2022年CISP教材知識點整理：SSE-CMM 的安全工程過程

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第五章 知識域：安全工程與運營

5.1 知識子域：系統(tǒng)安全工程

5.1.4 SSE-CMM的安全工程過程

SSE-CMM將域維中的工程過程類的11個過程區(qū)域劃分為3個基本過程領(lǐng)域，分別是風(fēng)險過程、工程過程、保證過程

1.風(fēng)險過程

系統(tǒng)安全工程的主要目標(biāo)就是降低風(fēng)險到可接受范圍

安全工程中的風(fēng)險三要素是影響、威脅和脆弱性

風(fēng)險管理中的三要素是資產(chǎn)、威脅和脆弱性

（1）PA04評估威脅

評估威脅過程區(qū)域的目的在于識別安全威脅及其性質(zhì)和特征

本過程區(qū)域基本實施有6項

（2）PA05評估脆弱性

本過程區(qū)域包括分析系統(tǒng)資產(chǎn)、定義特殊的脆弱性以及對整個系統(tǒng)脆弱性的評估

本過程區(qū)域基本實施有5項

（3）PA02評估影響

評估影響的目的是識別對該系統(tǒng)有關(guān)的影響，并對發(fā)生影響的可能性進行評估

遵循成本和效益的平衡原則

本過程區(qū)域基本實施有6項

（4）PA03評估安全風(fēng)險

評估安全風(fēng)險的目標(biāo)是獲得對在一個給定環(huán)境中運行該系統(tǒng)相關(guān)的安全風(fēng)險的理解，并按照給定的方法論優(yōu)先考慮風(fēng)險問題

本過程區(qū)域基本實施有6項

2.工程過程

系統(tǒng)安全過程包括概念、設(shè)計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程

SSE-CMM強調(diào)系統(tǒng)安全工程師是一個大項目隊伍中的組成部分，需要與其他科目工程師的活動相互協(xié)調(diào)

1）PA10確定安全需求

該過程區(qū)域的主要工作是明確地識別出與安全相關(guān)的需求，它要求包括用戶在內(nèi)的所欲各方達(dá)成對安全需求的共同認(rèn)識

該過程區(qū)域包括定義整個信息系統(tǒng)中所有安全方面的活動

本過程區(qū)域基本實施有7項

2）PA09提供安全輸入

本過程區(qū)域提供支持系統(tǒng)設(shè)計和實施活動的安全輸入

本過程區(qū)域包括適用于開發(fā)和運行的安全輸入

本過程區(qū)域基本實施有6項

3）PA01管理安全控制

該項主要是確定集成到系統(tǒng)中的安全控制措施確實在系統(tǒng)運行過程中發(fā)揮預(yù)計的安全功能

本過程區(qū)域基本實施有4項

4）PA08監(jiān)控安全態(tài)勢

安全態(tài)勢表明系統(tǒng)及其環(huán)境已準(zhǔn)備好處理目前的威脅、脆弱性和對系統(tǒng)及其資源的任何影響

本過程區(qū)域基本實施有7項

5）PA07協(xié)調(diào)安全

安全工程不能獨立地取得成功，要保證所有部門都有一種參與安全工程的意識，這樣才能充分發(fā)揮他們的作用，并且，有關(guān)安全的決定和建議是互相溝通和協(xié)調(diào)才能達(dá)成一致

本過程區(qū)域基本實施用4項

3.保證過程

保證是指安全需求得到滿足的可信程度

1）PA11驗證和證實安全

通過觀察、論證、分析和測試來驗證和證實解決方案滿足安全需求；驗證證據(jù)正確性，證實證據(jù)有效性。

本過程區(qū)域基本實施有5項

2）PA06建立保證論據(jù)

通過證據(jù)的收集，建立保證論據(jù)，該論據(jù)應(yīng)清楚地說明用戶的安全需求已經(jīng)得到滿足，通過一系列證據(jù)建立了對系統(tǒng)安全的信息

本過程區(qū)域基本實施有5項

查看更多：CISP第五章知識點整理匯總