·信息系统生命周期中安全保障和评估
信息系统安全保障和评估的安全需求通常是主要检测其期望的行为,但并不总能证明不存在不期望的行为。信息系统的安全评估对那些显形的安全容易察觉,而对那些隐形的安全较难察觉。信息系统的安全评估系统靠成型后的最终评估是非常重要的,但在系统生命周期全过程的安全保障和评估也是必要的,这就需要对信息系统进行寿命周期的安全评估。
如图4-8所示,系统生命周期内的安全保障和评估应贯穿下列各阶段:
图4-8 信息系统安全保障与评估周期
- 策划与组织阶段:确定系统使命、系统安全目标;
- 开发与设计阶段:确定系统结构、威胁分析、脆弱性分析、风险分析、安全需求、安全策略;
- 采购与实施阶段:物理环境安全、系统安全实施、采购安全控制、网络安全、应用安全、数据安全、管理安全;
- 交付与运行阶段:系统运行的可用性、系统安全评估的可信性;
- 维护、更新或废弃阶段:维护安全、升级安全、废弃安全(废弃信息保护)。
综上所述,信息系统安全评估规范将具有如下特点:①以信息系统面临的安全风险为出发点,以安全策略为核心;②强调信息系统安全保障是一个动态的持续发展过程,即信息系统安全应贯穿信息系统寿命周期;③强调信息系统的安全和保障概念,信息系统的安全是通过综合技术、管理、过程和人员等方面的安全评估结果及安全认证来提供信息系统安全的保障和信心;④通过风险和策略基础以及生命周期和保护层面,从而使信息系统安全实现信息技术安全根本原则,保障组织机构执行其使命的根本目标。
(2)信息系统安全保障评估准则的基本组成
在信息系统安全保障能力评估的总体思路下,需要分别对技术构架能力、管理能力和工程能力进行评估。信息系统安全保障准则的具体内容和组成关系如图4-9所示。
(责任编辑:adminadmin2008)
