信息安全工作保障方法中确定信息安全需求二
2018-03-08 16:21:00 | 来源:中培企业IT培训网
根据ISSP要求,信息系统安全需求的标准格式应包括如下七个部分:引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、ISPP应用注解,以及符合性声明。
其中,信息系统描述主要是说明信息系统的范围、网络结构、主机操作系统与数据库、 应用等方面内容。信息系统安全环境主要描述信息系统所处的环境、面临的威胁、信息系统采用的安全策略等。安全保障目的主要描述提供预期安全需求要达到的目标,需要指出的是,安全目的不宜涉及安全需求的实现细节。
安全保障要求是安全需求的主要陈述部分,包括控制要求和能力成熟度要求。安全保障要求的组成如下:一是安全技术保障要求,技术保障要求来自于支持信息系统安全保障的那些技术领域中期望的安全行为,GB/T 20274《信息系统安全保障评估保障评估框架》第2部分定义了安全技术保障控制要求和技术架构能力成熟度级;二是安全管理保障要求,管理保障要求来自于支持信息系统安全保障的那些管理领域中期望的安全行为,GB/T 20274《信息系统安全保障评估保障评估框架》第3部分定义了安全管理保障控制要求和管理能力成熟度级;三是安全工程保障要求,工程保障要求来自于支持信息系统安全保障的那些工程领域中期望的安全行为,GB/T 20274《信息系统安全保障评估保障评估框架》第4部分定义了安全工程保障控制要求和工程能力成熟度级。通过合理选择安全技术、管理和工程保障控制要求及其禽邑力成熟度级,可以确保达到一定的安全保障目的。
ISPP应用注解是补充一些相关附加信息,符合性声明则说明安全保障目的符合安全环境要求,安全保障要求满足安全保障目的。