当前位置:文档之家 › 信息系统安全测评与监理

信息系统安全测评与监理

  • 格式:doc
  • 大小:28.50 KB
  • 文档页数:2

下载文档原格式

  / 2

合集下载

有关信息系统测试监理要点的分析

有关信息系统测试监理要点的分析

有关信息系统测试监理要点的分析【摘要】随着我国科技创新能力的增强,信息系统测试工作的把关变得尤为重要,这就需要我们系统测试监理对测试要点进行缜密的分析和研究,本文着重分析了在系统测试中监理的要点及相关内容,对提高信息系统测试监理的质量有重要意义。

【关键词】系统测试;信息系统;监理;要点前言随着我国信息化工程的加速推进,在项目的信息化过程中引入了第三方监理。

其主要职能是对软件信息系统进行监理工作。

主要负责测试系统,达到项目验收的目的,在监理测试信息系统的过程中,系统测试工作的规范化,标准化,科学化,有利于信息系统测试结果的准确性的提高。

本文针对信息系统测试中监理的要点进行分析,指出了监理工作的重点及重要性。

二、信息系统测试的流程和关注点1.信息系统项目测试的流程从信息系统监理的角度,信息系统项目中测试的流程基本分两步进行,第一步,承建单位进行的测试;第二步,项目小组(建设单位、监理单位、承建单位)进行的测试。

图1 信息系统项目测试的流程2.系统测试的关注点(一) 信息系统的类型信息系统,从项目建设的角度可以分为纯开发系统和二次开发配置系统。

纯开发系统是指根据用户需求,采用某种编程语言(如Java、JSP)和某种开发工具(如eclipse),从零基础开始编写代码实现的系统。

二次开发配置系统是指在成品软件(如Oracle DIM、Oracle BIEE、Oracle CRM、Oracle EBS、Oracle iLearning等)的基础上,根据用户需求,进行配置开发实现的系统。

(二)纯开发系统纯开发系统的质量与开发人员的技术水平、开发风格、对系统需求目标的理解等因素有很密切的关系,导致纯开发系统的测试工作任务繁重,其关注点也很多、很细。

从监理的角度,假定系统基本包含用户需求的所有功能点,纯开发系统测试时的关注点,可以概括为:(1)系统界面布局的合理性、美观性;(2)系统每个组件、控件的有效性、合理性;(3)系统流程逻辑的合理性;(4)具体功能的实现方式的最优性;(5)开发代码的可阅读性等。

信息系统监理师的信息安全与风险管理

信息系统监理师的信息安全与风险管理

信息系统监理师的信息安全与风险管理信息系统监理师是负责管理和监督企业信息系统建设的专业人员,其主要职责是确保信息系统的正常运行、安全可靠。

在信息化时代,信息安全和风险管理成为企业运行的重要环节。

本文旨在探讨信息系统监理师在信息安全和风险管理方面的工作内容和重要性。

一、信息系统监理师的职责与重要性信息系统监理师负责对企业信息系统的规划、建设和维护进行监督和管理,其工作职责主要包括以下几个方面:1. 安全策略规划:制定和完善企业信息系统的安全策略,包括制定安全政策、制定安全标准和规范等,以确保信息系统的安全性。

2. 风险评估与管理:对企业信息系统的安全风险进行评估和管理,包括对潜在安全威胁的识别、评估、排查和应对措施的制定,以避免可能出现的安全事故。

3. 安全控制与监督:负责对企业信息系统的安全控制措施进行监督和执行,包括访问控制、加密技术、网络安全等方面,保障信息系统的安全性。

4. 事件响应与处置:处理企业信息系统的安全事件,包括安全漏洞的修复、网络攻击事件的处置等,以最大程度地降低企业信息系统遭受损失。

信息系统监理师在保障企业信息系统的安全和稳定运行中,发挥着重要的作用。

他们不仅需要具备扎实的技术背景和专业知识,还需要具备敏锐的风险意识和处理问题的能力。

二、信息系统监理师的信息安全管理方法针对信息系统的安全管理,信息系统监理师可以采用以下方法来提升信息安全的水平和管理效果:1. 制定完善的安全策略:根据企业的具体需求和风险状况,制定一套完善的安全策略,包括安全目标、安全原则、安全措施等。

同时,要建立和健全安全管理体系,确保策略的有效执行。

2. 加强网络安全防护:建立网络安全防护体系,包括防火墙、入侵检测系统、反病毒系统等,以提升网络安全的能力。

此外,还需制定网络安全管理规范,对网络设备、网络通信进行监控和管理。

3. 加强对员工的安全教育培训:通过开展定期的安全培训和教育活动,加强员工的安全意识和信息安全知识的普及,提高员工对信息安全的重视程度,减少人为因素导致的安全风险。

11、信息系统的监理、审计与评价

11、信息系统的监理、审计与评价

甲方面对的不利选择
• 由于乙方拥有甲方所难以观察到的 隐蔽信息, 由于乙方拥有甲方所难以观察到的隐蔽信息 , 隐蔽信息 就使甲方在与乙方签合同时处于极为不利的 对策地位(不利选择) 对策地位(不利选择)。
– 如是否真正在技术上领先; 如是否真正在技术上领先; – 是否真正做过一些成功的项目; 是否真正做过一些成功的项目; – 是否使以前的用户真正从信息项目中获得了效益 等等。 等等。
乙方也面临双重不对称
• 对策双方的信息量和信息处理能力严重不对 称 , 不但表现在有关信息产品和信息技术的 知识上,还表现在对策双方对甲方的业务 (流程、管理等)上。 流程、管理等) • 因而在信息项目的对策模型中 , 很难说乙方 因而在信息项目的对策模型中, 就一定能在合同中处于优势。 就一定能在合同中处于优势。
信息系统的监理、 第十一讲 信息系统的监理、审计 与评价
一、信息系统监理的背景
企业信息化建设的误区
•有了计算机什么都好办,计算机什么都能干 有了计算机什么都好办, 有了计算机什么都好办 •企业搞信息化就是买些机器然后联成网 企业搞信息化就是买些机器然后联成网 •开发信息系统就是找人编编程序 开发信息系统就是找人编编程序 •我已经付钱了,开发是开发单位的事 我已经付钱了, 我已经付钱了 •企业信息化就是办公自动化 企业信息化就是办公自动化
• 从而降低了因 “ 隐蔽信息 ” 和信息处理能力不对称 从而降低了因“ 隐蔽信息” 引发的风险, 引发的风险 , 改善了甲方在与乙方对策过程中的不 利选择地位。 利选择地位。
监理减少甲方面临的“道德风险” 监理减少甲方面临的“道德风险”
• 在项目实施过程中,监理方可以根据自己的 在项目实施过程中, 经验判明乙方: 经验判明乙方:

信息系统监理师的系统集成与测试

信息系统监理师的系统集成与测试

信息系统监理师的系统集成与测试信息系统监理师在项目实施的过程中,扮演着重要的角色。

他们需要确保系统的顺利集成和高效的测试,以保证系统能够按照预期运行。

本文将探讨信息系统监理师在系统集成和测试方面的工作内容和方法。

一、系统集成工作系统集成是将各个独立的模块、子系统和第三方软件组合在一起,形成一个完整的系统的过程。

信息系统监理师在系统集成阶段需要进行以下工作:1.确定集成目标:监理师需要明确系统集成的目标,明确集成的范围和要求,确保各个模块之间的协调和统一。

2.编制集成计划:监理师需要编制详细的集成计划,包括集成的时间节点、责任人和资源需求等,确保集成工作按照计划进行。

3.监督集成过程:监理师需要对集成过程进行全程监督,确保各个模块的集成按照标准和规范进行,并及时发现和解决集成中的问题。

4.协调各方合作:在系统集成过程中,可能涉及到多个供应商和合作方,监理师需要协调各方的合作,促进各方之间的交流和协作,确保系统集成的顺利进行。

二、系统测试工作系统测试是在系统开发完成后进行的一系列非功能性测试活动,以验证系统能否满足预期的性能、安全和可用性需求。

信息系统监理师在系统测试阶段需要进行以下工作:1.编制测试计划:监理师需要根据系统的需求和功能,编制详细的测试计划,明确测试的目标、方法和步骤,并制定测试用例和测试数据。

2.组织测试团队:监理师需要组织测试团队,分配测试任务和责任,确保测试工作的有序进行。

3.监督测试过程:监理师需要对测试过程进行监督,确保测试用例的执行和测试结果的准确性,及时发现和解决测试中的问题。

4.评估测试结果:监理师需要评估测试结果,判断系统是否满足预期的性能、安全和可用性需求,并提出改进意见和建议。

三、总结与展望信息系统监理师在系统集成和测试工作中发挥着重要的作用。

他们通过项目的全程监督和协调,确保系统集成的顺利进行,并在测试阶段进行全面而有效的测试,以保证系统的质量和性能。

然而,信息系统的快速发展和不断变化,也给信息系统监理师带来了新的挑战。

信息系统工程监理指导规范

信息系统工程监理指导规范
!
第二章
信息系统工程 监理与安全测评
最新技术标准
信息系统工程监理规范
!"## $ % #&’—(’’(
#范围
本标准规定了信息系统工程监理的机构设置、工作条件、工作方法和管 理内容,并提供了信息系统工程监理工作中常用的工作表单。
本规范适用于从事信息系统工程监理的机构、个人,从事信息系统工程 的建设机构、承建机构和相关的培训机构也可参照使用。
第一篇 息系统工程建设监理与系统安全测评最新政策法规及技术标准 #$&
! 项目监理机构及工作条件
!"# 项目监理机构 !"#"# 项目监理机构设置 监理单位执行信息工程委托监理合同(以下简称监理合同)时,应在工 程实施地点建立工程项目监理机构。项目监理机构在完成监理合同约定的监 理任务后方可撤离工作地点。 !"#"$ 项目监理机构职责 项目监理 机 构 应 严 格 按 照 监 理 合 同 开 展 工 作, 并 对 合 同 执 行 的 结 果 负 责。 !"#"% 项目监理机构的组织形式和规模 项目监理机构的组织形式和规模应根据监理合同约定的服务内容、工程 类别、规模、技术复杂程度、实施工期和实施环境等因素确定。 监理单位应于监理合同签订后七天内将项目监理机构的组织形式、人员 构成及对总监理工程师的任命书面通知建设单位。 !"$ 项目监理人员 !"$"# 项目监理人员构成: ")总监理工程师; #)总监理工程师代表(必要时配备); $)信息安全监理工程师(可以由监理工程师以上的人员兼任); %)监理工程师; &)监理员和其他人员。 总监理工程师的任职应在监理过程中保持稳定;确需调整时,应征求建 设单位的意见;调整后,应书面通知建设单位和承建单位。 !"$"$ 监理人员职责 !"$"$"# 总监理工程师的职责: ")对信息工程监理合同的实施负全面责任; #)主持项目监理机构的日常工作,并定期向监理单位报告; $)确定项目监理机构人员的分工; %)检查和监 督 监 理 人 员 的 工 作, 根 据 工 程 项 目 的 进 展 情 况 可 进 行 人 员 调配,对不称职的人员进行调换; &)主持编写工程项目项目监理规划及审批项目监理实施方案; ’)主持编写并签发监理月报、监理工作阶段报告、专题报告和项目监理 工作总结,主持编写工程质量评估报告; ()组织整理工程项目的监理资料; ))主持监理工作会议,签发项目监理机构重要文件和指令;

信息系统监理介绍

信息系统监理介绍

信息系统监理介绍随着信息技术的快速发展,信息系统已经成为了企业和组织不可或缺的一部分。

为了保证信息系统的顺利建设、安全运行和有效管理,信息系统监理应运而生。

本文将对信息系统监理进行介绍。

一、信息系统监理的定义信息系统监理是指对信息系统建设过程进行监督、管理、协调和控制的独立第三方机构。

他们负责对信息系统的规划、设计、建设、测试、验收和运维等各个阶段进行全面、系统、专业的监督和管理,以确保信息系统的质量、安全、可靠性和效益。

二、信息系统监理的作用1、保证信息系统的质量信息系统监理通过对信息系统建设的全过程进行监督和管理,可以有效地保证信息系统的质量。

他们会对系统的设计、开发、测试、验收等各个阶段进行严格的把关,确保每个阶段的工作都符合规范和标准,从而保证最终信息系统的质量。

2、确保信息系统的安全信息系统监理不仅信息系统的功能和性能,还非常重视信息系统的安全。

他们会采取各种措施,确保信息系统的数据安全、系统稳定、风险可控,避免因安全问题给企业和组织带来不必要的损失。

3、提高信息系统的可靠性信息系统监理通过对信息系统的各个阶段进行全面的监督和管理,可以及时发现和解决系统存在的问题,提高系统的可靠性和稳定性。

同时,他们还可以提供专业的建议和解决方案,帮助企业和组织更好地管理和维护信息系统。

4、优化信息系统的效益信息系统监理不仅信息系统的质量和安全,还非常重视信息系统的效益。

他们会通过对信息系统的规划、设计、建设、测试、验收和运维等各个阶段的监督和管理,优化信息系统的效益,提高企业和组织的竞争力。

三、信息系统监理的流程1、规划阶段:明确监理的范围和目标,制定监理计划和方案。

2、设计阶段:对系统的架构、功能、界面等进行全面设计,确保系统的质量和安全。

3、建设阶段:对系统的开发、测试、部署等进行全面监督和管理,确保系统的质量和安全。

4、测试阶段:对系统进行全面的测试,确保系统的质量和安全。

5、验收阶段:对系统进行验收,确保系统的质量和安全。

信息安全监理的工作内容

信息安全监理的工作内容随着信息技术的快速发展,信息安全问题日益突出。

为了保护企业和个人的信息资产安全,信息安全监理逐渐成为一项重要的工作。

信息安全监理是指对信息系统的安全性进行检测和监控,确保其符合相关的法律法规和标准要求。

下面将详细介绍信息安全监理的工作内容。

1. 安全策略的制定和评估信息安全监理的首要任务是制定和评估安全策略。

监理人员需要了解企业的业务需求和风险状况,制定相应的安全策略,并评估其可行性和有效性。

安全策略包括网络安全、数据安全、系统安全等方面,需要综合考虑技术、管理和人员等多个因素。

2. 安全控制的实施和监控信息安全监理还需负责安全控制的实施和监控工作。

监理人员需要根据安全策略的要求,制定相应的安全控制措施,并确保其得到有效执行。

监理人员还需要定期对安全控制进行监控和评估,及时发现并解决安全隐患,确保信息系统的安全性。

3. 安全漏洞的扫描和修补信息安全监理需要对信息系统进行定期的安全漏洞扫描和修补工作。

监理人员需要使用专业的安全扫描工具,对系统进行全面的扫描,发现系统的安全漏洞和弱点。

然后,监理人员需要与相关部门合作,及时修补这些漏洞,确保系统的安全性。

4. 安全事件的响应和处置在信息系统运行过程中,可能会发生各种安全事件,如入侵攻击、病毒感染等。

信息安全监理需要负责安全事件的响应和处置工作。

监理人员需要建立健全的安全事件响应机制,及时发现和处理安全事件,避免安全事件对系统造成损害。

5. 安全培训和意识提升信息安全监理还需要负责安全培训和意识提升工作。

监理人员需要定期组织安全培训活动,提高员工的信息安全意识和安全技能。

监理人员还需制定安全宣传计划,通过多种途径向员工宣传信息安全知识,提高员工对信息安全的重视程度。

6. 安全评估和审计信息安全监理需要对信息系统进行安全评估和审计工作。

监理人员需要对系统进行全面的安全性评估,发现潜在的安全风险和问题。

同时,监理人员还需定期进行安全审计,确保系统的安全性得到持续改进和提升。

信息系统监理师之信息系统测试与验收

信息系统监理师之信息系统测试与验收信息系统的测试与验收是保证系统质量和稳定性的重要环节。

作为一名信息系统监理师,必须深入理解测试与验收的流程和要点,以保证系统开发过程中的各个环节都得到合理的验证和确认。

本文将从测试与验收的概念、重要性、具体步骤和常见问题等方面进行论述,旨在提供相关参考。

一、概述信息系统的测试与验收是指在系统开发完成后,通过一系列的测试和确认活动,评估系统是否符合要求,以及是否满足业务需求和质量标准。

测试是指通过多种手段,验证系统的各项功能是否正常、性能是否达标、稳定性是否可靠等;验收则是指按照规范和标准,对系统完成情况进行确认和接受。

二、测试对象信息系统测试的对象主要包括软件单元、软件集成、系统功能、系统性能和系统安全等。

其中,软件单元测试是对系统中每个模块进行独立测试,以保证代码的正确性;软件集成测试则是验证不同模块之间的交互和协作,以确保系统整体功能的完善和稳定;系统功能测试则是针对具体业务需求,测试系统能否满足功能要求;系统性能测试则是评估系统在负荷和并发情况下的性能表现;系统安全测试则是对系统的安全措施和防护机制进行验证。

三、测试步骤1. 测试计划编制在进行系统测试前,需要制定详细的测试计划,明确测试的目标、范围、方法、环境、资源和进度等。

测试计划是测试工作的指导方针,能够确保测试过程有条不紊地进行。

2. 测试用例设计测试用例是测试工作的核心内容,它们用于描述测试场景、测试数据、预期结果和实际结果。

测试用例应基于需求文档和设计文档,覆盖系统的各个功能和业务流程,以尽可能发现潜在的问题和缺陷。

3. 环境搭建与准备在进行测试之前,需要搭建相应的测试环境,包括硬件设施、软件平台和测试数据等。

同时,还需要准备测试用的数据和测试工具,以便进行有效的测试工作。

4. 执行测试用例在测试过程中,按照测试计划和测试用例的设计,逐一执行测试用例,并记录测试结果和问题。

测试人员需要仔细观察系统的反应和行为,发现问题,并及时进行记录和反馈。

信息系统安全保护等级测评

信息系统安全保护等级测评是对信息系统安全等级保护状况进行检测评估的活动。

根据《信息安全等级保护管理办法》,信息系统安全等级测评工作一般包括以下步骤:
1. 系统定级:根据业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。

2. 系统备案:持定级报告和备案表到所在地公安网监进行系统备案。

3. 建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。

4. 等级测评:测评机构对信息系统等级测评,形成测评报告。

5. 合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。

在等级测评过程中,一般采用5个方式,循序渐进地进行测试流程。

具体包括:1. 系统定级:对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。

2. 系统备案:持定级报告和备案表到所在地公安网监进行系统备案。

3. 建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。

4. 等级测评:测评机构对信息系统等级测评,形成测评报告。

5. 合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。

总之,信息系统安全保护等级测评是保障信息系统安全的重要手段之一,通过定期的测评和整改加固可以确保信息系统的安全性和稳定性。

信息系统监理师之系统测试与验收管理

信息系统监理师之系统测试与验收管理随着信息化时代的到来,信息系统在企业管理中扮演着越来越重要的角色。

而信息系统的测试与验收则成为了保证系统质量和可靠性的关键环节。

作为一名信息系统监理师,我们应该深入了解系统测试与验收的管理,以确保项目的成功实施。

一、系统测试的管理系统测试是指在系统开发完成后,对系统进行全面、系统性的检查和验证,以发现系统存在的问题和不足之处。

系统测试的管理工作包括以下几个方面:1. 测试计划制定:在系统测试前,需要制定详细的测试计划,明确测试的范围、目标和方法。

测试计划应包括测试的时间安排、测试用例的设计和选择、测试环境的搭建等内容。

2. 测试用例设计:测试用例是系统测试的核心,它描述了在各种情况下的输入和预期输出。

测试用例的设计需要考虑系统的各个功能点,覆盖不同的业务场景,以保证测试的全面性和准确性。

3. 测试环境搭建:系统测试需要在特定的测试环境下进行。

监理师应该确保测试环境的稳定性和与实际运行环境的一致性,以保证测试结果的可信度。

4. 测试执行和问题记录:在进行测试时,监理师需要根据测试计划执行各项测试,并记录测试过程中发现的问题和异常现象。

同时,监理师还应及时与开发人员进行沟通,确保问题能够得到及时解决。

二、系统验收的管理系统验收是指对已开发完成的系统进行全面、系统性的检查和确认,以验证系统是否满足用户的需求和预期目标。

系统验收的管理工作包括以下几个方面:1. 验收标准制定:在系统开发过程中,监理师需要与用户明确系统验收的标准和指标。

验收标准应涵盖功能完整性、性能指标、安全性等多个方面,以确保系统能够满足用户需求和预期效果。

2. 验收测试组织:监理师需要组织验收测试,包括功能测试、性能测试、安全性测试等。

通过对系统各项指标的检查和验证,评估系统是否满足用户的要求。

3. 验收测试结果评估:监理师需要对验收测试的结果进行评估和分析,得出系统是否能够满足用户需求的结论。

评估过程应客观、公正,确保验收结果的可靠性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统代码安全测评与监理
信息系统安全测评是保障信息系统安全工程质量的必要技术措施之一。

通过安全测评,检查系统的设计、集成、安全策略的整体规划和设计、安全管理的具体实施、安全监控的各种策略以及日常操作安全和安全应急响应等各个方面,降低系统的安全风险。

信息系统安全测评在监理中的作用
对信息系统安全工程而言,由于其复杂度和专业化程度很高,对它的效果评价就显得尤为重要。

在这方面,北京市率先以政府令的形式提出了“投资200万元以上的重大信息化工程建设项目必须通过系统安全测评,否则不得投入使用”。

在工程验收阶段,信息系统安全测评的作用是为安全监理提供必要的信息系统安全性评价依据。

信息系统安全专业测评机构出具的安全测评报告有助于监理单位及时发现信息系统中存在的安全缺陷和安全隐患,以便监理单位及时和信息系统承建单位协调,按照系统安全目标提出整改意见,以期系统按照标准达到预期的、满足建设单位需求的和国家有关规范的安全指标。

信息安全测评标准
近几年,随着人类对信息网络设施依赖程度的提高和信息安全形势的日益严峻,世界各国都在加紧出台信息安全评估标准。

目前,国外主要的信息安全标准包括:(1)美国TCSEC(可信计算机系统评估准则):该标准是美国国防部于1985年制定的,为计算机安全产品的测评提供了测试和方法,指导信息安全产品的制造和应用。

它将安全分为4个方面(安全政策、可核查性、安全保证和文档)和7个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。

(2)欧洲ITSEC(信息技术安全评估准则):1991年,西欧四国(英、法、德、荷)提出了信息技术安全评价准则(ITSEC),ITSEC首次提出了信息安全的保密性、完整性、可用性概念,把可信计算机的概念提高到可信信息技术的高度上。

它定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级和10种安全功能。

(3)美国联邦准则FC(信息技术安全性评价联邦准则):1993年,美国发布了“信息技术安全性评价联邦准则”(FC)。

该标准的目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合通用准则。

(4)联合通用准则CC:1993年6月,美国、加拿大及欧洲四国经协商同意,起草单一的通用准则(CC)并将其推进到国际标准。

CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样能使大部分的基础性安全机制,在任何一个地方通过了CC准则评价并得到许可进入国际市场时,就不需要再作评价,使用国只需测试与国家主权和相关安全的安全功能,从而大幅节省评价支出并迅速推向市场。

CC结合了FC及ITSEC的主要特征,他强调将安全功能与安全保障分离,并将功能需求分为9类63族,将保障分为7类29族。

(5)系统安全能力成熟模型(SSE-CMM):美国国家安全局于1993年4月提出的一个专门应用于系统安全工程成熟模型(CMM)。

该模型定义了一个安全工程过程应有的特征,这些特征是完善的安全工程的基本保证。

(6)国际标准化组织ISO/IEC 17799:《信息安全管理实用规则》。

ISO/IEC 17799的目的是“为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用。

它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,从而使跨机构的交易得到互信”。

它所阐述的主题是安全策略和具有普遍意义的安全操作,它是一个机构制定信息安全标准时的出发点。

目前我国很多行业已经在参照BS7799或ISO/IEC 17799制定本行业的
信息安全管理法规。

国内的安全评估标准主要有GB17895-1999《计算机信息系统安全保护等级划分准则》、GB/T18336-2001《信息技术安全性评估准则》,根据ISO/IEC17799《信息安全管理实用规则》制定的、基于安全管理的国家标准即将出台;公安部、国家安全部、国家保密局、国家密码管理委员会等部门以及一些地方政府也都各自制定、颁布了一些信息安全的行业标准或地方标准。

北京市在这方面做了很好的推进,他们参考了GB17859、GB-T18336和ISO/IEC17799等标准的体系结构和描述方法,取其精华,形成了基于电子政务的、满足安全技术要求和安全管理要求两个层面的信息系统安全测评标准:DB11/T171-2002《党政机关信息系统安全测评规范》,该规范适用于党政机关政务外网、政务外网与政务内网以及政务外网与互联网相互之间互连系统的信息安全检测与评估。

系统安全控制
系统安全控制是确保信息系统安全性的重要措施,通过对系统安全性的控制,保障信息系统的安全性,防止信息安全问题对信息系统建设单位造成严重后果。

系统安全性控制主要在信息系统安全工程过程中对质量、进度、成本进行控制,并对工程文档进行管理,确保整个信息系统安全工程满足建设单位的信息安全需求,保证整个信息系统安全工程符合国家相关法律法规的规定。

监理在信息系统安全工程中的作用与意义
和信息系统其他的子系统相比,信息安全系统具有一个非常重要的属性:可信度,一个不可信的信息安全系统比没有信息安全系统对用户的损害更严重。

同时信息安全的复杂性和专业性决定了监理对于确信信息系统安全的“可信”具有重要作用,这种作用主要通过以下几个方面体现出来:
(1)帮助客户做好安全需求分析,确保安全需求真实、准确地反映了用户信息安全的要求,能够切实保护信息系统,降低信息系统的安全风险;
(2)帮助客户确认安全方案是否符合有关国家标准和规定;
(3)帮助客户优选安全方案;
(4)帮助用户审核安全工程承建单位的资质;
(5)在工程实施阶段,代表客户对系统承建单位进行监督、管理,帮助用户控制安全工程的进度、成本和工程质量;
(6)组织和审核系统安全整体测试,组织工程的安全验收工作。

应该注意到,信息系统安全工程监理不仅仅是一个纯粹的技术问题,也不是一个简单的管理问题,而是同时从技术和管理的角度,对信息系统安全工程的实施过程进行控制和管理,确保信息系统安全策略和安全技术满足用户的需求,并按照设计方案保质保量地实施,最终提供工程监理报告,实现预期的目标。

信息系统安全工程的监理可从质量、进度和成本等方面进行控制。