1、六、申請單位的信息系統安全工程過程能力 相關文檔記錄作為附件 1 1、 評估系統安全威脅的能力（描述如何識別系統所面臨的各種安全威脅及其性質和特征，以及對威 脅的可能性進行評估） 系統安全威脅來自于兩個方面：人為威脅、自然威脅。人為威脅分兩部分：一是由偶然原因引起 的人為威脅；二是由故意行為引起的人為威脅。自然威脅指由自然引起的有關威脅，如地震、海嘯 和臺風等。在服務項目的相關人員參與下，根據威脅的可能性評估方法和定性標準，經過充分的分 析和評價，進行識別系統所面臨的各種安全威脅，并描述其性質和特征。通過識別工作，找出合適 的自然威脅列表，對人為威脅應描述其威脅如何發生的，測試其威脅相關事件的

2、可能性。同時進行 評估性工作，如評估由人為原因引起的威脅作用力的技能和效力；評估威脅事件可能性。在評估威 脅事件可能性時，要考慮多種因素，而且注意在不同的安全服務項目中，各因素出現的概率不 2 2、 評估系統脆弱性的能力（描述如何對系統的脆弱性進行評估，包括所選擇的分析方法、工具，收 集、合成系統的脆弱性數據；提供一份具體項目中關于系統脆弱性評估的相應文檔記錄，包括系統 脆弱性清單、攻擊測試報告等） 對某一具體系統環境資源和性質分析，根據具體情況識別尋找和提出系統安全脆弱性的方法，包 括分析、報告、跟蹤過程。可定量或定性分析脆弱性；采用分析和測試的方法來識別脆弱性。在選 擇脆弱性測試工具時，可

3、考慮使用合適的掃描產品和國內、國際漏洞庫。通過脆弱性識別，可獲得 系統中的脆弱性清單，以及相應的攻擊測試結果。根據系統環境的具體情況，建立相應的脆弱性數 據庫，同時注意脆弱性的遷移和不確定性。系統中的脆弱性來自于三個方面：實現過程中遺留的漏 洞；設計中遺留的漏洞；配置中留下的漏洞。通過脆弱性評估報告和攻擊報告評估并綜合系統脆弱 性。脆弱性評估報告包括對系統造成問題的脆弱性的定性或定量的描述，這些問題是攻擊的可能性、 攻擊成功的可能性及攻擊產生的影響。攻擊報告指的是對已發現的脆弱性、被開發的潛在可能性和 脆弱性利用的分析過程和結果進行書面總結。具體文檔見附件 4 4 之一。 3 3、評估安全對系

4、統的影響的能力（描述如何識別安全對所實施的系統的影響，并對發生影響的可能 性進行評估；提供一份具體項目中關于評估安全對系統的影響的相應文檔記錄，如系統優先級清單、 系統資產分析表等） 影響是意外事件對系統資產產生的后果， 可由故意行為或偶然原因引起， 可能是有形的或無形的。 主要識別和分析系統操縱的運行、業務或任務的影響，并進行優先級區分。同時識別系統資產和它 的運行意義及產品資產和它的運行意義。資產包括系統的人、環境、技術和基礎設施，還包括數據 和資源。確定評估影響的度量標準，從資產預算財務成本、嚴重等級（ 1 1- -1010）和基本的描述（低、 中、高）中說明影響的數量、質量。特別在某些

5、影響要使用不同的評估度量標準時，應給出評估度 量標準之間的內在聯系，使得評估的一致性。因此評估影響的標準既要考慮度量標準之間的關系的 清單，又要考慮組合影響度量標準的規則。利用多重度量標準或統一度量標準的合適方法對意外影 響進行識別和特征化。該階段給出潛在影響和相關度量的清單。 具體文檔見附件 4 4 之二。具體文檔見附件 4 4 之五。 4 4、評估系統安全風險的能力（描述如何識別出一給定環境中涉及到對某一系統有依賴關系的安全風 險；如何對系統的安全風險進行評估，包括選擇風險評估方法、風險優先級排列方法等；提供一份 具體項目中關于評估系統安全風險的相應文檔記錄） 安全風險評估應在某一準則限度

6、內進行，有機的建立在脆弱性信息、威脅信息和影響信息的基礎 上，注意脆弱性、威脅和影響的相互依存，其目標是尋找認為是足夠危險的威脅、脆弱性和影響的 組合，從而證明相應行動的合理性。根據具體系統環境，選擇用于分析、評估和比較給定環境中系 統安全風險所依據的方法、技術和準則，它應該包括一個對風險進行分類和分級的方案，其依據是 威脅、運行效能、已建立系統的脆弱性、潛在損失、安全需求等相關問題。因此應描述對風險進行 識別和特征化的方法，描述風險及其重要性和相關性。已經被識別的風險應以組織的優先級、風險 出現的可能性、與這些因素和可用財力相關的不確定性為依據進行排序。因此需要列出風險優先級 清單和可幫助減

7、輕風險的清單，并對優先級排列的描述。 具體文檔見附件 4 4 之三。 5 5、確定系統安全需求的能力（描述如何明確識別出系統安全要求；提供一份具體項目中關于確定系 統的安全需求的相應文檔記錄，如安全策略、安全目標、安全需求分析報告等） 通過問卷調查的方式獲得用戶系統安全需求及外部影響（如可用的法律、策略、和約束） 。當識 別安全需求出現沖突時，應按最小化原則加以識別，并在可能條件下予以解決。識別系統的用途， 以識別和定義其安全相關的安全需求，同時了解關聯性的東西是如何影響系統安全性的，定義的相 關安全應與可適用的政策、法、標準及系統的約束條件協調一致。在系統安全需求的約束內進行廣 泛討論，面向

8、高層次安全開發一個規劃圖，其中包括角色、職責、信息流程、資產、人員保護以及 物理保護。在系統運行中，注意安全目標的影響，因此要動態的捕捉安全的高層目標。通過對安全 需求分析，確定安全策略、安全目標。并在各種安全需求之間建立安全協議，從而使它們達成一致。 具體文檔見附件 4 4 之四。 6 6、確定系統的安全輸入的能力（描述如何為系統的規劃者、設計者、實施者或用戶提供他們所需的 安全信息，包括安全體系結構、設計或實施選擇以及安全指南；提供一份具體項目中關于確定系統 的安全輸入的相應文檔記錄，如系統安全體系設計方案，安全模型，各種安全相關的指南等） 同系統安全設計者、開發者及用戶一起商討，以求對安

9、全需求有一個共同的理解。通過分析以決 定在需求、設計、實現、配置和文檔方面的任何安全限制和考慮。約束在系統生命期內的所有時間 內進行肯定或否定性的識別。對安全相關的需求進行分解、分析和重組，以致識別出有效的解決方 案，同時根據安全約束和需要考慮的問題進行方案分析，并加以區分它們的優先級。開發出與安全 有關的指南，并提供給工程組，安全工程指南包括體系結構、設計和實現建議等。同時為運行系統 的用戶和管理員提供安全相關的指南，本指南告訴用戶和管理員在以安全模式進行安裝、配置、運 行和淘汰系統時必須做些什么，指南在管理員和用戶手冊等文檔體現。本基本實施產生的文檔有： 安全設計準則、安全實施規則、安全設

10、計文檔、安全模型、安全體系結構、管理員手冊、用戶手冊 等。 7 7、 安全控制管理的能力 （描述如何保證集成到系統設計中的已計劃的系統安全確實由最終系統在運 行狀態下達到。包括建立安全職責，增強所有用戶和管理員的安全意識，開展安全教育培訓，對所 有的安全配置進行管理（軟件更新記錄、安全配置修改記錄等） ；提供一份具體項目中關于進行管理 安全控制的相應文檔記錄） 建立安全控制的職責和責任并通知到組織中的每一個人，安全的某些方面能夠在常規的管理結構 中進行管理，然而另外一些方面則需要更專業的管理，建立安全組織圖表，并描述安全角色和安全 職責，并對安全組織中的人員進行授權。對系統安全控制的配置進行管

11、理，如所有軟件更新的記錄、 所有發布中問題的記錄、系統安全配置的修改、安全需求修改等。管理所有的用戶和管理員的安全 意識、培訓和教育大綱，因此要根據不同的用戶情況確定安全培訓資料，并跟蹤用戶對組織和系統 安全的理解，不定期的進行用戶培訓，以適應新的安全需要。定期維護和管理安全服務和控制機制， 如維護和管理日志，定期的維護和管理檢查，跟蹤記錄系統維護方面的問題以便識別需要額外關注 的地方，注意維護和管理的例外，描述敏感信息和敏感介質清單，建立起保證措施，以便信息敏感 性降低或者介質被凈化或處置后，不出現不必要的風險。 具體文檔見附件 4 4 之六。 8 8、 監測系統安全狀況的能力（描述如何對安

12、全風險變化、事件記錄、安全防護措施進行監視，并識 別安全突發事件和對安全突發事件進行響應；提供一份具體項目中關于進行監測系統安全狀況的相 應文檔記錄） 分析各種事件記錄，以確定一個事件的原因及其發展，以及將來可能發生的事件，對每一個事件 進行描述，并建立起日志記錄和來源，對最近的日志加以分析并進行一定的歸納。特別要動態的監 控威脅、脆弱性、影響、風險和環境變化，并在報告中體現，在報告中對變化的意義進行定期評估。 能識別出安全突發事件，定義突發事件并列出突發事件，制定突發事件響應指南，描述出現的突發 事件及其相關詳細情況，包括突發事件的來源、任何形式的危險、應采取的響應和需要進一步采取 的行動，

13、同時報告各種入侵事件，指明入侵事件的來源、任何形式的危險、應采取的響應和需要進 一步采取的行動。檢測安全防護措施的執行情況，以便識別出安全措施執行中的變化。審核系統安 全態勢以識別必要的修改，描述當前安全風險環境、現有的安全態勢和對這兩者是否兼容進行分析， 并通過第三方權威組織認證，通過報告的形式指明在運行的系統中，安全風險是可接受的。由于許 多事件不能預防，因而對破壞的響應能力是十分重要的。為了保證監控活動的可信性，應封存和歸 檔相關的日志、審計報告和相關分析結果。 具體文檔見附件 4 4 之七。 9 9、 安全協調能力 （描述如何進行安全協調，包括建立各工作組之間以及組內部的協調機制，并確

14、保 其實施的方法；提供一份具體項目中關于進行安全協調的相應文檔記錄） 確定安全協調的信息共享協議，工作組的成員關系和日程表，描述各工作組之間及用戶之間溝通 安全相關信息的過程和程序。制定工作組間及其與其他團體間的溝通計劃，如會議日期、共享的信 息、會議過程和程序，并指明通信的基礎設施和標準，同時確定各種文檔的格式，如會議報告、消 息、備忘錄的模板。制定沖突解決規程，以便解決協調中的沖突。描述會議中討論的議題、強調需 要闡述的目標和行動條目，并跟蹤行動條目，即識別工作和項目分解的計劃，包括職責、時間表和 優先級。注意在各種安全工程組織、其他工程組織、外部實體和其他合適的部門中交流的安全決定 和建

15、議。通過會議報告、備忘錄、工作組會議紀要、電子郵件、安全指南或公告牌將有關的決定告 訴有關的工程組；通過會議報告、備忘錄、工作組會議紀要、電子郵件、安全指南或公告牌將有關 的建議告訴有關的工程組。 具體文檔見附件 4 4 之八。 1010、 檢測和證實系統安全性的能力（描述如何檢測和證實系統的安全性，包括檢測或證實系統安全 性的方法和工具；提供一份具體項目中關于檢測和證實系統安全性的相應文檔記錄，如測試計劃， 檢測結果，檢測報告等） 通過觀察、論證、分析和測試，因此解決方案依照安全需求、體系結構和設計得到驗證，即證明 了解決方案是有效的。解決方案依照用戶的運行證實了安全需求，即證明了解決方案被

16、正確的實施。 定義驗證和證實工作，包括 資源、進度表、驗證和證實的工作產品。采用測試和分析的方法驗證和 證實系統安全，同時定義測試每種解決方案時采取的步驟，并清楚什么樣的驗證和證實結果才能滿 足用戶的安全需求和需要。注意各種方法和工具得到的原始數據及在驗證解決方案滿足需求過程中 發現的矛盾。在證實過程中，要將發現的矛盾寫入問題報告，注意解決方案不能滿足安全的地方， 并能找出不能滿足用戶安全需求的解決方案。將測試結果記入測試結果文檔，也要將安全需求映映 射到解決方案的需求，映射到測試和測試的結果。在檢測或證實系統安全性時，可使用安全工具和 項目管理工具。 具體文檔見附件 4 4 之九。 1111、 建立系統安全的保證證據的能力（描述如何建立系統安全的保證證據，包括對保證的目標進行 識別、建立保證證據庫并對其進行分析等；提供一份具體項目中關于進行建立系統安全的保證證據 的相應文檔記錄） 由開發者、集成者、用戶和簽名授權者確定安全保證目標，同識別新的和經修改的安全保證目標, 在描述和定義安全保證目標時，安全保證目標必須