2022年CISP教材知識(shí)點(diǎn)整理：SSE-CMM 的安全工程過(guò)程

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

第五章 知識(shí)域：安全工程與運(yùn)營(yíng)

5.1 知識(shí)子域：系統(tǒng)安全工程

5.1.4 SSE-CMM的安全工程過(guò)程

SSE-CMM將域維中的工程過(guò)程類的11個(gè)過(guò)程區(qū)域劃分為3個(gè)基本過(guò)程領(lǐng)域，分別是風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、保證過(guò)程

1.風(fēng)險(xiǎn)過(guò)程

系統(tǒng)安全工程的主要目標(biāo)就是降低風(fēng)險(xiǎn)到可接受范圍

安全工程中的風(fēng)險(xiǎn)三要素是影響、威脅和脆弱性

風(fēng)險(xiǎn)管理中的三要素是資產(chǎn)、威脅和脆弱性

（1）PA04評(píng)估威脅

評(píng)估威脅過(guò)程區(qū)域的目的在于識(shí)別安全威脅及其性質(zhì)和特征

本過(guò)程區(qū)域基本實(shí)施有6項(xiàng)

（2）PA05評(píng)估脆弱性

本過(guò)程區(qū)域包括分析系統(tǒng)資產(chǎn)、定義特殊的脆弱性以及對(duì)整個(gè)系統(tǒng)脆弱性的評(píng)估

本過(guò)程區(qū)域基本實(shí)施有5項(xiàng)

（3）PA02評(píng)估影響

評(píng)估影響的目的是識(shí)別對(duì)該系統(tǒng)有關(guān)的影響，并對(duì)發(fā)生影響的可能性進(jìn)行評(píng)估

遵循成本和效益的平衡原則

本過(guò)程區(qū)域基本實(shí)施有6項(xiàng)

（4）PA03評(píng)估安全風(fēng)險(xiǎn)

評(píng)估安全風(fēng)險(xiǎn)的目標(biāo)是獲得對(duì)在一個(gè)給定環(huán)境中運(yùn)行該系統(tǒng)相關(guān)的安全風(fēng)險(xiǎn)的理解，并按照給定的方法論優(yōu)先考慮風(fēng)險(xiǎn)問(wèn)題

本過(guò)程區(qū)域基本實(shí)施有6項(xiàng)

2.工程過(guò)程

系統(tǒng)安全過(guò)程包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過(guò)程

SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程師是一個(gè)大項(xiàng)目隊(duì)伍中的組成部分，需要與其他科目工程師的活動(dòng)相互協(xié)調(diào)

1）PA10確定安全需求

該過(guò)程區(qū)域的主要工作是明確地識(shí)別出與安全相關(guān)的需求，它要求包括用戶在內(nèi)的所欲各方達(dá)成對(duì)安全需求的共同認(rèn)識(shí)

該過(guò)程區(qū)域包括定義整個(gè)信息系統(tǒng)中所有安全方面的活動(dòng)

本過(guò)程區(qū)域基本實(shí)施有7項(xiàng)

2）PA09提供安全輸入

本過(guò)程區(qū)域提供支持系統(tǒng)設(shè)計(jì)和實(shí)施活動(dòng)的安全輸入

本過(guò)程區(qū)域包括適用于開(kāi)發(fā)和運(yùn)行的安全輸入

本過(guò)程區(qū)域基本實(shí)施有6項(xiàng)

3）PA01管理安全控制

該項(xiàng)主要是確定集成到系統(tǒng)中的安全控制措施確實(shí)在系統(tǒng)運(yùn)行過(guò)程中發(fā)揮預(yù)計(jì)的安全功能

本過(guò)程區(qū)域基本實(shí)施有4項(xiàng)

4）PA08監(jiān)控安全態(tài)勢(shì)

安全態(tài)勢(shì)表明系統(tǒng)及其環(huán)境已準(zhǔn)備好處理目前的威脅、脆弱性和對(duì)系統(tǒng)及其資源的任何影響

本過(guò)程區(qū)域基本實(shí)施有7項(xiàng)

5）PA07協(xié)調(diào)安全

安全工程不能獨(dú)立地取得成功，要保證所有部門都有一種參與安全工程的意識(shí)，這樣才能充分發(fā)揮他們的作用，并且，有關(guān)安全的決定和建議是互相溝通和協(xié)調(diào)才能達(dá)成一致

本過(guò)程區(qū)域基本實(shí)施用4項(xiàng)

3.保證過(guò)程

保證是指安全需求得到滿足的可信程度

1）PA11驗(yàn)證和證實(shí)安全

通過(guò)觀察、論證、分析和測(cè)試來(lái)驗(yàn)證和證實(shí)解決方案滿足安全需求；驗(yàn)證證據(jù)正確性，證實(shí)證據(jù)有效性。

本過(guò)程區(qū)域基本實(shí)施有5項(xiàng)

2）PA06建立保證論據(jù)

通過(guò)證據(jù)的收集，建立保證論據(jù)，該論據(jù)應(yīng)清楚地說(shuō)明用戶的安全需求已經(jīng)得到滿足，通過(guò)一系列證據(jù)建立了對(duì)系統(tǒng)安全的信息

本過(guò)程區(qū)域基本實(shí)施有5項(xiàng)

查看更多：CISP第五章知識(shí)點(diǎn)整理匯總