信息系統(tǒng)安全服務(wù)資質(zhì)評(píng)估

信息系統(tǒng)安全服務(wù)資質(zhì)評(píng)估適用范圍本標(biāo)準(zhǔn)適用于評(píng)估機(jī)構(gòu)對(duì)提供信息安全服務(wù)的組織進(jìn)行信息安全服務(wù)資質(zhì)的評(píng)估；信息安全服務(wù)的需方對(duì)服務(wù)提供方的選擇依據(jù);作為國(guó)家主管部門(mén)對(duì)評(píng)估對(duì)象進(jìn)行管理和檢查的技術(shù)規(guī)范。另外，也可為信息安全服務(wù)提供組織改進(jìn)自身能力提供指導(dǎo)。定義信息安全服務(wù)信息安全服務(wù)是指信息安全工程的設(shè)計(jì)、實(shí)施、測(cè)試、運(yùn)行和維護(hù)，以及相關(guān)的咨詢和培訓(xùn)活動(dòng)。信息安全服務(wù)提供者信息安全服務(wù)提供者是指信息安全工程方案設(shè)計(jì)組織、承建信息安全工程的組織以及提供有關(guān)信息安全咨詢和培訓(xùn)的組織。信息安全服務(wù)資質(zhì)等級(jí)信息安全服務(wù)資質(zhì)等級(jí)是指一個(gè)組織提供信息安全服務(wù)的綜合能力。包括技術(shù)能力、組織結(jié)構(gòu)與管理、資源配置、安全工程過(guò)程能力、業(yè)績(jī)和質(zhì)量保證等多個(gè)方面。信息安全工程過(guò)程能力級(jí)別信息安全工程過(guò)程能力級(jí)別是指提供信息安全服務(wù)的組織在完成工程、項(xiàng)目時(shí)，執(zhí)行組織已定義過(guò)程的能力成熟程度。信息安全服務(wù)評(píng)估組織信息安全服務(wù)評(píng)估組織，是指對(duì)提供信息安全服務(wù)的組織的資質(zhì)等級(jí)進(jìn)行評(píng)估認(rèn)證的第三方機(jī)構(gòu)。在我國(guó)是指中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心及其授權(quán)分支機(jī)構(gòu)。服務(wù)類型與資質(zhì)評(píng)定原則信息安全服務(wù)的類型信息安全服務(wù)的類型主要指一個(gè)組織按照一定的合同或協(xié)議，為另一個(gè)組織所履行的安全服務(wù)的具體形式，包括：1）安全工程：為信息系統(tǒng)進(jìn)行安全方案設(shè)計(jì)（開(kāi)發(fā)）、施工（安全集成）、驗(yàn)證（測(cè)試）、運(yùn)行（監(jiān)控）和維護(hù)；2）安全咨詢和培訓(xùn)：從事信息系統(tǒng)安全咨詢、培訓(xùn)、宣傳和其它安全工程之外服務(wù)的業(yè)務(wù)。包括書(shū)面提出并制訂信息系統(tǒng)安全方案，提供安全管理與操作規(guī)定的服務(wù),提供安全性測(cè)試和監(jiān)控，方案（安全方案、信息系統(tǒng)和安全產(chǎn)品等）試驗(yàn)，在公開(kāi)場(chǎng)合或媒體宣講傳播安全知識(shí)的活動(dòng)，信息系統(tǒng)安全的專家活動(dòng)和政策制訂工作,從事信息系統(tǒng)安全教育工作，其它可能影響信息系統(tǒng)安全性能的有償或無(wú)償服務(wù)或技術(shù)活動(dòng)。信息安全服務(wù)資質(zhì)等級(jí)的評(píng)判原則信息安全服務(wù)資質(zhì)評(píng)估是對(duì)信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施安全工程過(guò)程質(zhì)量保證能力等方面的具體衡量和評(píng)價(jià)。資質(zhì)等級(jí)的評(píng)定，是在其基本資格和能力水平、安全工程項(xiàng)目的組織管理水平、安全工程基本過(guò)程的實(shí)施和控制能力等方面的單項(xiàng)評(píng)估結(jié)果基礎(chǔ)上，針對(duì)不同的服務(wù)種類，采用一定的權(quán)值綜合考慮后確定，并由國(guó)家認(rèn)證機(jī)構(gòu)授予相應(yīng)的資質(zhì)級(jí)別。信息安全服務(wù)的資質(zhì)等級(jí)的劃分遵循以下原則：表7-1安全服務(wù)資質(zhì)等級(jí)定義資質(zhì)等級(jí)說(shuō)明1級(jí)達(dá)到全部基本資格要求和部分基本能力要求執(zhí)行基本的安全工程過(guò)程，安全工程過(guò)程能力達(dá)到1級(jí)。2級(jí)達(dá)到全部基本資格要求和基本能力要求；執(zhí)行基本的安全工程過(guò)程，安全工程過(guò)程能力達(dá)到2級(jí)，使安全工程過(guò)程質(zhì)量得到基本保證。3級(jí)達(dá)到全部基本資格要求和基本能力要求；執(zhí)行基本的安全工程過(guò)程，安全工程過(guò)程能力達(dá)到3級(jí)，使安全工程過(guò)程質(zhì)量得到良好保證。4級(jí)達(dá)到全部基本資格要求和基本能力要求，?執(zhí)行基本的安全工程過(guò)程，安全工程過(guò)程能力達(dá)到4級(jí)，使安全工程過(guò)程質(zhì)量得到良好控制。5級(jí)達(dá)到全部基本資格要求和基本能力要求，?執(zhí)行基本的安全工程過(guò)程，安全工程過(guò)程能力達(dá)到5級(jí)，使安全工程過(guò)程質(zhì)量實(shí)現(xiàn)優(yōu)化運(yùn)作。表7-2提出了實(shí)現(xiàn)某級(jí)資質(zhì)所必須達(dá)到的基本要求；服務(wù)組織根據(jù)自身情況可實(shí)現(xiàn)更多或更高的要求。表7-2安全服務(wù)資質(zhì)等級(jí)要求資質(zhì)等級(jí)基本資格要求基本能力要求安全工程能力級(jí)別其他補(bǔ)充要求1級(jí)全部滿足基本滿足不同服務(wù)類型可裁剪1級(jí)不同服務(wù)類型可裁剪無(wú)2級(jí)全部滿足滿足不同服務(wù)類型可裁剪2級(jí)不同服務(wù)類型可裁剪針對(duì)性補(bǔ)充要求3級(jí)全部滿足滿足不同服務(wù)類型可裁剪3級(jí)不同服務(wù)類型可裁剪針對(duì)性補(bǔ)充要求4級(jí)全部滿足滿足不同服務(wù)類型可裁剪4級(jí)不同服務(wù)類型可裁剪針對(duì)性補(bǔ)充要求5級(jí)全部滿足滿足不同服務(wù)類型可裁剪5級(jí)不同服務(wù)類型可裁剪針對(duì)性補(bǔ)充要求7.3不同資質(zhì)等級(jí)可從事的安全服務(wù)根據(jù)國(guó)家法律、法規(guī)和有關(guān)主管部門(mén)對(duì)具體資質(zhì)等級(jí)要求的規(guī)定執(zhí)行。.綜合考慮原則：信息安全服務(wù)資質(zhì)等級(jí)的劃分必須對(duì)組織的綜合能力進(jìn)行考察，它主要與組織的資格狀況、技術(shù)實(shí)力、信息安全工程過(guò)程能力等級(jí)以及其他要求有關(guān)。.與現(xiàn)行國(guó)家有關(guān)主管部門(mén)頒布的法律、法規(guī)、規(guī)章、制度相一致的原則：安全策略要保持與現(xiàn)行的法律、法規(guī)、規(guī)章、制度相一致，不能相抵觸。.與我國(guó)已發(fā)布或即將發(fā)布的有關(guān)信息安全的標(biāo)準(zhǔn)相一致的原則：我國(guó)已發(fā)布許多與安全服務(wù)有關(guān)的的標(biāo)準(zhǔn)，本評(píng)估準(zhǔn)則的資質(zhì)等級(jí)劃分必須與這些標(biāo)準(zhǔn)相一致。.與組織的基本能力水平緊密結(jié)合的原則：一個(gè)組織的基本能力是評(píng)估其資質(zhì)等級(jí)的基本要求，有些基本能力要求可能決定一個(gè)組織是否具備參與資質(zhì)評(píng)定的資格。.與信息安全服務(wù)工程過(guò)程能力等級(jí)緊密結(jié)合的原則：工程過(guò)程能力等級(jí)是反映組織實(shí)施工程的成熟程度，是評(píng)定資質(zhì)的重要依據(jù)。.可裁剪原則：安全服務(wù)有多種類型，對(duì)不同類型的安全服務(wù)可進(jìn)行適當(dāng)?shù)牟眉簟?可操作性原則具有實(shí)際操作的可行性。提供信息安全服務(wù)的基本資格要求提供信息安全服務(wù)的組織必須是一個(gè)獨(dú)立的實(shí)體，具有工商行政管理部門(mén)發(fā)給的合法的營(yíng)業(yè)執(zhí)照。必須獲得國(guó)家有關(guān)信息安全主管部門(mén)發(fā)給的從事信息安全服務(wù)的資格證書(shū)。從事涉密（國(guó)家秘密）網(wǎng)絡(luò)信息系統(tǒng)安全服務(wù)的組織必須獲得國(guó)家安全主管部門(mén)的批準(zhǔn)。采用商密信息產(chǎn)品進(jìn)行安全系統(tǒng)集成的組織必須獲得國(guó)家安全主管部門(mén)的批準(zhǔn)。必須遵守國(guó)家現(xiàn)行法律、法規(guī)的規(guī)定。提供信息安全服務(wù)的基本能力要求組織與管理要求從事信息安全服務(wù)的組織：必須擁有健全的組織結(jié)構(gòu)和管理體系，為持續(xù)的信息安全服務(wù)提供保證。應(yīng)制定符合國(guó)家保密機(jī)關(guān)要求的工作保密制度和相關(guān)的組織監(jiān)管體系。所有成員要簽定保密合同，并遵守有關(guān)法律法規(guī)。技術(shù)能力要求從事信息安全服務(wù)的組織，應(yīng)：了解信息安全技術(shù)的最新動(dòng)向，有能力掌握信息安全的最新技術(shù)。具有不斷的技術(shù)更新能力。523具有對(duì)信息系統(tǒng)所面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識(shí)別、分析和提供防范措施的能力。須能根據(jù)對(duì)用戶信息系統(tǒng)風(fēng)險(xiǎn)的分析，向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度。具有對(duì)發(fā)生的突發(fā)性安全事件進(jìn)行分析和解決的能力。從事安全系統(tǒng)集成和相關(guān)咨詢的組織應(yīng)具有足夠的技術(shù)力量，對(duì)市場(chǎng)的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略和安全解決方案、及安全產(chǎn)品的系統(tǒng)集成的能力。應(yīng)具有足夠的技術(shù)力量，根據(jù)服務(wù)業(yè)務(wù)的需求開(kāi)發(fā)信息安全應(yīng)用、產(chǎn)品或支持性工具的能力。系統(tǒng)集成商應(yīng)有對(duì)集成的系統(tǒng)進(jìn)行檢測(cè)和驗(yàn)證的能力。有能力對(duì)信息安全系統(tǒng)進(jìn)行有效的維護(hù)。有跟蹤、了解、掌握、應(yīng)用國(guó)際、國(guó)家和行業(yè)標(biāo)準(zhǔn)的能力。人員構(gòu)成與素質(zhì)要求從事信息安全服務(wù)的組織應(yīng)具有充足的人力資源和合理的人員結(jié)構(gòu)。所有與信息安全服務(wù)有關(guān)的管理和銷售人員等應(yīng)具有基本的信息安全知識(shí)。應(yīng)有一批相對(duì)穩(wěn)定的技術(shù)隊(duì)伍。技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息安全基礎(chǔ)理論和核心技術(shù),并有足夠的專業(yè)工作經(jīng)驗(yàn)。設(shè)備、設(shè)施與環(huán)境要求從事信息安全的組織，應(yīng)：具有固定的工作場(chǎng)所，良好的工作環(huán)境。具有先進(jìn)的開(kāi)發(fā)、測(cè)試或模擬環(huán)境。具有先進(jìn)的開(kāi)發(fā)、生產(chǎn)和測(cè)試設(shè)備。具有實(shí)施相關(guān)服務(wù)的必需的開(kāi)發(fā)、生產(chǎn)和測(cè)試工具。規(guī)模與資產(chǎn)要求從事信息安全的組織，應(yīng)：有足夠的注冊(cè)資金和充足的流動(dòng)資金。建立與所承擔(dān)的業(yè)務(wù)范圍和工程規(guī)模相適應(yīng)的服務(wù)體系。有足夠的人員從事直接與信息安全服務(wù)相關(guān)的活動(dòng)。業(yè)績(jī)要求從事信息安全的組織，應(yīng)具有與申請(qǐng)資質(zhì)相符的從業(yè)經(jīng)歷，主?？疾椋簭臉I(yè)時(shí)間工程或項(xiàng)目規(guī)模工程或項(xiàng)目數(shù)量工程或項(xiàng)目質(zhì)量合作項(xiàng)目參與程度完成結(jié)果評(píng)價(jià)質(zhì)量保證要求7.1提供信息系統(tǒng)安全工程服務(wù)的組織要求通過(guò)“信息系統(tǒng)安全工程質(zhì)量管理要求”；7.2提供信息系統(tǒng)安全咨詢培訓(xùn)服務(wù)的組織要求通過(guò)經(jīng)裁剪的“信息系統(tǒng)安全工程質(zhì)量管理要求”；裁剪原則應(yīng)與業(yè)務(wù)范圍和控制環(huán)節(jié)相一致。培訓(xùn)要求提供培訓(xùn)服務(wù)的服務(wù)組織應(yīng)：有獨(dú)立的法人資格；有固定的培訓(xùn)場(chǎng)所，良好的培訓(xùn)環(huán)境；有相應(yīng)培訓(xùn)設(shè)備；培訓(xùn)人員要有培訓(xùn)資格證書(shū)。信息安全工程過(guò)程及能力級(jí)別概述信息安全工程是一組與信息安全相關(guān)的工程過(guò)程的集合，在應(yīng)用到系統(tǒng)和應(yīng)用的開(kāi)發(fā)、集成、操作、管理、維護(hù)和改進(jìn)等整個(gè)生命期中，應(yīng)滿足一組安全要求并能在系統(tǒng)中得到體現(xiàn)。信息安全工程至少包括以下11個(gè)基本過(guò)程，評(píng)估安全對(duì)系統(tǒng)的影響；評(píng)估系統(tǒng)面臨的安全威脅；評(píng)估系統(tǒng)的安全弱點(diǎn)；評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)；確定系統(tǒng)的安全需求；為系統(tǒng)提供必要的安全信息；監(jiān)測(cè)系統(tǒng)的安全狀況；管理系統(tǒng)的安全控制；安全協(xié)調(diào)；檢驗(yàn)并證實(shí)安全性；建立并提供安全性保證證據(jù)。信息安全工程過(guò)程的能力級(jí)別是用于評(píng)價(jià)組織完成已定義的安全工程過(guò)程的能力，直接反映組織的成熟程度。能力級(jí)別按成熟性排序，表示依次增加的組織能力。本標(biāo)準(zhǔn)將信息安全服務(wù)組織的工程能力分為五個(gè)級(jí)別，即：1級(jí)：基本執(zhí)行級(jí)；2級(jí)：計(jì)劃跟蹤級(jí)；3級(jí)：充分定義級(jí)；4級(jí)：量化控制級(jí)；5級(jí)：連續(xù)改進(jìn)級(jí)。本標(biāo)準(zhǔn)并不提出執(zhí)行過(guò)程的特殊要求。組織可以按所選擇的任何方式和順序，自由地計(jì)劃、定義、控制、跟蹤和改進(jìn)他們的過(guò)程。然而高級(jí)別能力依賴于低級(jí)別能力，因此組織在達(dá)到高級(jí)別之前必須滿足低級(jí)別的要求。信息安全工程過(guò)程要求2.1評(píng)估安全對(duì)系統(tǒng)的影響本過(guò)程目的在于確認(rèn)實(shí)施的安全工程對(duì)系統(tǒng)造成的影響，并對(duì)發(fā)生影響的可能性進(jìn)行評(píng)估。包括以下一些活動(dòng)：.對(duì)在系統(tǒng)中起關(guān)鍵作用的運(yùn)行、商務(wù)或任務(wù)能力進(jìn)行確定、分析和按優(yōu)先級(jí)排列。.對(duì)支持系統(tǒng)的關(guān)鍵運(yùn)行能力或安全目標(biāo)的系統(tǒng)資產(chǎn)（資源和數(shù)據(jù)）進(jìn)行確定和特征化。通過(guò)對(duì)給定環(huán)境中提供這種支持的每項(xiàng)資產(chǎn)的意義進(jìn)行評(píng)估，來(lái)定義每項(xiàng)資產(chǎn)。.選擇用于評(píng)估影響的度量。.標(biāo)識(shí)所選影響的評(píng)估度量以及（若需要）度量轉(zhuǎn)換因子之間的關(guān)系。.利用多重度量或統(tǒng)一度量的合適方法對(duì)意外事件的影響進(jìn)行識(shí)別和特征化。.監(jiān)視影響的變化。2.2評(píng)估系統(tǒng)面臨的安全威脅本過(guò)程的目的在于確定系統(tǒng)面臨的安全威脅及其性質(zhì)和特征。包括以下活動(dòng)：.識(shí)別由自然原因引起的威脅。.識(shí)別由人為原因引起的威脅。.識(shí)別特定環(huán)境中適當(dāng)?shù)臏y(cè)量方法和適用范圍。.評(píng)估由人為原因引起的威脅的動(dòng)因和效力。.評(píng)估出現(xiàn)威脅事件的可能性。.監(jiān)視各種威脅及其特征的變化趨勢(shì)。2.3評(píng)估系統(tǒng)的安全弱點(diǎn)本過(guò)程的目的在于識(shí)別和特征化系統(tǒng)本身的安全脆弱性。其中包括分析系統(tǒng)資產(chǎn)、定義特殊的脆弱性以及提供對(duì)整個(gè)系統(tǒng)脆弱性的評(píng)估。以掌握在確定環(huán)境中系統(tǒng)的安全脆弱性。包括以下活動(dòng)：.選擇對(duì)確定環(huán)境中系統(tǒng)安全脆弱性進(jìn)行標(biāo)識(shí)和特征化的方法、技術(shù)和標(biāo)準(zhǔn)。.識(shí)別系統(tǒng)安全脆弱性。.收集與脆弱性相關(guān)的數(shù)據(jù)。.評(píng)估由特定脆弱性及其組合所產(chǎn)生的系統(tǒng)脆弱性和脆弱性總和。.監(jiān)視脆弱性及其特征的變化趨勢(shì)。評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)本過(guò)程的目的是確定在給定環(huán)境中，與某一系統(tǒng)有依賴關(guān)系的安全風(fēng)險(xiǎn)。尤其是識(shí)別和評(píng)估出現(xiàn)暴露的可能性，以掌握對(duì)給定環(huán)境中運(yùn)行該系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)，并按照給定的方法對(duì)風(fēng)險(xiǎn)問(wèn)題進(jìn)行優(yōu)先級(jí)排序。包括以下活動(dòng)：.選擇用于分析、評(píng)估和比較給定環(huán)境中系統(tǒng)安全風(fēng)險(xiǎn)所依據(jù)的方法、技術(shù)和準(zhǔn)則。.識(shí)別威脅/脆弱性/影響三者的組合（暴露），掌握這些威脅和脆弱性的利害關(guān)系，確定出現(xiàn)威脅和脆弱性將造成的影響。.評(píng)估與每個(gè)暴露有關(guān)的風(fēng)險(xiǎn)，確定一個(gè)暴露出現(xiàn)的可能性。.評(píng)估與該暴露風(fēng)險(xiǎn)有關(guān)的總體不確定性。.按優(yōu)先級(jí)對(duì)風(fēng)險(xiǎn)進(jìn)行排列。.監(jiān)視各種風(fēng)險(xiǎn)及其特征的變化趨勢(shì)。2.5確定系統(tǒng)的安全需求本過(guò)程的目的在于確定系統(tǒng)的安全需求。涉及到為系統(tǒng)安全定義基本原則，以及有關(guān)的法律、策略和組織需求，并實(shí)現(xiàn)組織內(nèi)部以及顧客對(duì)安全需求達(dá)成共識(shí)。包括以下活動(dòng)：.理解顧客對(duì)安全的需求，收集所有用于全面理解顧客安全需求所需的信息。.為給定系統(tǒng)確定法律、策略、標(biāo)準(zhǔn)、外部影響和約束。.確定系統(tǒng)的用途及其與安全的關(guān)聯(lián)性。.系統(tǒng)運(yùn)行安全的高層規(guī)劃。.定義系統(tǒng)的安全性。.定義與安全相關(guān)的需求。.達(dá)成滿足顧客要求的安全協(xié)議。2.6為系統(tǒng)提供必要的安全信息本過(guò)程的目的在于為系統(tǒng)的規(guī)劃者、設(shè)計(jì)者、實(shí)施者或用戶提供他們所需的安全信息。包括安全體系結(jié)構(gòu)、設(shè)計(jì)或?qū)嵤┻x擇以及安全指南。所有具有安全意義的系統(tǒng)問(wèn)題都應(yīng)受到檢查，并按照安全目標(biāo)的要求予以解決，所有項(xiàng)目組成員都理解安全問(wèn)題，選擇的解決方法應(yīng)反映出所提供的安全輸入。包括以下活動(dòng)：.確保設(shè)計(jì)者、開(kāi)發(fā)者和用戶對(duì)安全信息具有共同的理解。確定有科學(xué)依據(jù)的工程選擇所需的安全約束和考慮。確定與安全相關(guān)的工程問(wèn)題的解決辦法。利用安全約束和考慮來(lái)分析和區(qū)分工程選項(xiàng)的優(yōu)先級(jí)。向其它工程組提供與安全相關(guān)的指南。為系統(tǒng)的用戶和管理員提供與安全相關(guān)的指南。監(jiān)測(cè)系統(tǒng)的安全狀況本過(guò)程的目的是保證能確定并報(bào)告所有的安全違規(guī),并監(jiān)視外部和內(nèi)部環(huán)境可能影響系統(tǒng)安全的所有因素。包括以下活動(dòng)：.分析事件記錄，以確定一個(gè)事件的原因。檢測(cè)與安全相關(guān)的歷史和事件記錄（包括日志記錄）。.監(jiān)視威脅、脆弱性、影響、風(fēng)險(xiǎn)和環(huán)境方面的變化。識(shí)別與安全相關(guān)的突發(fā)事件。監(jiān)視安全防護(hù)措施的性能和有效性。檢查系統(tǒng)安全狀況以進(jìn)行必要的改正。管理對(duì)有關(guān)安全突發(fā)事件的響應(yīng)。保證與安全監(jiān)視有關(guān)的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)。2.8管理系統(tǒng)的安全控制本過(guò)程的目的在于保證集成到系統(tǒng)設(shè)計(jì)中的預(yù)期的系統(tǒng)安全性確實(shí)由最終系統(tǒng)在運(yùn)行狀態(tài)下達(dá)到。管理和維護(hù)開(kāi)發(fā)環(huán)境和運(yùn)行系統(tǒng)的安全控制機(jī)制所需要的活動(dòng)。保證在整個(gè)生命期內(nèi)不降低安全級(jí)別。包括以下活動(dòng)：.建立安全控制的職責(zé)和責(zé)任并通知到組織中的每一個(gè)人。管理系統(tǒng)安全控制的配置。管理所有用戶和管理員的培訓(xùn)和教育大綱，提高安全意識(shí)。對(duì)管理安全服務(wù)及控制機(jī)制進(jìn)行定期的維護(hù)。2.9安全性協(xié)調(diào)本過(guò)程的目的在于保證所有部門(mén)都有一種參與安全工程的意識(shí)。這種協(xié)調(diào)涉及到保持安全組織、其他工程組織和外部組織之間的開(kāi)放交流，使項(xiàng)目組的所有成員都具有并參與安全工程工作的意識(shí)，充分發(fā)揮他們的作用。包括以下活動(dòng)：.定義安全工程協(xié)調(diào)目標(biāo)和相互關(guān)系。確定安全工程的協(xié)調(diào)機(jī)制。促進(jìn)安全工程的協(xié)調(diào)。用確定的機(jī)制去協(xié)調(diào)有關(guān)安全的決定和建議。2.10檢驗(yàn)并證實(shí)安全性本過(guò)程的目的在于確保解決安全問(wèn)題的辦法已得到驗(yàn)證和證實(shí)。通過(guò)觀察、示范、分析和測(cè)試，依照安全需求、體系結(jié)構(gòu)和設(shè)計(jì)確認(rèn)解決辦法，依照顧客的運(yùn)行安全需求證實(shí)解決辦法。確保解決辦法滿足安全需求以及顧客運(yùn)行安全要求。包括以下活動(dòng)：.確定待驗(yàn)證和證實(shí)的解決辦法。2,定義驗(yàn)證和證實(shí)每種解決方案的方法和嚴(yán)密等級(jí)。.通過(guò)證明能滿足與上一抽象層相關(guān)的要求，最終滿足用戶的運(yùn)行安全要求，實(shí)現(xiàn)對(duì)解決辦法的證實(shí)。.為其它工程組收集驗(yàn)證和證實(shí)的結(jié)果。2.11建立并提供安全性保證證據(jù)本過(guò)程的目的是清楚地向顧客提供已滿足其安全需求的證據(jù)。保證證據(jù)是一系列聲明性保證目標(biāo)。這些目標(biāo)由多個(gè)不同來(lái)源和等級(jí)的抽象構(gòu)成的保證證據(jù)組成。本過(guò)程包括對(duì)與需求有關(guān)的保證進(jìn)行的識(shí)別和定義；證據(jù)的產(chǎn)生和分析；支持保證需求所需的附加證據(jù)；對(duì)所生成的證據(jù)進(jìn)行收集、打包并準(zhǔn)備隨時(shí)遞交。包括以下活動(dòng)：.確定安全保證目標(biāo)。.所有保證目標(biāo)定義一個(gè)安全保證策略。.確定并控制安全保證證據(jù)。.對(duì)安全保證證據(jù)進(jìn)行分析。.提供證明顧客安全需求得到滿足的安全保證性論據(jù)。6.3信息安全工程過(guò)程能力級(jí)別6.3.1基本執(zhí)行級(jí)處于本能力級(jí)別的組織是基于個(gè)人的知識(shí)和努力去執(zhí)行一些基本過(guò)程，而未經(jīng)嚴(yán)格的計(jì)劃和跟蹤。能提供的證據(jù)是該過(guò)程的工作產(chǎn)品（輸出）。由于缺乏適當(dāng)控制，工作產(chǎn)品的一致性、性能和質(zhì)量會(huì)存在極大的差異。6.3.1.1執(zhí)行過(guò)程此要求保證組織以某種方式執(zhí)行一些基本過(guò)程，從而為顧客提供工作產(chǎn)品和/或服務(wù)。6.3.2計(jì)劃跟蹤級(jí)處于本能力級(jí)別的組織計(jì)劃并跟蹤執(zhí)行本組織已定義的過(guò)程，驗(yàn)證是否執(zhí)行了特定的步驟,工作產(chǎn)品是否符合指定的標(biāo)準(zhǔn)和需求，測(cè)量用于跟蹤過(guò)程的執(zhí)行情況。組織能夠基于實(shí)際執(zhí)行活動(dòng)進(jìn)行管理。6.3.2.1制定過(guò)程執(zhí)行計(jì)劃過(guò)程執(zhí)行的計(jì)劃涉及到過(guò)程文檔的編制，執(zhí)行過(guò)程的相應(yīng)工具的提供、過(guò)程實(shí)施的計(jì)劃、過(guò)程執(zhí)行中的培訓(xùn)、過(guò)程資源的分配以及過(guò)程執(zhí)行的責(zé)任分配。6.3.2.2規(guī)范化執(zhí)行此要求注重于控制覆蓋過(guò)程的總數(shù)。需要列出過(guò)程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過(guò)程執(zhí)行、配置管理下依過(guò)程產(chǎn)生的工作產(chǎn)品。6.3.2.3驗(yàn)證執(zhí)行確認(rèn)過(guò)程按預(yù)定的方式執(zhí)行。涉及到驗(yàn)證執(zhí)行過(guò)程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致的以及對(duì)工作產(chǎn)品的審計(jì)。6.3.2.4跟蹤執(zhí)行此要求注重于組織控制項(xiàng)目進(jìn)展的能力。組織通過(guò)可測(cè)量的計(jì)劃跟蹤過(guò)程的執(zhí)行情況，當(dāng)過(guò)程實(shí)施與計(jì)劃產(chǎn)生重大偏離時(shí)應(yīng)采取糾正措施。6.3.3充分定義級(jí)處于本能力級(jí)別的組織執(zhí)行充分定義的過(guò)程。組織依據(jù)對(duì)已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過(guò)程進(jìn)行適當(dāng)裁減，來(lái)充分定義組織的過(guò)程。本級(jí)與級(jí)別2的主要區(qū)別在于利用組織范圍內(nèi)的標(biāo)準(zhǔn)過(guò)程來(lái)管理和規(guī)劃。6.3.3.1定義標(biāo)準(zhǔn)過(guò)程該要求注重于組織標(biāo)準(zhǔn)過(guò)程的制度化。一個(gè)組織的標(biāo)準(zhǔn)過(guò)程可能需要裁剪以適合特定環(huán)境的使用，因此，要求組織提出標(biāo)準(zhǔn)過(guò)程的文檔，并為滿足特定用途而對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行裁剪。6.3.3.2執(zhí)行已定義過(guò)程該要求注重于執(zhí)行充分定義過(guò)程的可重復(fù)性。要求組織使用制度化過(guò)程，并對(duì)有缺陷的過(guò)程結(jié)果和工作產(chǎn)品進(jìn)行復(fù)查，執(zhí)行過(guò)程并使用結(jié)果數(shù)據(jù)。6.3.3.3協(xié)調(diào)項(xiàng)目和組織活動(dòng)該要求注重項(xiàng)目和組織活動(dòng)的協(xié)調(diào)。大的工程通常由多個(gè)組協(xié)作完成，缺乏協(xié)調(diào)將會(huì)導(dǎo)致延誤和不可比對(duì)的結(jié)果。因此應(yīng)確定組內(nèi)、組間、組外活動(dòng)的協(xié)調(diào)。6.3.4定量控制級(jí)處于本能力級(jí)別的組織應(yīng)收集和分析執(zhí)行的詳細(xì)測(cè)量，獲得對(duì)過(guò)程能力和改進(jìn)能力的量化理解以預(yù)測(cè)執(zhí)行情況。這個(gè)級(jí)執(zhí)行的管理是客觀的，工作產(chǎn)品的質(zhì)量是量化的。這一級(jí)與充分定義級(jí)的主要區(qū)別在于定義的過(guò)程是定量的表示和控制。6.3.4.1建立可測(cè)量的質(zhì)量目標(biāo)該要求注重對(duì)組織所開(kāi)發(fā)的產(chǎn)品（包括工作產(chǎn)品）建立可測(cè)量的質(zhì)量目標(biāo)。6.3.4.2客觀地管理執(zhí)行該要求注重于確定過(guò)程能力的量化測(cè)量并使用量化測(cè)量來(lái)管理這一過(guò)程。提出了確定量化過(guò)程能力和以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)。6.3.5連續(xù)改進(jìn)級(jí)處于本能力級(jí)別的組織基于組織的商務(wù)目標(biāo)，并針對(duì)過(guò)程有效性和效率建立量化執(zhí)行目標(biāo)。通過(guò)執(zhí)行已定義的過(guò)程和有創(chuàng)見(jiàn)的新概念、新技術(shù)的量化反饋來(lái)保證對(duì)這些目標(biāo)進(jìn)行連續(xù)的過(guò)程改進(jìn)。這一級(jí)與定量控制級(jí)的主要區(qū)別在于已定義的過(guò)程和標(biāo)準(zhǔn)過(guò)程基于對(duì)這些過(guò)程變化效果的量化理解，進(jìn)行連續(xù)調(diào)整和改進(jìn),。6.3.5.1改進(jìn)組織能力該要求注重在整個(gè)組織范圍內(nèi)使用標(biāo)準(zhǔn)過(guò)程，并在同的使用中進(jìn)行比較。在使用這些過(guò)程時(shí),尋找改進(jìn)標(biāo)準(zhǔn)過(guò)程的機(jī)會(huì)，分析產(chǎn)生的缺陷以識(shí)別對(duì)標(biāo)準(zhǔn)過(guò)程的進(jìn)行改進(jìn)的可能