2022年CISP教材知識點整理：SSE-CMM 的安全工程過程

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第五章 知識域：安全工程與運營

5.1 知識子域：系統(tǒng)安全工程

5.1.4 SSE-CMM的安全工程過程

SSE-CMM將域維中的工程過程類的11個過程區(qū)域劃分為3個基本過程領域，分別是風險過程、工程過程、保證過程

1.風險過程

系統(tǒng)安全工程的主要目標就是降低風險到可接受范圍

安全工程中的風險三要素是影響、威脅和脆弱性

風險管理中的三要素是資產、威脅和脆弱性

（1）PA04評估威脅

評估威脅過程區(qū)域的目的在于識別安全威脅及其性質和特征

本過程區(qū)域基本實施有6項

（2）PA05評估脆弱性

本過程區(qū)域包括分析系統(tǒng)資產、定義特殊的脆弱性以及對整個系統(tǒng)脆弱性的評估

本過程區(qū)域基本實施有5項

（3）PA02評估影響

評估影響的目的是識別對該系統(tǒng)有關的影響，并對發(fā)生影響的可能性進行評估

遵循成本和效益的平衡原則

本過程區(qū)域基本實施有6項

（4）PA03評估安全風險

評估安全風險的目標是獲得對在一個給定環(huán)境中運行該系統(tǒng)相關的安全風險的理解，并按照給定的方法論優(yōu)先考慮風險問題

本過程區(qū)域基本實施有6項

2.工程過程

系統(tǒng)安全過程包括概念、設計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程

SSE-CMM強調系統(tǒng)安全工程師是一個大項目隊伍中的組成部分，需要與其他科目工程師的活動相互協(xié)調

1）PA10確定安全需求

該過程區(qū)域的主要工作是明確地識別出與安全相關的需求，它要求包括用戶在內的所欲各方達成對安全需求的共同認識

該過程區(qū)域包括定義整個信息系統(tǒng)中所有安全方面的活動

本過程區(qū)域基本實施有7項

2）PA09提供安全輸入

本過程區(qū)域提供支持系統(tǒng)設計和實施活動的安全輸入

本過程區(qū)域包括適用于開發(fā)和運行的安全輸入

本過程區(qū)域基本實施有6項

3）PA01管理安全控制

該項主要是確定集成到系統(tǒng)中的安全控制措施確實在系統(tǒng)運行過程中發(fā)揮預計的安全功能

本過程區(qū)域基本實施有4項

4）PA08監(jiān)控安全態(tài)勢

安全態(tài)勢表明系統(tǒng)及其環(huán)境已準備好處理目前的威脅、脆弱性和對系統(tǒng)及其資源的任何影響

本過程區(qū)域基本實施有7項

5）PA07協(xié)調安全

安全工程不能獨立地取得成功，要保證所有部門都有一種參與安全工程的意識，這樣才能充分發(fā)揮他們的作用，并且，有關安全的決定和建議是互相溝通和協(xié)調才能達成一致

本過程區(qū)域基本實施用4項

3.保證過程

保證是指安全需求得到滿足的可信程度

1）PA11驗證和證實安全

通過觀察、論證、分析和測試來驗證和證實解決方案滿足安全需求；驗證證據正確性，證實證據有效性。

本過程區(qū)域基本實施有5項

2）PA06建立保證論據

通過證據的收集，建立保證論據，該論據應清楚地說明用戶的安全需求已經得到滿足，通過一系列證據建立了對系統(tǒng)安全的信息

本過程區(qū)域基本實施有5項

查看更多：CISP第五章知識點整理匯總