CISP0401信息安全工程原理

信息安全工程原理培训机构名称讲师名字课程内容2安全工程原理知识体知识域安全工程理论背景安全工程能力成熟度模型知识子域质量管理基础能力成熟度模型基础系统工程与项目管理基础SSE-CMM体系与原理安全工程过程区域安全工程能力评价学习目标理解信息安全建设必须同信息化建设“同步规划、同步实施”的原则理解如何运用信息安全能力成熟度模型理论评价和改进信息安全工程能力3知识域：安全工作理论背景知识子域：系统工程与项目管理基础了解系统工程基本思想了解项目管理基本概念和要素知识子域：质量管理基础了解质量管理基本概念知识子域：能力成熟度模型理解“工程能力成熟度”基本思想了解能力成熟度模型的应用范围了解“过程能力方案”和“组织机构成熟度方案”的区别4从生活中的案例开始《消防通道设计规范》规定“商住楼中住宅的疏散楼梯应独立设置”右图是一家门市，为应付消防检查自行搭建的消防通道5安全工程的重要性如果在大楼的设计和实施阶段没有考虑消防，把楼盖完了，再去设置消防通道，必然会导致成本的上升和安全性的下降安全工程在信息化建设中的重要性有过之而无不及6信息化建设中的案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL注入漏洞，可以泄露用户交易信息7信息化建设中的案例（续）当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！8国家政策要求《关于加强信息安全保障工作的意见》明确要求“信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。”国家发展改革委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的中心思想是：电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金，信息安全风险评估结论是项目验收的重要依据。9需要牢记在心的原则安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实施”“重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌10做好安全工程可以参考的理论基础系统工程思想项目管理方法质量管理体系能力成熟度模型11什么是系统工程钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法”系统工程不是基本理论，也不属于技术实现，而是一种方法论系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。12系统工程基础霍尔三维结构图系统指标设计知识维（专业、行业）逻辑维（工作步骤）工程技术医学社会科学规划计划系统开发制造安装运行更新明确问题系统综合系统分析决策最优化实施计划13以系统工程的思想指导信息安全工程以人参与系统为研究对象信息系统是人机交互系统，信息工程建设不仅要考虑信息技术系统，还要考虑开发、使用和维护信息系统的人注重系统的目的和总体发展要求业务的发展和稳定运行才是安全工程的根本目的，要坚持“以安全保发展，以发展促安全”的原则以整体的、综合的、关联的、科学的、实践的观点来看待研究对象信息系统和信息安全的复杂性和动态变化性，决定了建设者不能以局部的、片面的、孤立的、主观的、教条的观点看待问题它要求把过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。信息安全工程覆盖信息系统的计划组织、开发采购、交付实施、运行维护和废弃的全生命周期14什么是项目管理？所谓项目管理，就是项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。可以说项目管理是系统工程思想针对具体项目的实践应用。15项目管理的要素1、项目范围管理是为了实现项目的目标，对项目的工作内容进行控制的管理过程。它包括范围的界定，范围的规划，范围的调整等。2、项目时间管理是为了确保项目最终的按时完成的一系列管理过程。它包括具体活动界定，活动排序，时间估计，进度安排及时间控制等项工作。3、项目成本管理是为了保证完成项目的实际成本、费用不超过预算成本、费用的管理过程。它包括资源的配置，成本、费用的预算以及费用的控制等项工作。16项目管理的要素4、项目质量管理是为了确保项目达到客户所规定的质量要求所实施的一系列管理过程。它包括质量规划，质量控制和质量保证等。5、人力资源管理是为了保证所有项目关系人的能力和积极性都得到最有效地发挥和利用所做的一系列管理措施。它包括组织的规划、团队的建设、人员的选聘和项目的班子建设等一系列工作。6、项目沟通管理是为了确保项目的信息的合理收集和传输所需要实施的一系列措施，它包括沟通规划，信息传输和进度报告等。17项目管理的要素7、项目风险管理涉及项目可能遇到各种不确定因素。它包括风险识别，风险量化，制订对策和风险控制等。8、项目采购管理是为了从项目实施组织之外获得所需资源或服务所采取的一系列管理措施。它包括采购计划，采购与征购，资源的选择以及合同的管理等项目工作。9、项目集成管理是指为确保项目各项工作能够有机地协调和配合所展开的综合性和全局性的项目管理工作和过程。它包括项目集成计划的制定，项目集成计划的实施，项目变动的总体控制等。18质量管理基本概念质量质量指产品或服务，满足规定或需要的特征。它既包括有形产品也包括无形产品；既包括产品内在的特性、也包括产品外在的特性。即包括了产品的适用性和符合性的全部内涵。质量控制（QC）是对生产的全部过程加以控制，是面的控制，不是点的控制。为保证产品过程或服务质量，必须采取一系列的作业、技术、组织、管理等有关活动，这些都属于质量控制的范畴质量管理（QM）质量管理是指为了实现质量目标，而进行的所有管理性质的活动。在质量方面的指挥和控制活动，通常包括制定质量方针和质量目标以及质量策划、质量控制、质量保证和质量改进。19质量管理规范和主要内容ISO9000族标准并不是产品的技术标准，而是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施的标准。具体地讲ISO9000族标准就是在以下四个方面规范质量管理：1.机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限。2.程序：组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系、操作检查程序，并使之文件化。3.过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制。从根据市场调研确定产品、设计产品、采购原材料，到生产、检验、包装和储运等，其全过程按程序要求控制质量。并要求过程具有标识性、监督性、可追溯性。4.总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升。20能力成熟度模型的出发点我参加CISP培训班之前自学了CISP知识体系的大部分内容，参加培训时不缺勤认真听讲，考前进行了充分的复习，我相信我是可以通过考试的。因为我有高质量的学习过程和很强的学习能力！本公司对于产品的设计、生产和销售的过程有一套严格的标准规范，每一个步骤都进行了周密的计划、严格的监控和检测，我相信本公司的产品质量是很好的！请相信一个假设：“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”21基于模型的过程改进由质量管理工作发展出的概念“过程改进”，即增加工作过程的能力随着过程能力的提高，过程变得可预测和可度量，控制或消除造成质量低劣和生产率不高需要一个结构化的架构来指导一个组织的过程改进，即能力成熟度模型22能力成熟度模型的概念CMM–CapabilityMaturityModel现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品；所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程；CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”；23以过程为中心VS以产品为中心许多组织具有以产品为中心的文化氛围。在这种文化之下，人们很自然地倾向于产生更多的具体结果。期望每个活动都能产生出一些“实实在在”的东西错误地将文档化的工作程序理解为过程。人们认为每个活动都应直接产生短期效果。管理者认为与过程相关的工作是一些低优先级的活动，常常被后延，直到有空闲时才去做这些“无关紧要”的事情。以过程为中心的组织过程被看做整个商业环境中的一个问题或事件，它们会对最终的结果、组织、生产者以及三者之间的关系造成影响。那些“实实在在”的东西只是全局中的一部分，过程文档只是帮助执行过程的一个工具，而不是最终的目标。最终的目标是接受并遵循过程，过程本身被看作商业运作的规范。24以过程为中心的好处如果一个团队的每个人都能遵循共同的过程，那么：为实现共同的目标，所有成员的活动都应相互协调。为避免相互间产生矛盾与冲突，成员的活动应统一。每个成员所应达到的目标应是可度量的。能够重复团队以前所获得的成功结果。•以过程为中心会最大程度减少对个体的依赖性，所以能够做到再现以往的成功。对于新加入的成员，通过培训可以保证其活动不会对整个团队的最终结果造成负面的影响。25没有以过程为中心的情况不采用以过程为中心则会在项目的前期即出现“救火综合症”。救火的原因：•1.负荷大于资源•2.救火文化，鼓励救火•．．．“由于救火这一活动可以被高层管理者发现，并且可以被量化，所以一个人会因此而得到提升。但是如果你一开始就将事情做好，虽然这样可以满足要求，并且也应当是正确的做法，但却不会为人注意。而把事情搞混乱然后再去收拾，反而能使你成为英雄”----EdwardsDeming1982。长期的救火消耗了组织运行的资源。经理们从一个任务冲向另一个任务，一个任务还没有结束另一个问题就接踵而来。所有解决问题的投入和努力都蜕化为快速而无效的修补。受损的是生产力。26过程成熟度——儿童VS成年人关键行为儿童成年人计划性充满活力，不断尝试，但重复着错误具有长远眼光，做事情有计划，可以根据以往总结的经验指导下一步行动应急性对于突发事件、意外情况会手足无措对于突发情况，可以保持冷静的头脑，经过分析判断，解决问题稳定性有时可以做好某事，有时不能了解自身的能力，做事情有把握一致性有时很乖1分钟穿好衣服，有时莫名哭闹就是不穿衣服大多数时间处理同样的事情，会有一致的结果可预测性在不同的环境下，对同一类事物会做出不同的反应对于特定的情况，可根据期已有的行为特点，预测其反应27过程成熟度——不成熟的组织VS成熟的组织关键行为不成熟的组织成熟的组织过程规范过程是根据成员及具体情况临时决定的过程已经定义程为标准规范，得到所有成员的遵循组织没有明确的职责划分，推诿扯皮根据过程的要求定义角色和职责，人人有事做，事事有人做管理对工作过程和结果都缺乏控制，管理者主要精力用于应对突发危机工作过程和结果都有质量标准，管理者将精力集中于质量管理培训培训没有计划性，内容取决与组织者和老师的偏好以支持过程高效实现为目标制定和实施培训计划工具与技术对工具和技术的需求是混乱的，缺乏整体规划根据过程实施的需要，系统性地选择和使用工具和技术28能力成熟度模型目前已经被广泛应用于各领域的工程过程改进CMM能力成熟模型SW-CMM软件能力成熟模型SE-CMM系统工程能力成熟模型SSE-CMM信息系统安全工程能力成熟模型SSAM信息系统安全工程能力成熟性模型评估方法评定软件工程传统制造业安全工程。。。。。。。。。。。。29能力成熟度模型的分类过程能力方案：只能评价单个过程域或