ISSE信息安全系统工程过程
发掘信息保护需求
- 任务信息
- 信息系统、信息的具体用户;用户与信息系统、信息的交互实质;用户在信息保护生命周期各阶段的角色、责任、权力。
- 威胁
- 可能造成某个结果的事件,或对系统造成危害的潜在事实。
- 策略
- 以正式形式出现的,经管理层同意和批准的,规定了组织行为方向和行为自由程度的途径。
- 信息安全策略
- 一组规则,这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。
- 信息安全策略的特点、依据、地位
- 系统保护需求
- 丧失CIAN时,可能会带来哪些问题?
定义信息保护系统
- 信息保护系统要做什么
- 信息保护系统执行其功能的情况如何
- 信息保护系统的外部和内部接口。
设计信息保护系统
构造系统的体系结构,详细说明信息保护系统的设计方案
实施信息保护系统
- 购买
- 建设、集成
- 测试、认证
评估信息保护系统的有效性
辨析:评估信息保护系统的有效性过程,在信息安全系统工程的最后进行。 错误。要在多项活动中评估信息保护系统的有效性,发掘、定义、设计、实施的整个过程中都要评估有效性。