普方德系统安全工程

2004-5-13　发布方：普方德　网友评论 0 条　点击进入论坛

普方德信息技术有限公司是一家在国内率先采用基于系统安全工程能力成熟模型（SSE-CMM）的思想，构造网络信息系统安全体系结构、实施信息安全工程的专业技术公司。安全工程如同网络工程、信息系统工程的实施过程一样，应是一个包括安全需求分析、安全风险分析、安全基线确认与验证、安全体系规划与设计，安全策略确定与实施、安全系统的建设与系统安全性认证等多方面的系统工程。不同的安全工程集成商在实施安全项目时会反映出不同的工程能力。为了将安全工程思想变为一种有效的工程规范，美国信息安全技术人员提出了基于能力成熟模型的系统安全工程体系（SSE-CMM）。该体系定义了11个安全方面的关键过程域，并将每个关键过程域按其能力由低到高分为0-5六个级别。这11个关键过程域包括：

SSE-CMM将信息安全工程过程分为三类：风险过程、工程过程和确认过程，图示如下：

信息安全工程是一个非常复杂的系统工程，技术性和政策性都非常强。要保证信息系统安全，决不是靠几个安全产品就能够解决的，而是要从安全体系的构成、安全基线的划分、安全风险的评估、安全策略的制定、安全工程的实施以及安全系统管理等方面入手。

普方德公司在信息安全工程的实施过程中采用了一种称之为V 型安全工程生存期的模型。该模型从对安全需求的分析入手，然后根据分析结果对安全系统的实施进行统筹规划，并在实施过程中采用验证和确认的方法以保证其工程质量。 V型安全工程生存期模型如下图所示：

普方德公司在信息安全工程实施中还为用户建立了一套完整地安全系统运行管理体系。它包括：

安全内部审计
信息安全体系建立运行后，普方德公司负责配合用户采取安全体系的内部定期审计制度以确保所有的安全策略得以正确的实施。审计活动将依据确定的审计程序进行。该审计程序是信息安全体系的一部分。其中包括审计过程，问题纠正过程，和安全策略修改、更新过程。此外，审计过程还包括依据安全策略，利用安全检测工具对信息网络系统进行检查。

安全外部审计
为了强化信息体系安全的管理，普方德公司还将负责配合用户采取定期对该体系进行外部安全审计的方法。审计将由国家信息安全技术检测部门或授权的单位进行体系安全性测评。

安全事件响应
一旦发生安全事件，普方德公司将在最快的时间内对安全事件予以响应，负责对安全事件所发生的各种情况做出分析并提出解决策略，出具审计报告。

安全培训
根据安全管理体系，普方德公司负责对用户的安全管理人员进行信息安全培训，使其充分认识其在系统中所担负的安全责任。安全培训是保证信息系统安全的又一重要环节。

培训包括三个层次：
    主管信息安全工作的高层负责人的培训，其重点是掌握和了解信息安全体系的战略目标、信息安全体系的构成，以及安全管理制度的制订.
    负责信息安全体系运行管理的负责人的培训，其重点是学习信息安全管理规则以及熟悉日常信息安全检查的程序。
    信息系统使用人员的培训，其重点是学习和了解自己应负的安全职责以及安全操作规程。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表