网络安全保障流程

需求定义

        满足法规合规、业务需求、风险评估

        信息系统保护轮廓ISPP-----标准化安全保障需求文档----从用户角度规范化、机构化

         需要包括:系统描述、安全环境、保障目的、安全保障要求、应用注解、符合性声明7部分

规划设计

        考虑业务功能和价值,哪些风险必须处理,哪些可以接受

        贴合实际可以实施:成本可接受、进度合理、技术可实现、组织管理和文化课接受

        信息系统安全目标ISST-----根据ISPP从建设方角度指定

        需要包括:系统描述、安全环境、保障目的、概要规范ISPP声明、符合性声明7部分

工程实施

       具体实现内容:技术实现、产品研发、系统部署、安全调试、试运行等

       软件开发:SW-CMM、CMMI     ----1-5级 ---5级最高

       软件安全:SDL、SAMM、BSIMM、CLASP

       安全集成:ISO/IEC  21827 SSE-CMM ----1-5级---5级最高

评估测评

     评估方面:产品、系统、工程、人员、等保

     评估标准依据:

     信息产品安全测评:ISO/IEC 15408-----EAL1-EAL7级---7级最高----------数据库、软件

     信息系统保障测评:GB/T 20274(TCML、MCML、ECML 1-5级)---5级最高----产品组合搭建

     系统等级保护测评:等级保护----1-5级---5级最高----系统+运营+人员评估评级

     工程服务能力测评:ISO/IEC   21827 SSE-CMM ----1-5级---5级最高---关注漏洞和问题

     信息安全人员测评:NISP、CISM 、CISP-----操作人员资质

运行维护

      风险动态变化,要持续改进保障能力,包括技术、管理、工程能力

  

终止废弃

      生命周期结束

你可能感兴趣的:(it,服务器)