@Luminary
2年前 提问
1个回答

信息安全工程建立保障论据包括哪些工作内容

Ann
2年前

信息安全工程建立保障论据包括以下工作内容:

  • 识别并确定用户的安全保障目标:由用户确定的保障目标,确定了在该系统中所需的信任等级。新的和经修改的安全保证目标的确定,需要保持与所有内部和外部工程组织安全相关团体的协调一致。

  • 制定安全保障战略:此项活动的目的是规划并确保正确地强制实现安全保障目标。通过开发并颁布安全保障战略,获得对保障相关活动的有效管理,获取对用户保障需求的理解并持续监视用户保障需求满意度的变化,确保高质量地实现所有安全保障目标。

  • 识别并控制保障证据:按照安全保障战略中的定义和要求收集安全保障证据,通过与所有安全工程过程区域的交互,识别各个抽象等级的证据。控制这些证据,以确保所有证据之间的关联性以及与安全保障目标的关联性。等保测试记录就是保障证据常见的例子。

  • 分析证据:要对安全保障证据进行分析,以为所收集的证据提供满足安全目标的可信度。通过对保障证据进行分析,确定系统安全工程和安全验证过程是否充分和足够完善,以便得出安全特性和安全机制是否令人满意地实现的结论。

  • 提供保障论据:为了证明系统符合安全保障目标,需要拿出全面的保障论据并提供给用户。保障论据是一系列陈述性保证目标,每个保证目标都得到足够相关证据的支持,以满足适当的标准。例如,等保测评报告就是一份保障论据。为了证明满足安全保障目标,必须针对提交的证据的缺陷和满足安全保障目标的缺陷对安全保障论据进行评审。