综合 • 风险评估与分析－自上而下－确定风险与对策 • 安全管理要求－自下而上逐步综合验证 • 服务与机制－体系化－－经营管理是灵魂、技术服务是
基础、运行监控是关键，三位一体，缺一不可，相互补 充又相互促进 • 同步－策略
2
POSITIONING SECURITY CONSIDERATIONS
3
SDLC
4
RELATING SECURITY CONSIDERATIONS IN
INITIATION PHASE
5
RELATING SECURITY CONSIDERATIONS IN THE
DEVELOPMENT/ACQUISITION PHASE
6
RELATING SECURITY CONSIDERATIONS IN THE
17
IMPLEMENTATION/ASSESSMENT PHASE
7
8
RELATING SECURITY CONSIDERATIONS IN THE
DISPOSAL PHASE
9
SDLC security activity & reference matrix
10
11
TIERED RISK MANAGEMENT APPROACH
12
Applying the Risk Management Framework to Information Systems
13
14
Security Objectives & Interdependencies
15
Security Services Model
16
Security planes reflect the different types of network activities
信息系统生命周期 与信息安全风险管理
SDLC-IA
第一讲：基本原理
1
TIPs
• 安全思想决定安全工作思路－积极对消极 • 安全第一、预防为主、综合防范－思想和方针－－防为
上、救次之、戒为下 பைடு நூலகம் 风险管理－方法和工具－－有的放矢 • 需求分析－依据－－业务（安全）决定（信息安全）目
标，实现目标的风险决定安全体系建设需求 • 工作顺序－成败关键－－从上到下是分析、自下而上是