2022年CISP教材知識點(diǎn)整理：SSE-CMM 的安全工程過程

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點(diǎn)梳理，詳情如下：

第五章 知識域：安全工程與運(yùn)營

5.1 知識子域：系統(tǒng)安全工程

5.1.4 SSE-CMM的安全工程過程

SSE-CMM將域維中的工程過程類的11個(gè)過程區(qū)域劃分為3個(gè)基本過程領(lǐng)域，分別是風(fēng)險(xiǎn)過程、工程過程、保證過程

1.風(fēng)險(xiǎn)過程

系統(tǒng)安全工程的主要目標(biāo)就是降低風(fēng)險(xiǎn)到可接受范圍

安全工程中的風(fēng)險(xiǎn)三要素是影響、威脅和脆弱性

風(fēng)險(xiǎn)管理中的三要素是資產(chǎn)、威脅和脆弱性

（1）PA04評估威脅

評估威脅過程區(qū)域的目的在于識別安全威脅及其性質(zhì)和特征

本過程區(qū)域基本實(shí)施有6項(xiàng)

（2）PA05評估脆弱性

本過程區(qū)域包括分析系統(tǒng)資產(chǎn)、定義特殊的脆弱性以及對整個(gè)系統(tǒng)脆弱性的評估

本過程區(qū)域基本實(shí)施有5項(xiàng)

（3）PA02評估影響

評估影響的目的是識別對該系統(tǒng)有關(guān)的影響，并對發(fā)生影響的可能性進(jìn)行評估

遵循成本和效益的平衡原則

本過程區(qū)域基本實(shí)施有6項(xiàng)

（4）PA03評估安全風(fēng)險(xiǎn)

評估安全風(fēng)險(xiǎn)的目標(biāo)是獲得對在一個(gè)給定環(huán)境中運(yùn)行該系統(tǒng)相關(guān)的安全風(fēng)險(xiǎn)的理解，并按照給定的方法論優(yōu)先考慮風(fēng)險(xiǎn)問題

本過程區(qū)域基本實(shí)施有6項(xiàng)

2.工程過程

系統(tǒng)安全過程包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測試、部署、運(yùn)行、維護(hù)、退出的完整過程

SSE-CMM強(qiáng)調(diào)系統(tǒng)安全工程師是一個(gè)大項(xiàng)目隊(duì)伍中的組成部分，需要與其他科目工程師的活動(dòng)相互協(xié)調(diào)

1）PA10確定安全需求

該過程區(qū)域的主要工作是明確地識別出與安全相關(guān)的需求，它要求包括用戶在內(nèi)的所欲各方達(dá)成對安全需求的共同認(rèn)識

該過程區(qū)域包括定義整個(gè)信息系統(tǒng)中所有安全方面的活動(dòng)

本過程區(qū)域基本實(shí)施有7項(xiàng)

2）PA09提供安全輸入

本過程區(qū)域提供支持系統(tǒng)設(shè)計(jì)和實(shí)施活動(dòng)的安全輸入

本過程區(qū)域包括適用于開發(fā)和運(yùn)行的安全輸入

本過程區(qū)域基本實(shí)施有6項(xiàng)

3）PA01管理安全控制

該項(xiàng)主要是確定集成到系統(tǒng)中的安全控制措施確實(shí)在系統(tǒng)運(yùn)行過程中發(fā)揮預(yù)計(jì)的安全功能

本過程區(qū)域基本實(shí)施有4項(xiàng)

4）PA08監(jiān)控安全態(tài)勢

安全態(tài)勢表明系統(tǒng)及其環(huán)境已準(zhǔn)備好處理目前的威脅、脆弱性和對系統(tǒng)及其資源的任何影響

本過程區(qū)域基本實(shí)施有7項(xiàng)

5）PA07協(xié)調(diào)安全

安全工程不能獨(dú)立地取得成功，要保證所有部門都有一種參與安全工程的意識，這樣才能充分發(fā)揮他們的作用，并且，有關(guān)安全的決定和建議是互相溝通和協(xié)調(diào)才能達(dá)成一致

本過程區(qū)域基本實(shí)施用4項(xiàng)

3.保證過程

保證是指安全需求得到滿足的可信程度

1）PA11驗(yàn)證和證實(shí)安全

通過觀察、論證、分析和測試來驗(yàn)證和證實(shí)解決方案滿足安全需求；驗(yàn)證證據(jù)正確性，證實(shí)證據(jù)有效性。

本過程區(qū)域基本實(shí)施有5項(xiàng)

2）PA06建立保證論據(jù)

通過證據(jù)的收集，建立保證論據(jù)，該論據(jù)應(yīng)清楚地說明用戶的安全需求已經(jīng)得到滿足，通過一系列證據(jù)建立了對系統(tǒng)安全的信息

本過程區(qū)域基本實(shí)施有5項(xiàng)

查看更多：CISP第五章知識點(diǎn)整理匯總