CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第五章 知识域:安全工程与运营
5.1 知识子域:系统安全工程
5.1.4 SSE-CMM的安全工程过程
SSE-CMM将域维中的工程过程类的11个过程区域划分为3个基本过程领域,分别是风险过程、工程过程、保证过程
1.风险过程
系统安全工程的主要目标就是降低风险到可接受范围
安全工程中的风险三要素是影响、威胁和脆弱性
风险管理中的三要素是资产、威胁和脆弱性
(1)PA04评估威胁
评估威胁过程区域的目的在于识别安全威胁及其性质和特征
本过程区域基本实施有6项
(2)PA05评估脆弱性
本过程区域包括分析系统资产、定义特殊的脆弱性以及对整个系统脆弱性的评估
本过程区域基本实施有5项
(3)PA02评估影响
评估影响的目的是识别对该系统有关的影响,并对发生影响的可能性进行评估
遵循成本和效益的平衡原则
本过程区域基本实施有6项
(4)PA03评估安全风险
评估安全风险的目标是获得对在一个给定环境中运行该系统相关的安全风险的理解,并按照给定的方法论优先考虑风险问题
本过程区域基本实施有6项
2.工程过程
系统安全过程包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程
SSE-CMM强调系统安全工程师是一个大项目队伍中的组成部分,需要与其他科目工程师的活动相互协调
1)PA10确定安全需求
该过程区域的主要工作是明确地识别出与安全相关的需求,它要求包括用户在内的所欲各方达成对安全需求的共同认识
该过程区域包括定义整个信息系统中所有安全方面的活动
本过程区域基本实施有7项
2)PA09提供安全输入
本过程区域提供支持系统设计和实施活动的安全输入
本过程区域包括适用于开发和运行的安全输入
本过程区域基本实施有6项
3)PA01管理安全控制
该项主要是确定集成到系统中的安全控制措施确实在系统运行过程中发挥预计的安全功能
本过程区域基本实施有4项
4)PA08监控安全态势
安全态势表明系统及其环境已准备好处理目前的威胁、脆弱性和对系统及其资源的任何影响
本过程区域基本实施有7项
5)PA07协调安全
安全工程不能独立地取得成功,要保证所有部门都有一种参与安全工程的意识,这样才能充分发挥他们的作用,并且,有关安全的决定和建议是互相沟通和协调才能达成一致
本过程区域基本实施用4项
3.保证过程
保证是指安全需求得到满足的可信程度
1)PA11验证和证实安全
通过观察、论证、分析和测试来验证和证实解决方案满足安全需求;验证证据正确性,证实证据有效性。
本过程区域基本实施有5项
2)PA06建立保证论据
通过证据的收集,建立保证论据,该论据应清楚地说明用户的安全需求已经得到满足,通过一系列证据建立了对系统安全的信息
本过程区域基本实施有5项
查看更多:CISP第五章知识点整理汇总
