关于举办信息安全保障人员 《安全集成方向工程师》 （全国第四十四期）认证培训班的通知

IT领域从事技术设计、开发、集成、服务、管理等人员

对参加培训、通过考试，且符合《信息安全保障人员认证准则》要求的学员，由中国信息安全认证中心发给统一的“国家信息安全保障人员”认证证书。企业申请“信息系统安全集成服务资质认证”时，获证人员将被认定为符合要求的专业技术人员。

国家信息安全保障人员认证证书

信息系统安全集成
《教程纲要V3.0》


总量控制在180页左右
第一章 安全集成的业界标准与实践
信息系统集成包括：
网络—〉环境
应用—〉集成
资源—〉信息
基于风险的需求出发，两个方面：识别、处置。例如：日志
控制风险：绝对不能接受的事（法律法规）；有可能接受的风险（降低风险）
有无信息安全风险
相关的事（信息安全的）
威胁的事
已发生的事
可能发生的事
--〉事–〉事前（降低风险需求）、事中（实施措施）、事后（损失降低）
1.1基本概念
安全的集成：对现有信息系统的安全保障、加固，设计实施、应急、灾难恢复
集成的安全：定制的信息系统，建立安全的系统、应用需求的风险—〉安全的需求—〉开发安全工程
集成管理的安全：集成质量保障、集成过程的安全保障
1.1.1信息系统安全集成概念
1.1.2标准与标准化
1.2SSE-CMM标准及其演化进程介绍
1.2.1SSE-CMM概念
1.2.2SSE-CMM背景与发展
1.2.3SSE-CMM应用与意义
1.3 ISO20000（GB/T24405）与ISO27001（GB/T22080）标准介绍
1.3.3ISO20000与ISO27001背景与关系
1.3.1 ISO20000体系简介
1.3.2ISO27001体系简介
1.4安全集成服务资质认证实施规则
1.4.1概述（范围，标准，定义，也简介含信息安全和安全集成定义）
1.4.2资质要求
1.4.3过程要求
1.4.4评价要求
1.4.5认证模式与流程

第二章 解读安全集成服务资质认证实施规则
参考相关标准
1． 安全集成的定义及服务管理过程概述
1.1 安全集成概述
问题提出背景
安全集成定义
1.2 安全集成服务管理过程
1.3 安全集成分类
安全保证
安全加固
2． 安全集成准备工作的主要方法（4个过程11个细则）
2.1 安全集成准备的意义
2.2界定安全需求
2.3签定服务合同
2.4确定服务人员
2.5签订保密协议
3． 安全集成方案设计的主要方法（1个过程6个细则）
3.1 方案设计的原则
3.2安全方案设计
4． 安全集成建设实施的主要工作（3个过程15个细则）
4.1安全协调
4.2管理安全控制
4.3安全监控
5． 安全集成安全保证的主要内容（2个过程11个细则）
5.1安全保证的目的和意义
5.1建立保证论据
5.2验证和确认安全


第三章 解读SSE-CMM
需增加
第四章 相关法律法规
1、 结构
2、 典型的法律法规
第五章 确定安全需求与目标
准备工作的内容
不同情况分开：有无信息系统
1） 风险估计
2） 法律法规的相关要求
3） 关键业务的影响分析，哪些需应急？
4） 一般信息系统的分线评估
a) 定制信息系统的，数据需求、方案
b) 已有信息系统的
3.1概述
3.2组织IT战略与安全需求
3.2.1组织IT战略
3.2.1基于战略的组织安全需求
3.3组织业务与安全需求
3.3.1组织业务描述模型
3.3.2基于业务的组织安全需求
3.4符合性的安全需求
3.4.1法律法规要求（要特别注意国家制度要求，如等级保护、分级保护、行业指引等）
3.4.2安全监管要求
3.4.3合同业务要求
3.5基于风险的安全要求
3.5.1风险管理综述
3.5.2风险与安全需求
3.6确定组织的安全需求（安全需求的协商与确定过程）
3.7确定信息安全目标（协商具体的安全目标）

第六章 信息系统安全集成工程
设计与实施
安全保障方案
实施方案
设计要满足第二章、第三、四章的要求
4.1安全集成工程概述
4.2确定需求边界签署合同
4.3设计安全集成方案
4.3.1概念设计（初步设计）
4.3.2硬件与组建安全（硬件及二层以下网络）
4.3.3系统与网络安全（OA、Network）
4.3.4应用安全（含DB、WEB）
4.3.5用户安全（IT管理者、内部用户、外部用户）
4.3.6形成总体解决方案
4.4实施安全集成方案
4.4.1安全集成方案部署
4.4.2工程测试
4.4.3运行与维护
第七章 业务连续性设计
应急、恢复、测试方案
参考27001 A14 只讲设计
公司战略—〉业务—〉风险—〉要求
第八章 信息系统安全集成质量
人力、资源、技术保障
1） 含义
2） 模型和体系
a) 项目管理：过程管理、能力成熟度挂钩
b) 人力保障
c) 技术保障
d) 资源保障
4.1安全集成保障手段概述
4.1.1安全集成保障简介
4.1.2安全集成保障一般模型
4.1.3主要的安全集成保障手段介绍
4.2安全集成的管理保障
4.2.1安全集成管理的标准介绍
4.2.2安全集成管理的模型
4.2.3安全集成管理的示例
4.2.4人力资源体系-人才与培训
4.3安全集成技术保障
4.3.1安全集成技术保障概述
4.3.2安全集成技术架构
4.3.3安全集成技术组件分类
4.3.4安全集成技术架构示例
4.3.5安全保障技术与产品体系
4.4安全集成工程保障
4.4.1安全集成工程保障概述
4.4.2安全集成过程生命周期
4.4.3安全集成工程生命周期与过程域
4.4.4安全集成工程保障示例
4.4.5安全保障标准与法律系统

第九章 安全集成案例解析
1个案例就选定制的，或者是2个案例，两种情况各一个
1） 背景
a) 企业、业务、战略、关键的信息系统、对于信息系统的方案
2） 风险评估
a) 报告、设计方案、文档样张
3） 安全需求

1. 安全集成方案结构概述
1.1 安全集成方案的一般结构
2. 安全集成在电信行业中的应用实例
2.1 问题的提出
（目标、具体需求、设计原则）
2.2 方案设计过程
（网络设计、系统设计、功能设计等）
2.3 具体实施方案与项目测试
2.4 项目总结
3. 安全集成在其他行业中的应用实例
（政府/制造业/中小企业）
3.1 问题的提出
（目标、具体需求、设计原则）
3.2 方案设计过程
（网络设计、系统设计、功能设计等）
3.3 具体实施方案与项目测试
3.4 项目总结
4. 安全集成发展趋势与前景展望
4.1 技术发展趋势
4.2 各行业前景展望

1、万里冰，电子科技大学教师，中国信息安全认证中心《信息系统安全集成》首席讲师，团队负责人；主要从事电子信息系统应用与安全研究；参与九五攻关项目，获国防科技进步二等奖一项；主持和参与信产部生产发展基金“分布式防火墙系统”等项目20余项；讲授研究生“网络攻击技术”，“面向对象软件设计与分析”，“防火墙与病毒”等课程，编著《信息安全技术》、《信息系统安全集成》、《信息安全技术应用》等教材共5部。

2、傅翀，博士，毕业于电子科技大学，美国西北大学（Northwestern University）访问学者，研究方向为网络安全，隐私保护。先后任教于电子科技大学管理学院及电子科技大学计算机学院/信息与软件工程学院，讲授多门MBA课程及软件工程硕士课程，包括《软件项目管理》、《电子商务技术》、《信息安全概论》《信息技术管理》等。曾负责和参与多项国家级及横向课题项目的研究与开发工作，包括863项目，242项目,中兴/华为基金项目等。发表学术论文10余篇，撰写并申报多项技术专利。

3、秦潇潇，清华大学信息科学技术学院计算机科学与技术硕士，剑桥大学三一学院计算机科学与技术哲学硕士，高级讲师。目前任联想集团全球事业部产品部总经理/采购部部长，中国信息安全认证中心签约讲师，主讲信息安全技术、信息安全集成、IPV6等课程