信息安全工程原理
16
项目管理的概念
❖ 什么是项目管理
▪ 项目的管理者,在有限的资源约束下,运用系统的 观点、方法和理论,对项目涉及的全部工作进行有 效地管理。即从项目的投资决策开始到项目结束的 全过程进行计划、组织、指挥、协调、控制和评价 ,以实现项目的目标
项目管理是系统工程思 想针对具体项目的实践
应用
17
项目管理的要素
▪ 系统工程不是基本理论,也不属于技术实现,而是 一种方法论
❖ 系统工程是软科学
▪ 不同于一般的工程技术学科,如水利工程、机械工 程等“硬”工程;系统工程偏重于工程的组织与经 营管理一类“软”科学的研究。
13
系统工程基础
❖ 霍尔三维结构图
知
识 维
工程技术
(
专 业
医学
、
行
社会科学
业
)
逻辑维(工作步骤)
❖ 1、项目范围管理
▪ 是为了实现项目的目标,对项目的工作内容进行控制 的管理过程。它包括范围的界定,范围的规划,范围 的调整等。
❖ 2、项目时间管理
▪ 是为了确保项目最终的按时完成的一系列管理过程。 它包括具体活动界定,活动排序,时间估计,进度安 排及时间控制等项工作。
❖ 3、项目成本管理
▪ 是为了保证完成项目的实际成本、费用不超过预算成 本、费用的管理过程。它包括资源的配置,成本、费 用的预算以及费用的控制等项工作。
▪ 以整体的、综合的、关联的、科学的、实践的观点来 看待研究对象
▪ 在解决一个具体项目时,它要求把项目或过程分成几 大步骤,而每个步骤又按一定的程序展开。这就保证 了系统思想在每个部分、每个环节上体现出来。
▪ 任何系统都是人、设备和过程的有机组合,其中人是 最主要的因素。因此在应用系统工程的方法处理系统 问题时,要以人为中心。
❖ 注重系统的目的和总体发展要求
▪ 业务的发展和稳定运行才是安全工程的根本目的,要坚持 “以安全保发展,以发展促安全”的原则
❖ 通过数学模型和逻辑模型来描述系统
▪ 系统工程在一个具体项目应用时,它要求把项目或过程分 成几大步骤,而每个步骤又按一定的程序展开。这就保证 了系统思想在每个部分、每个环节上体现出来。
信息安全工程原理
CISP运营中心 沈传宁
学习目标
❖ 理解信息安全建设必须同信息化建设“同步规划 、同步实施”的原则
❖ 理解如何运用信息安全能力成熟度模型理论评价 和改进信息安全工程能力
2
课程内容
安全工程 原理
知识体
安全工程 理论背景
安全工程能力 成熟度模型
知识域
系统工程与项目管理基础 质量管理基础 能力成熟度模型基础
18
项目管理的要素
❖4、 项目质量管理
▪ 是为了确保项目达到客户所规定的质量要求所实施的一系列管理 过程。它包括质量规划,质量控制和质量保证等。
❖5、 人力资源管理
▪ 是为了保证所有项目关系人的能力和积极性都得到最 有效地发挥和利用所做的一系列管理措施。它包括组 织的规划、团队的建设、人员的选聘和项目的班子建 设等一系列工作。
规划 计划
系统开发 制造
安装 运行
明系 系 系 最 决 实
确统 统 统 优 策 施
问指 综 分 化
计
题标 合 析
划
设
计
更新
14
系统工程特点
❖ 系统工程具有以下特点:
▪ 系统工程不同于一般的工程技术学科,如水利工程、 机械工程等“硬”工程;系统工程偏重于工程的组织 与经营管理一类“软”科学的研究。
▪ 系统工程涉及各种学科、各个领域的各种内容,因此 它是跨越不同学科的综合性科学。
SSE-CMM体系与原理 安全工程过程区域 安全工程能力评价
知识子域
3
知识域:安全工程理论背景
❖知识子域: 系统工程与项目管理基础
▪ 了解系统工程基本思想 ▪ 了解项目管理基本概念和要素
❖ 知识子域:质量管理基础
▪ 了解质量管理基本概念 ▪ 了解八项质量管理基本原则
❖ 知识子域:能力成熟度模型
▪ 理解“工程能力成熟度”基本思想 ▪ 了解能力成熟度模型的应用范围 ▪ 了解“过程能力方案”和“组织机构成熟度方案”
的区别
27
能力成熟度模型的来由
❖ 由质量管理工作发展出的概念“过程改进”,即 增加工作过程的能力
❖ 随着过程能力的提高,过程变得可预测和可度量 ,控制或消除造成质量低劣和生产率不高
❖ 需要一个结构化的架构来指导一个组织的过程改 进,即能力成熟度模型
28
能力成熟度模型的出发点
❖ 我参加CISP培训班之前自学了CISP知识体系的大部分内容 ,参加培训时不缺勤认真听讲,考前进行了充分的复习, 我相信我是可以通过考试的。因为我有高质量的学习过程 和很强的学习能力!
26
知识域:安全工程理论背景
❖知识子域: 系统工程与项目管理基础
▪ 了解系统工程基本思想 ▪ 了解项目管理基本概念和要素
❖ 知识子域:质量管理基础
▪ 了解质量管理基本概念 ▪ 了解八项质量管理基本原则
❖ 知识子域:能力成熟度模型
▪ 理解“工程能力成熟度”基本思想 ▪ 了解能力成熟度模型的应用范围 ▪ 了解“过程能力方案”和“组织机构成熟度方案”
国家发展改革委《关于加强国家电子政务工程建设项目 信息安全风险评估工作的通知》的中心思想是:电子政 务工程建设项目必须同步考虑安全问题,提供安全专项 资金,信息安全风险评估结论是项目验收的重要依据。
10
需要牢记在心的原则
❖ 安全工程是信息化建设必要的有机组成部分 ❖ 信息安全建设必须同信息化建设“同步规划、同
步实施” ❖ “重功能、轻安全”,“先建设、后安全”都是
信息化建设的大忌
11
信息安全工程可以参考的理论基础
❖ 系统工程思想 ❖ 项目管理方法 ❖ 质量管理体系 ❖ 能力成熟度模型
12
系统工程的概念
❖ 系统工程是一种方法论
▪ 钱学森:“系统工程是组织管理系统规划、研究、 制造、试验、使用的科学方法,是一种对所有系统 都具有普遍意义的科学方法”
❖ 9、项目集成管理
▪ 是指为确保项目各项工作能够有机地协调和配合所展 开的综合性和全局性的项目管理工作和过程。它包括 项目集成计划的制定,项目集成计划的实施,项目变 动的总体控制等。
20
知识域:安全工程理论背景
❖知识子域: 系统工程与项目管理基础
▪ 了解系统工程基本思想 ▪ 了解项目管理基本概念和要素
24
质量管理标准
❖ ISO9000:2000提出的八项质量管理原则
▪ 4)过程方法
通过对每项工作的标准维持来保证总体质量目标的实现 ,将相关的资源和活动作为过程进行管理,可以更高效 地取得预期结果
▪ 5)管理的系统方法
针对设定的目标,识别、理解并管理一个由相互关联的 过程所组成的体系,有助于提高组织的有效性和效率。 木水桶的围板原理。
6
信息化建设中的案例
❖ A公司开展家用电话自助刷卡支 付业务
❖ 用户可以通过其网站查询个人 付款信息
❖ 第三方安全测评发现该网站存在 SQL注入漏洞,可以泄露用户交 易信息
7
信息化建设中的案例(续)
❖ 当初外包开发此网站的公司 已经倒闭
❖ A公司技术人员对网站系统 开发情况不了解,没有能力 消除该漏洞。公司董事会研 究最终决定,为保护用户隐 私,暂时不再为用户提供网 上交易信息查询服务!
15
系统工程的思想
❖ 以人参与系统为研究对象
▪ 任何系统都是人、设备和过程的有机组合,其中人是最主要以人为中心
❖ 全面看待系统复杂性
▪ 系统工程以整体的、综合的、关联的、科学的、实践的观 点来看待研究对象,信息系统和信息安全的复杂性和动态 变化性,决定了建设者不能以局部的、片面的、孤立的、 主观的、教条的观点看待问题
8
安全工程的作用
❖ 信息系统的建设是一项系统工程,具有复杂性 ❖ 信息安全问题是信息系统与生俱来的 ❖ 安全工程是以最优费效比提供并满足安全需求
9
国家政策要求
《关于加强信息安全保障工作的意见》明确要求“信息 安全建设是信息化的有机组成部分,必须与信息化同步 规划、同步建设。各地区各部门在信息化建设中,要同 步考虑信息安全建设,保证信息安全设施的运行维护费 用。 ”
▪ 4.总结:不断地总结、评价质量管理体系,不断地改进质量 管理体系,使质量管理呈螺旋式上升。
23
质量管理标准
❖ ISO9000:2000提出的八项质量管理原则
▪ 1)以顾客为关注焦点
组织依赖于顾客,因此组织应该理解顾客当前的和未来的 需求,从而满足顾客要求并超越其期望。把顾客的满意作 为核心驱动力
22
质量管理标准
❖ 质量管理的标准
▪ ISO9000族标准并不是产品的技术标准,而是针对组织的管 理结构、人员、技术能力、各项规章制度、技术文件和内部 监督机制等一系列体现组织保证产品及服务质量的管理措施 的标准。
❖ ISO9000族标准从以下四个方面规范质量管理:
▪ 1.机构:标准明确规定了为保证产品质量而必须建立的管理 机构及职责权限。
❖ 什么是质量管理(QM) ▪ ISO9000:“质量管理是指全部管理职能的一个方面。该 管理职能负责质量方针的制订与实施。” ▪ 质量管理可以理解为为了实现质量目标,而进行的所有 管理性质的活动。 在质量方面的指挥和控制活动,通常 包括制定质量方针和质量目标以及质量策划、质量控制 、质量保证和质量改进。
❖6、 项目沟通管理
▪ 是为了确保项目的信息的合理收集和传输所需要实施 的一系列措施,它包括沟通规划,信息传输和进度报 告等。
19
项目管理的要素
❖ 7、项目风险管理
▪ 涉及项目可能遇到各种不确定因素。它包括风险识别 ,风险量化,制订对策和风险控制等。
