免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2021年上半年 信息系统项目管理师 上午试卷 综合知识
  第62题      
  知识点:   信息安全系统管理和工程   定义级   能力成熟度模型   系统工程   信息安全
  章/节:   信息安全系统工程       

 
信息安全系统工程能力成熟度模型(ISSE-CM)中,( )属于充分定义级(Level 3级)的公共特性逻辑域。
 
 
  A.  对过程进行标准化,协调内外部的沟通
 
  B.  量化地确定已定义过程的过程能力
 
  C.  在执行过程域中,使用文档化的规划、标准或程序
 
  D.  通过改变组织的标准化过程,从而提高过程效能
 
 
 

 
  第16题    2017年下半年  
   39%
针对信息系统,安全可以划分为四个层次,其中不包括( )。
  第7题    2008年下半年  
   48%
下列选项中,(7)是最安全的信息系统。
  第17题    2017年上半年  
   44%
( )不能保障公司内部网络边界的安全。
   知识点讲解    
   · 信息安全系统管理和工程    · 定义级    · 能力成熟度模型    · 系统工程    · 信息安全
 
       信息安全系统管理和工程
        信息安全管理机构框架
        金盾工程中信息安全管理机构包括:
        .政府部门信息化领导小组。
        .政府部门信息化安全管理委员会。
        .安全专家组。
        .信息通信中心安全管理部门。
        .机要部门。
        .各部门信息安全组。
        .部门信息安全管理人员。
        企业信息安全的组织管理
        企业的信息安全管理包括:
        .单位领导级安全管理。
        .单位部门级安全管理。
        .系统级安全管理。
        .应用级安全管理。
        安全领导小组的主要职责包括:
        .负责与国家各级计算机信息系统安全主管部门建立日常工作关系。
        .定期向当地政府的信息安全监察部门报告本企业信息安全保护管理情况,及时报告重大安全事件。
        .组织、协调、指导计算机信息系统的安全开发工作。
        .组织并领导有关人员制订、评审本企业计算机信息系统安全策略、标准、安全工作流程、各种规章制度。
        .确定计算机信息系统各类人员的职责和权限。
        .审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
        系统安全管理人员的主要职责有:
        .负责应承当的日常安全工作。
        .遇到违法犯罪事件,应妥善保护案发现场,协助政府部门机关调查、取证。
        .对已证实的重大安全违规、违纪事件及泄密事件即时进行处理。
        .安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然。
        .负责定期向所属组织或机构的领导层汇报安全工作。
        人员安全主要包括以下内容:
        .人员审查。
        .岗位责任和授权。
        .人员培训。
        .人员考核。
        .签订保密合同。
        .人员调离。
        信息安全管理标准
        国家制订的一系列信息安全产品和密码产品的基本管理办法有:
        .中华人民共和国计算机安全保护条例
        .中华人民共和国商用密码管理条例
        .计算机信息网络国际联网管理暂行办法
        .计算机信息网络国际联网安全保护管理办法
        .计算机信息系统安全等级划分标准
        .电子签名法
        信息安全系统工程概述
        信息安全系统工程(ISSE)是一个发展中的技术学科领域,目前尚不存在准确的、业界一致认可的信息安全系统工程的定义。信息安全系统工程的主要目标有:
        .获得对企业安全风险的理解。
        .根据已识别的安全风险建立一组平衡的安全需求。
        .将安全需求转换成安全策略。
        .通过正确有效的安全机制建立抵制安全威胁和系统正常运营的保证。
        .动态监测和判断系统中和系统运行时出现的安全隐患和突发事件。
        .将所有科目和专业活动集成为一个具有共识的系统安全可信性工程。
        ISSE-CMM简介
        信息安全系统工程能力成熟度模型(ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法。它主要用于指导信息安全系统工程的完善和改进,使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。
        ISSE-CMM模型覆盖了:
        .整个生命期,包括工程开发、运行、维护和终止。
        .管理、组织和工程活动等。
        .与其他规范如系统、软件、硬件、人的因素、测试工程、系统工程、运行和维护等的相互作用。
        .与其他组织的相互作用。
        ISSE-CMM将信息安全系统工程实施过程分解为:
        .风险过程
        .工程过程
        .保证过程
        ISSE-CMM的体系结构采用二维设计,分别为:
        .“域”维:汇集了定义信息安全工程的所有实施活动,这些实施活动称为“过程区”。
        .“能力”维:代表组织能力,由过程管理能力和制度化能力构成。
        ISSE-CMM包含的5个能力成熟度级别为:
        .非正规实施级:一个组织或项目只是执行了包含基本实施的过程。
        .规划和跟踪级:着重于项目层面的定义、规划和执行问题。
        .充分定义级:着重于规范化地裁剪组织层面的过程定义。
        .量化控制级:着重于测量。
        .持续改进级:从前面各级的所有管理活动中获得发展的力量,并通过加强组织的文明保持这种力量。
 
       定义级
        在定义级,企业全面采用综合性管理及工程过程管理,对整个软件生命周期的管理与工程化过程都已标准化,并综合成软件开发企业标准的软件过程。企业标准软件过程通过证明是正确且实用的,所有开发的项目须根据标准过程,剪裁出与项目适宜的过程,并执行这些过程。
 
       能力成熟度模型
        能力成熟度模型(简称CMM)是对一个组织机构的能力进行成熟度评估的模型。成熟度级别一般分成五级:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。其中,级别越大,表示能力成熟度越高,各级别定义如下:
        . 1级-非正式执行:具备随机、无序、被动的过程;
        . 2级-计划跟踪:具备主动、非体系化的过程;
        . 3级-充分定义:具备正式的、规范的过程;
        . 4级-量化控制:具备可量化的过程;
        . 5级-持续优化:具备可持续优化的过程。
        目前,网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。
               SSE-CMM
               SSE-CMM(Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM包括工程过程类(Engineering)、组织过程类(Organization)、项目过程类(Project)。各过程类包括的过程内容如下表所示。
               
               SSE-CMM系统安全工程能力成熟度模型过程清单
               SSE-CMM的工程过程、风险过程、保证过程的相互关系如下图所示。
               
               SSE-CMM的工程过程、风险过程、保证过程关联图
               SSE-CMM的工程过程关系如下图所示。
               
               SSE-CMM的工程过程关联图
               SSE-CMM的工程质量来自保证过程,如下图所示。
               
               SSE-CMM的保证过程图
               数据安全能力成熟度模型
               根据《信息安全技术数据安全能力成熟度模型》,数据安全能力成熟度模型架构如下图所示。
               
               数据安全能力成熟度模型架构
               数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
               .组织建设——数据安全组织机构的架构建立、职责分配和沟通协作;
               .制度流程——组织机构关键数据安全领域的制度规范和流程落地建设;
               .技术工具——通过技术手段和产品工具固化安全要求或自动化实现安全工作;
               .人员能力——执行数据安全工作的人员的意识及专业能力。
               详细情况参考标准。
               软件安全能力成熟度模型
               软件安全能力成熟度模型分成五级,各级别的主要过程如下:
               . CMM1级——补丁修补;
               . CMM2级——渗透测试、安全代码评审;
               . CMM3级——漏洞评估、代码分析、安全编码标准;
               . CMM4级——软件安全风险识别、SDLC实施不同安全检查点;
               . CMM5级——改进软件安全风险覆盖率、评估安全差距。
 
       系统工程
        系统工程是从整体出发合理开发、设计、实施和运用系统科学的工程技术。它根据总体协调的需要,综合应用自然科学和社会科学中有关的思想、理论和方法,利用计算机作为工具,对系统的结构、元素、信息和反馈等进行分析,以达到最优规划、最优设计、最优管理和最优控制的目的。
        霍尔(A.D.Hall)于1969年提出了系统方法的三维结构体系,通常称之为霍尔三维结构,这是系统工程方法论的基础。霍尔三维结构以时间维、逻辑维、知识维组成的立体空间结构来概括地表示出系统工程的各阶段、各步骤以及所涉及的知识范围。也就是说,它将系统工程活动分为前后紧密相连的7个阶段和7个步骤,并同时考虑到为完成各阶段、各步骤所需的各种专业知识,为解决复杂的系统问题提供了一个统一的思想方法。
               逻辑维
               逻辑维是解决问题的逻辑过程。运用系统工程方法解决某一大型工程项目时,一般可分为7个步骤:
               (1)明确问题。通过系统调查,尽量全面地搜集有关的资料和数据,把问题讲清楚。
               (2)系统指标设计。选择具体的评价系统功能的指标,以利于衡量所供选择的系统方案。
               (3)系统方案综合。主要是按照问题的性质和总的功能要求,形成一组可供选择的系统方案,方案是按照问题的性质和总的功能要求,形成一组可供选择的系统方案。
               (4)系统分析。分析系统方案的性能、特点、对预定任务能实现的程度,以及在评价目标体系上的优劣次序。
               (5)系统选择。在一定的约束条件下,从各入选方案中择出最佳方案。
               (6)决策。在分析、评价和优化的基础上作出裁决并选定行动方案。
               (7)实施计划。这是根据最后选定的方案,将系统付诸实施。
               以上7个步骤只是一个大致过程,其先后并无严格要求,而且往往可能要反复多次,才能得到满意的结果。
               时间维
               时间维是系统的工作进程。对于一个具体的工程项目,从制定规划起一直到更新为止,全部过程可分为7个阶段:
               (1)规划阶段。即调研阶段,目的在于谋求活动的规划与战略。
               (2)拟定方案。提出具体的计划方案。
               (3)研制阶段。作出研制方案及生产计划。
               (4)生产阶段。生产出系统的零部件及整个系统,并提出安装计划。
               (5)安装阶段。将系统安装完毕,并完成系统的运行计划。
               (6)运行阶段。系统按照预期的用途开展服务。
               (7)更新阶段。即为了提高系统功能,取消旧系统而代之以新系统,或改进原有系统,使之更加有效地工作。
               知识维
               知识维是完成各阶段、各步骤所需的专业科学知识。系统工程除了要求为完成上述各步骤、各阶段所需的某些共性知识外,还需要其他学科的知识和各种专业技术,霍尔把这些知识分为工程、医药、建筑、商业、法律、管理、社会科学和艺术等。各类系统工程,如军事系统工程、经济系统工程、信息系统工程等,都需要使用其他相应的专业基础知识。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
   题号导航      2021年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第62题    在手机中做本题