目录
一.SSE-CMM系统安全工程-能力成熟度模型(Systems Security Engineering - Capability Maturity Model)
二.ISMS 即信息安全管理体系(Information Security Management System),是一种基于风险管理的、系统化的管理体系
五.软件保障成熟度模型(Software Assurance Maturity Model,SAMM)
一.SSE-CMM系统安全工程-能力成熟度模型(Systems Security Engineering - Capability Maturity Model)
1.有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Practice)正确的理解是:
A.BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B.BP不是根据广泛的现有资料,实施和专家意见综合得出的
C.BP不代表信息安全工程领域的最佳实践
D.BP不是过程区域(Process Areas,PA )的强制项
答案:A
解释:BP属于安全工程的最小单元,其不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是根据广泛的现有资料,实施和专家意见综合得出的;代表着信息安全工程领域的最佳实践;并且是过程区域(Process Areas,PA )的强制项。
2.在使用系统安全工程-能力成熟度模型(SSECMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:
A.测量单位是基本实施(Base Practices,BP)
B.测量单位是通用实践(Generic Practices,GP)
C.测量单位是过程区域(Process Areas,PA)
D.测量单位是公共特征(Common Features,CF)
答案:B
解释:正确答案为B。
3.从系统工程的角度来处理信息安全问题,以下说法错误的是:
A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
答案:C
解释:SSE-CMM是面向工程过程质量控制的一套方法。
4.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:
A.BP是基于最新技术而制定的安全参数基本配置
B.大部分BP是没有经过测试的
C. 一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项BP可以和其他BP有重叠
答案:C
解释:A错误,BP是基于最佳的工程过程实践;B错误,BP是经过测试的;D错误,一项BP和其他的BP是不重复。
二.ISMS 即信息安全管理体系(Information Security Management System),是一种基于风险管理的、系统化的管理体系
信息安全管理体系(ISMS)的四个阶段,即规划(Plan)、实施(Do)、检查(Check)和改进(Act),这四个阶段构成了 PDCA 循环,具体如下:
- 规划(Plan)阶段
- 定义信息安全策略:明确组织信息安全的总体目标和原则,为信息安全管理提供方向和指导。
- 确定信息安全范围:确定需要保护的信息资产、系统、应用程序和业务流程等,明确 ISMS 的边界。
- 进行风险评估:识别潜在的信息安全风险,分析风险发生的可能性和影响程度,评估风险的优先级。
- 制定风险处理计划:根据风险评估结果,制定相应的风险处理措施,如风险降低、风险转移、风险接受等,并确定实施这些措施的时间表和责任人。
- 实施(Do)阶段
- 实施风险控制措施:按照风险处理计划,执行各种安全控制措施,包括技术措施(如防火墙、加密技术等)和管理措施(如安全制度、人员培训等),以降低信息安全风险。
- 建立安全组织架构:明确信息安全管理的职责和权限,建立信息安全管理团队,确保信息安全工作得到有效的组织和协调。
- 开展人员培训与意识教育:对组织内的员工进行信息安全培训,提高员工的信息安全意识和技能,使其能够遵守信息安全政策和流程。
- 建立信息安全事件管理流程:制定信息安全事件的报告、处理和恢复流程,确保在发生信息安全事件时能够及时响应和处理,减少事件造成的损失。
- 检查(Check)阶段
- 监控和测量信息安全绩效:通过各种手段收集信息安全相关的数据,如安全事件发生次数、漏洞修复情况、员工合规情况等,对信息安全管理体系的运行效果进行监控和测量。
- 进行内部审核:定期对 ISMS 进行内部审核,检查体系是否符合 ISO/IEC 27001 标准的要求,是否得到有效实施和保持,发现体系运行中的问题和不符合项。
- 开展管理评审:由组织的管理层定期对 ISMS 进行评审,评估体系的持续适宜性、充分性和有效性,根据业务发展和环境变化,确定是否需要对体系进行调整和改进。
- 改进(Act)阶段
- 采取纠正措施:针对内部审核和管理评审中发现的问题和不符合项,制定并实施纠正措施,消除不符合的原因,防止问题再次发生。
- 持续改进:根据监控和测量的结果以及业务需求的变化,不断优化信息安全管理体系,改进安全控制措施,提高信息安全管理的水平和效果。
- 预防措施:分析潜在的信息安全风险和问题,采取预防措施,防止问题的发生,进一步提升信息安全管理体系的有效性。
通过 PDCA 循环,信息安全管理体系能够不断地自我完善和优化,适应组织内外部环境的变化,持续提高组织的信息安全管理水平,保护信息资产的安全。