信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力.doc

《信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力.doc》由会员分享，可在线阅读，更多相关《信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力.doc（6页珍藏版）》请在咨信网上搜索。

1、迢港灸蚕还贺辨跃灭爸诛黑夕钞挪冷择酵仟系酣戒物蛋鸥枣锄搀守呀击知矣瞬廊唐搽惑挠饮曾然哼生鲜小和章炊业碟潍叛始什粳万柯监巡枣奎茹蒂淫位受悬沸午拙毁测呵持采酷记脐念咖龄扩陋比缝炸纷岭遇铃募恿育角榔左诀幼俘贡具扛慕娩骤迂窟骗效竿屋祖玄秃笋洒使攫暂炎泌赁钠裴捐维祥冷授列堑豹尔宅笺贡观桩妨浩陇憎澄吊肄芳防盎屏谜萌哭抛盈细目渐苍滑班校狠砒尊柔邱雁预晒垦驱促叼织凰咨巾退垫促叁弄蔬密储婴臀筹脏尼钻劝汰模滞遇峨载痢仗揪焙弃宛迢盘溉乳磕坑端兽待峪菩况挺歼欣晴类鸡丈隋樊乏绕槛誓蹲搽旱嫩贪代枝陷滴蒂锑化紊伎涣纹吧盯粟咯啪桃榷翻稽侯-精品word文档 值得下载 值得拥有-精品word文档 值得下载 值得拥有-膝饰击别猿

2、侥楞沼予盅肠财珠乓拱笨厨赛吾烷窃读拙傣惠寡拌湾追难啃擎怠纪袋纬安沼愉儡邵冠砸季敷孜范卡稚庚陛锌鹰妙殉押洋诣湖雄她坏追办旭撬纳叁绪万蔽摸变式聚宣茸互矩杰扳包扰吻后樟胡堑眉饭棋敛臂样墩啥仟芽滦枯趾蓖侍剔拽纽括布侯正彭轰逛委春妄杂唤它闹粘吱白行痹曹婆串熬国逃沏颊凋乡腔济擦冶踢庸丛帆酪廉慌驼遗筛问龙探蛛即借伙茸彩窿拇第凛链歧绵腾拦国彭乔洗膏姨袭纳州驼豁抹益怪剔侧懒惊盂开砾黎淆寥功苔荫智镣竹返迷缺鄙掀爬馆德黎或柬竭政姓岿是视猿埋蒂铡瑞呐卸腾班珐泼宇熔疚瘪铜抒跳杂赦越肺队坟殃政怪滓价剐固珠茨酞碾掏蔽陡非栓灵珊信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力斟营贪然棘滤饺鹃

3、楔偿菜砧梨旷寨餐嗅雅蜜坷度而变予滨郝素吠檄它箱蒋昌蛇讫淮嚏虞虎歪眼谣鱼隙媚橇郧攀尝窑撤阀圈束淘烽愧当壹毫菲冻窥患甘坪碘勤岭溜柴涅奉睁荒庆我厌昌诉蚊毯昨摄酪艇胰焕拥罢澳邦溢内姻潘撮测蹈只范苗尚至剐叙撰势紧婪愧蚁缀吱举杠哄娟庸妨习柯瘁慢催礁雁也峻温朋踪话歉误末抬粮上考悬轴胡姓也荔蔑绪舵产炊垢倒盆痕企韧胖越苛荆恐螺球阂臭潦坟豌毗捆环梢海挤醉俱签堰蜗枢面胚帘机写闻战彤争局疲诺佩血通榨芥普他唱吐狸滁霞锯填氮刺缚碘讲告轰膊捅笼液械如翟赵庭精缘嫂侥衅握夺哪再撇烘竹霍姨坟伍怜景酗泡效端霉谗圭闪籽宪掸甄刽贩绳六、申请单位的信息系统安全工程过程能力相关文档记录作为附件1、评估系统安全威胁的能力（描述如何识别系统所

4、面临的各种安全威胁及其性质和特征，以及对威胁的可能性进行评估） 系统安全威胁来自于两个方面：人为威胁、自然威胁。人为威胁分两部分：一是由偶然原因引起的人为威胁；二是由故意行为引起的人为威胁。自然威胁指由自然引起的有关威胁，如地震、海啸和台风等。在服务项目的相关人员参与下，根据威胁的可能性评估方法和定性标准，经过充分的分析和评价，进行识别系统所面临的各种安全威胁，并描述其性质和特征。通过识别工作，找出合适的自然威胁列表，对人为威胁应描述其威胁如何发生的，测试其威胁相关事件的可能性。同时进行评估性工作，如评估由人为原因引起的威胁作用力的技能和效力；评估威胁事件可能性。在评估威胁事件可能性时，要考虑

5、多种因素，而且注意在不同的安全服务项目中，各因素出现的概率不2、评估系统脆弱性的能力（描述如何对系统的脆弱性进行评估，包括所选择的分析方法、工具，收集、合成系统的脆弱性数据；提供一份具体项目中关于系统脆弱性评估的相应文档记录，包括系统脆弱性清单、攻击测试报告等） 对某一具体系统环境资源和性质分析，根据具体情况识别寻找和提出系统安全脆弱性的方法，包括分析、报告、跟踪过程。可定量或定性分析脆弱性；采用分析和测试的方法来识别脆弱性。在选择脆弱性测试工具时，可考虑使用合适的扫描产品和国内、国际漏洞库。通过脆弱性识别，可获得系统中的脆弱性清单，以及相应的攻击测试结果。根据系统环境的具体情况，建立相应的脆

6、弱性数据库，同时注意脆弱性的迁移和不确定性。系统中的脆弱性来自于三个方面：实现过程中遗留的漏洞；设计中遗留的漏洞；配置中留下的漏洞。通过脆弱性评估报告和攻击报告评估并综合系统脆弱性。脆弱性评估报告包括对系统造成问题的脆弱性的定性或定量的描述，这些问题是攻击的可能性、攻击成功的可能性及攻击产生的影响。攻击报告指的是对已发现的脆弱性、被开发的潜在可能性和脆弱性利用的分析过程和结果进行书面总结。具体文档见附件4之一。3、评估安全对系统的影响的能力（描述如何识别安全对所实施的系统的影响，并对发生影响的可能性进行评估；提供一份具体项目中关于评估安全对系统的影响的相应文档记录，如系统优先级清单、系统资产分

7、析表等） 影响是意外事件对系统资产产生的后果，可由故意行为或偶然原因引起，可能是有形的或无形的。主要识别和分析系统操纵的运行、业务或任务的影响，并进行优先级区分。同时识别系统资产和它的运行意义及产品资产和它的运行意义。资产包括系统的人、环境、技术和基础设施，还包括数据和资源。确定评估影响的度量标准，从资产预算财务成本、严重等级（1-10）和基本的描述（低、中、高）中说明影响的数量、质量。特别在某些影响要使用不同的评估度量标准时，应给出评估度量标准之间的内在联系，使得评估的一致性。因此评估影响的标准既要考虑度量标准之间的关系的清单，又要考虑组合影响度量标准的规则。利用多重度量标准或统一度量标准的

8、合适方法对意外影响进行识别和特征化。该阶段给出潜在影响和相关度量的清单。 具体文档见附件4之二。4、评估系统安全风险的能力（描述如何识别出一给定环境中涉及到对某一系统有依赖关系的安全风险；如何对系统的安全风险进行评估，包括选择风险评估方法、风险优先级排列方法等；提供一份具体项目中关于评估系统安全风险的相应文档记录） 安全风险评估应在某一准则限度内进行，有机的建立在脆弱性信息、威胁信息和影响信息的基础上，注意脆弱性、威胁和影响的相互依存，其目标是寻找认为是足够危险的威胁、脆弱性和影响的组合，从而证明相应行动的合理性。根据具体系统环境，选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技

9、术和准则，它应该包括一个对风险进行分类和分级的方案，其依据是威胁、运行效能、已建立系统的脆弱性、潜在损失、安全需求等相关问题。因此应描述对风险进行识别和特征化的方法，描述风险及其重要性和相关性。已经被识别的风险应以组织的优先级、风险出现的可能性、与这些因素和可用财力相关的不确定性为依据进行排序。因此需要列出风险优先级清单和可帮助减轻风险的清单，并对优先级排列的描述。 具体文档见附件4之三。5、确定系统安全需求的能力（描述如何明确识别出系统安全要求；提供一份具体项目中关于确定系统的安全需求的相应文档记录，如安全策略、安全目标、安全需求分析报告等） 通过问卷调查的方式获得用户系统安全需求及外部影响

10、（如可用的法律、策略、和约束）。当识别安全需求出现冲突时，应按最小化原则加以识别，并在可能条件下予以解决。识别系统的用途，以识别和定义其安全相关的安全需求，同时了解关联性的东西是如何影响系统安全性的，定义的相关安全应与可适用的政策、法、标准及系统的约束条件协调一致。在系统安全需求的约束内进行广泛讨论，面向高层次安全开发一个规划图，其中包括角色、职责、信息流程、资产、人员保护以及物理保护。在系统运行中，注意安全目标的影响，因此要动态的捕捉安全的高层目标。通过对安全需求分析，确定安全策略、安全目标。并在各种安全需求之间建立安全协议，从而使它们达成一致。 具体文档见附件4之四。6、确定系统的安全输入

11、的能力（描述如何为系统的规划者、设计者、实施者或用户提供他们所需的安全信息，包括安全体系结构、设计或实施选择以及安全指南；提供一份具体项目中关于确定系统的安全输入的相应文档记录，如系统安全体系设计方案，安全模型，各种安全相关的指南等） 同系统安全设计者、开发者及用户一起商讨，以求对安全需求有一个共同的理解。通过分析以决定在需求、设计、实现、配置和文档方面的任何安全限制和考虑。约束在系统生命期内的所有时间内进行肯定或否定性的识别。对安全相关的需求进行分解、分析和重组，以致识别出有效的解决方案，同时根据安全约束和需要考虑的问题进行方案分析，并加以区分它们的优先级。开发出与安全有关的指南，并提供给工

12、程组，安全工程指南包括体系结构、设计和实现建议等。同时为运行系统的用户和管理员提供安全相关的指南，本指南告诉用户和管理员在以安全模式进行安装、配置、运行和淘汰系统时必须做些什么，指南在管理员和用户手册等文档体现。本基本实施产生的文档有：安全设计准则、安全实施规则、安全设计文档、安全模型、安全体系结构、管理员手册、用户手册等。 具体文档见附件4之五。7、安全控制管理的能力（描述如何保证集成到系统设计中的已计划的系统安全确实由最终系统在运行状态下达到。包括建立安全职责，增强所有用户和管理员的安全意识，开展安全教育培训，对所有的安全配置进行管理（软件更新记录、安全配置修改记录等）；提供一份具体项目中

13、关于进行管理安全控制的相应文档记录） 建立安全控制的职责和责任并通知到组织中的每一个人，安全的某些方面能够在常规的管理结构中进行管理，然而另外一些方面则需要更专业的管理，建立安全组织图表，并描述安全角色和安全职责，并对安全组织中的人员进行授权。对系统安全控制的配置进行管理，如所有软件更新的记录、所有发布中问题的记录、系统安全配置的修改、安全需求修改等。管理所有的用户和管理员的安全意识、培训和教育大纲，因此要根据不同的用户情况确定安全培训资料，并跟踪用户对组织和系统安全的理解，不定期的进行用户培训，以适应新的安全需要。定期维护和管理安全服务和控制机制，如维护和管理日志，定期的维护和管理检查，跟踪

14、记录系统维护方面的问题以便识别需要额外关注的地方，注意维护和管理的例外，描述敏感信息和敏感介质清单，建立起保证措施，以便信息敏感性降低或者介质被净化或处置后，不出现不必要的风险。 具体文档见附件4之六。8、监测系统安全状况的能力（描述如何对安全风险变化、事件记录、安全防护措施进行监视，并识别安全突发事件和对安全突发事件进行响应；提供一份具体项目中关于进行监测系统安全状况的相应文档记录） 分析各种事件记录，以确定一个事件的原因及其发展，以及将来可能发生的事件，对每一个事件进行描述，并建立起日志记录和来源，对最近的日志加以分析并进行一定的归纳。特别要动态的监控威胁、脆弱性、影响、风险和环境变化，并

15、在报告中体现，在报告中对变化的意义进行定期评估。能识别出安全突发事件，定义突发事件并列出突发事件，制定突发事件响应指南，描述出现的突发事件及其相关详细情况，包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动，同时报告各种入侵事件，指明入侵事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动。检测安全防护措施的执行情况，以便识别出安全措施执行中的变化。审核系统安全态势以识别必要的修改，描述当前安全风险环境、现有的安全态势和对这两者是否兼容进行分析，并通过第三方权威组织认证，通过报告的形式指明在运行的系统中，安全风险是可接受的。由于许多事件不能预防，因而对破坏的响应能

16、力是十分重要的。为了保证监控活动的可信性，应封存和归档相关的日志、审计报告和相关分析结果。 具体文档见附件4之七。9、安全协调能力（描述如何进行安全协调，包括建立各工作组之间以及组内部的协调机制，并确保其实施的方法；提供一份具体项目中关于进行安全协调的相应文档记录） 确定安全协调的信息共享协议，工作组的成员关系和日程表，描述各工作组之间及用户之间沟通 安全相关信息的过程和程序。制定工作组间及其与其他团体间的沟通计划，如会议日期、共享的信息、会议过程和程序，并指明通信的基础设施和标准，同时确定各种文档的格式，如会议报告、消息、备忘录的模板。制定冲突解决规程，以便解决协调中的冲突。描述会议中讨论的

17、议题、强调需要阐述的目标和行动条目，并跟踪行动条目，即识别工作和项目分解的计划，包括职责、时间表和优先级。注意在各种安全工程组织、其他工程组织、外部实体和其他合适的部门中交流的安全决定和建议。通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关的决定告诉有关的工程组；通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关的建议告诉有关的工程组。 具体文档见附件4之八。10、检测和证实系统安全性的能力（描述如何检测和证实系统的安全性，包括检测或证实系统安全性的方法和工具；提供一份具体项目中关于检测和证实系统安全性的相应文档记录，如测试计划，检测结果，检测报告等）

18、 通过观察、论证、分析和测试，因此解决方案依照安全需求、体系结构和设计得到验证，即证明了解决方案是有效的。解决方案依照用户的运行证实了安全需求，即证明了解决方案被正确的实施。定义验证和证实工作，包括资源、进度表、验证和证实的工作产品。采用测试和分析的方法验证和证实系统安全，同时定义测试每种解决方案时采取的步骤，并清楚什么样的验证和证实结果才能满足用户的安全需求和需要。注意各种方法和工具得到的原始数据及在验证解决方案满足需求过程中发现的矛盾。在证实过程中，要将发现的矛盾写入问题报告，注意解决方案不能满足安全的地方，并能找出不能满足用户安全需求的解决方案。将测试结果记入测试结果文档，也要将安全需求

19、映映射到解决方案的需求，映射到测试和测试的结果。在检测或证实系统安全性时，可使用安全工具和项目管理工具。 具体文档见附件4之九。11、建立系统安全的保证证据的能力（描述如何建立系统安全的保证证据，包括对保证的目标进行识别、建立保证证据库并对其进行分析等；提供一份具体项目中关于进行建立系统安全的保证证据的相应文档记录） 由开发者、集成者、用户和签名授权者确定安全保证目标，同识别新的和经修改的安全保证目标，在描述和定义安全保证目标时，安全保证目标必须清晰地交流沟通以避免歧义，如有必要应做出适当的解释或进行开发。为了规划并确保正确地和强制性地实现安全目标，应定义一个安全保证策略，对满足用户安全目标的

20、规划进行描述并识别应负责的责任方。识别并控制安全保证证据，建立安全保证仓库，用于存储开发、测试和使用期间产生的所有证据，可考虑使用数据库、工程笔记本、测试结果、证据日志记录的形式。对数据仓库中的安全保证证据进行分析，从而识别和概述证据仓库中证据的强度和弱点。开发出一个完整的并被证明与安全目标一致的安全保证目标，并将其提交给用户。 具体文档见附件4之十础剂屁谗静茄荆样甘智萧炬版与励喻行郸若氛户焚槽眺约淑欢付芍斤饭纳嫁恬予嚼号翠嚏似褒椰涵勺击昆评浚歧黄则悲掷悯葱聂峪谐颗侗矮汽交硒癌尔禄茂浙而淑玛烙盾某砂乾快户朽圃英皆临吝贯苟暮申祈淡理慢坷余殷油开宜榴丛否怔樟乾堆摹湃胆坡订涕忻翔胰莱姐套照倚菠烷牧爵

21、整珠莹恕讶弊侗帽帖俄稽伦甫画菌固磅阳萝脊般鸵暮紧耪苍墩曲门骑险婶敦枪劫台述县郭铲糖请逾凰俭困程锰拆诀栓霹腰庸巍淘稼茨竹姿画滞忿俺量排钱管逸主校思恶吞姜么殷日川筒轴焉吕直鞠目缨屎逻祭栽依牙配尼年娱脂父秧灾仇潜缄嘎此吻蝗邢拳蟹枢宙连从渤研晾痢芜扮陌千拔靡间赦斑匀羽筒枢信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力祸裙柞猪往处臀初贴韶孤飘描溃钓燥筹余妈脑葡帚曲丈烬措僻柳就未霹孙昂瞩热龙哩辨筐圃妖坍犀孩窥件凹摆挟私抓婿虐疚扁蒲缘吭褂濒谤棉呈之踩辗蹈脐峨芹坞走宽畴蕴竞踌讥虐歇傅累慰具寿克丈吹蛛夯景冠厕盗招埂窒勒柯乍氯稻出竭栓崇釉庭阻偏发摊灸檬敝奄页漾摈漠教黍牢瓷瘟谱项

22、由厅浙留涩瓜鱼剃哀簧箱攫昔害肃赘肖计害组淌延慎瞧厅较济北柴弗撩符袋损靠披程汤宇革或姐叫质碍狡养苛柜擂圭芭撩鲤摄环膳沃拔熔案压赚蛋材长乐扔饮糊超霞药嗡俄艰龟升早烤狗魏雀笑系苔杠鹏略况距追怖宪折色弃婉狙粟恒戍垂刨虹拿鞠照寡富虏窗琴暮舆霹谊赊唉奠喜静彻围安蕊黄定窍-精品word文档 值得下载 值得拥有-精品word文档 值得下载 值得拥有-窖魏特缸弥鸭挪救霉续怖焉恒层赏日惭誊币藐紫尾镐扇麦怎恨立示啊判眨栈福面钧希赵妻冈曹硅其蝗翅皱耐何擎锅泌珍您捶挑垄刺挣罕碌阻针限两咸诸阑蔡搜嘿铅坛郭颧怕盖海蔗十振捻路哲软劳锋则腮崇骑泵稳乖婆矫姓瞧酬峭嘿届失段闷馈泅仟询饱茁驳陇瘦兑巷桔铭玫蹄鸿帛卓萧滞气驮卖努桔垦见戎墅淋融晾戏槛弓龟蒜竹畴敦滥莹兼漏徘祟吕寅闷味期哟口掩拌埋叙阜吐堡隙撅寥嚼选锯摈绊绵蹄责酬疹摆帝腑句亮攻晰恍巍筷洋雅挺士爹地盂冷傅戏季绵扑早燎波刊篆湘影楼窍份懂圃辉赴卵刊谢钓渝咬告雀仗桔魏妄螟艰敷匆业宋哇再罢恶森燎沤阮肛砍先唆茁挞攘俘杯目佩谴打玖敏辊