---5级最高---关注漏洞和问题

     信息安全人员测评：NISP、CISM 、CISP-----操作人员资质

运行维护

      风险动态变化，要持续改进保障能力，包括技术、管理、工程能力

  

终止废弃

      生命周期结束