討論區主頁 資訊安全管理 軟體專案中的資訊安全管理之實作過程--ISO/IEC 15288與ISO/IEC 12207 | 無發表權 |
全部展開 | 前一個主題 | 下一個主題 |
發表者 | 討論內容 |
---|---|
tyrone | 發表時間: 2008-12-06 16:56 |
網站管理員 註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
軟體專案中的資訊安全管理之實作過程--ISO/IEC 15288與ISO/IEC 12207 在資訊安全管理成為顯學的此刻,有許多軟體產品與服務的獲取者,尤其是政府部門(含軍事單位)的獲取者,對於在軟體專案或軟體產品與服務的資訊安全管理議題,產生了濃厚的興趣,因此,常常會在相關之委外建置專案的建議徵求書(RFP)中述及此一議題,期使在未來的產品或服務獲取專案中,能將資訊安全做好。
相對於這樣的要求,對於工程管理或專案管理具相當理解的人員,或許會想要從一些業界最佳實務上下手,看看是否能夠找到一些具體的作法,當然CMMI-能力成熟度模型這個業界[既成標準(de-facto standard)]也會是被探求的對象之一,但是,要注意到的是,CMMI談的是產品發展、獲取(以及服務,在未來的版本中)等方面的「組織能力成熟度」,因此,其中的最佳實務是圍繞在所提出的幾個過程領域(PA)上。基於對核心課題的說明,有關於這些核心課題的資訊或資料的安全性,是比較隨性提及的。如果,以"security"做為關鍵字,可能可以找到一些相關的敘述,但這些相關的敘述均是落在CMMI框架中所謂的「期望(expected)」或「說明(informative)」之類的實務(常規)或子實務(子常規)之中,同時在資訊的管理上,就沒有明確地以「資訊管理」字眼方式陳述,而是在專案規劃(PP)中之SP 2.3 Plan for Data Management(此為「期望」履行的活動)來引導,其使用的字眼為"資料管理",所提列的典型工作產品,包括:Privacy requirements(隱私權需求)、Security requirements(安全性需求)、Security procedures(安全性程序)、Mechanism for data retrieval, reproduction, and distribution(資料檢索、重製、與分發的機制)、Schedule for collection of project data (專案資料蒐集的時程)等(以上為說明性之資訊,非要求)。而有關的子實務則如下: 1. Establish requirements and procedures to ensure privacy and security of the data. 建立確保資料私密性與安全性的需求與程序。 2. Establish a mechanism to archive data and to access archived data. 建立資料封存與存取封存資料的機制。 3. Determine the project data to be identified, collected, and distributed. 判定將予識別、蒐集、與分發的專案資料。 當然從資訊安全的角度上來看,CMMI對於資訊安全的要求並不夠全面,因為畢竟資訊安全管理在CMMI裡,並不是要角,就SEI而言,也無意讓CMMI中充滿了資安的議題,畢竟相對於資訊安全這個議題而言,亦已有SSE-CMM的框架問世。在CMMI中所提供的是一些可能的作為,而這些可能的作為,仍然需要透過一些”風險角度”的評斷,才能決定這些子常規是否須履行,以及履行的程度多深,畢竟,資安是一個花錢的課題,而且必須在風險應對的成本與效益之間取得平衡。 另外,我們應瞭解到的是,從相關的定義來看,資訊安全管理乃是資訊管理的一個部分,因此,當我們看專案中的資訊安全管理的問題時,應該從「資訊管理」的角度來看,或許可以找到更為完整、可以應用於專案之中的資訊管理過程。 在2008年版的ISO/IEC 15288 系統生命週期過程標準與ISO/IEC 12207 軟體生命週期過程標準中,均於6.3專案管理過程(Project Management Processes)的6.3.6資訊管理過程(Information Management Process)明確地對於系統生命週期間專案管理上的資訊管理,提供了目的、結果及資訊管理活動與工作的相關指引,而此資訊管理的範圍中,儘管用到"security"字眼的地方並不多,但確實涵蓋了資訊安全管理的相關工作,實可作為一般公司,即使未導入ISMS的情況下,亦能在專案之中,經由此資訊管理過程,達到一定的資訊安全管理程度。有關資訊管理的過程列示如下,其中,筆者將以括弧加注說明其與資訊安全管理的關聯性。 6.3.6 資訊管理過程 6.3.6.1 目的 資訊管理過程之目的在系統生命週期間或酌情於之後,提供相關、適時、完整、有效、若需要、機密的資訊給指定的各方。(目的包含資訊安全管理,保護資訊的機密性、完整性、可用性) 本過程在產生、蒐集、轉變、保存、檢索、傳播、廢棄資訊。其管理指定的資訊,包含技術性、專案、組織性、協議及使用者資訊。(此範圍較CMMI在資料管理所明示的範圍更加廣泛,當然對於CMMI而言,可能將資安管理議題散於各個PA中,但若對於資安議題缺乏完整之概念,則在實時各個PA、在專案或組織流程改善活動中,將可能遺漏了這些事項,因此最佳的方式,應該是從一完整的資訊管理角度切入,做全面性地規劃與執行,方能達成資訊管理與資訊安全管理的目標) 6.3.6.2 成果 資訊管理過程成功實作的結果為: (1) 將管理的資訊已識別。(這些會包括各個過程產生的資訊、產品資訊、專案管理資訊,諸如度量與分析、產品的功能性數據資料等等) (2) 資訊呈現的形式已定義。(以便能達成資訊的可用性與完整性) (3) 資訊已依需要轉變與處置。(達到機密性、完整性與可用性) (4) 資訊的狀態已記錄。(建立追溯性確保資訊與資料的完整性) (5) 資訊是最新、完整且有效的。(完整性) (6) 資訊已對指定的各方可用。(可用性) 備考:軟體文件管理過程是資訊管理過程的一項特化,包含在軟體支援過程群組中。 6.3.6.3 活動與工作 專案應依照可應用、關於資訊管理過程的組織政策與程序實作下列活動與工作。 備考:ISO/IEC 15289概述資訊項目(文件)需求,並提供其發展指導。 6.3.6.3.1 資訊管理規劃。本活動由下列各項工作所構成: 6.3.6.3.1.1 專案應定義在系統生命週期間將予管理,並依據組織政策或法令,於一定義的期間以上予以維護之資訊的項目。 6.3.6.3.1.2 專案應就資訊項目的發源、產生、擷取、封存及廢棄,指定權責與職責。 6.3.6.3.1.3 專案應定義與資訊項目之保存、傳送及存取有關的權利、義務及承諾。(與風險評鑑、風險管理有關,決定資訊如何管理、如何保護) 備考:該有的關心投注在資訊與資料法令、安全性及私密性,例如,所有權、協議的限定、存取權限、智慧財產與專利。於限定與限制條件應用之處,資訊需相應地予以識別。知曉此等資訊項目之職員,其義務與職責要被告知。 6.3.6.3.1.4 專案應定義資訊呈現、保存、傳送及檢索的內容、語意、格式與媒體。(與可用性、完整性及機密性的風險有關) 備考:資訊可以任何形式(例如,口語式、文字式、圖片式、數字式)發源與終止,且可使用任何媒介(例如,電子式、印刷式、磁性式、光學式)儲存、處理、複製、傳送。投注應有的關心於組織的限制條件,例如,基礎建設、組織際通訊、分散式專案運轉。相關的資訊儲存、轉變、傳送與呈現標準及慣例,要根據政策、協議及法律限制而使用。 6.3.6.3.1.5 專案應定義資訊維護措施。 備考:本工作包括就完整性、有效性及可用性,以及有所複製或轉變至替代性媒體之需求的儲存資訊狀態審查。考慮若非於技術變革時,保存基礎建設,以使封存的媒體能被讀取,即是使用新技術重新記錄封存媒體的需要。 6.3.6.3.2 資訊管理執行。本活動由下列各項工作所構成: 6.3.6.3.2.1 專案應取得已識別的資訊項目。 備考:本工作可包括產生資訊或自適的來源蒐集之。 6.3.6.3.2.2 專案應根據完整性、安全性與私密性的需求,維護資訊項目及其儲存的紀錄。(已含資訊之機密性、完整性與可用性要求) 備考:記錄資訊項目的狀態,例如,版本描述、分發紀錄、安全性分類。資訊宜為易讀的與可儲存的,且以易於使用設備檢索、提供適合的環境、預防損害、變質及損失的方式,予以保存。 6.3.6.3.2.3 專案應依商定時程或定義之情況的要求,檢索及分發資訊給指定的各方。(已含有機密性、完整性與可用性要求) 備考:資訊以適當的形式提供給指定的各方。 6.3.6.3.2.4 專案應依要求提供正式的文件。(可用性要求) 備考:正式文件的例子為證書、委任狀、機師執照及評鑑評等(rating)。 6.3.6.3.2.5 專案應依照稽核、知識留存及專案結案之目的,封存指定的資訊。(已含機密性、完整性與可用性的要求) 備考:依照規定的存與檢索週期、組織政策、協議與法令,選擇資訊的媒體、位置及保護措施。確保安排就位,以在專案結案後,留存必要的文件。 6.3.6.3.2.6 專案應根據組織政策、以及安全性與私密性需求,廢棄不欲、無效或未經查證之資訊。(已含機密性、完整性與可用性的要求) 從上列的資訊管理過程當中,我們亦可以瞭解到,在專案中的資訊管理應該履行的工作與應有的產出(成果),其具體包括了專案中之資訊安全管理的核心工作,當我們在進行專案的規劃時,對於想要做到的一些資訊安全管理工作,實可透過ISO/IEC 15288(同國家標準CNS 15008)或ISO/IEC 12207(同國家標準CNS 14837)中的6.3.6資訊管理過程的實作,來達成與檢驗相關管理的有效性。
凡所有相皆是虛妄。見諸相非相。即見如來。 |
全部展開 | 前一個主題 | 下一個主題 |
主旨: | 發表者 | 日期 |
---|---|---|
» 軟體專案中的資訊安全管理之實作過程--ISO/IEC 15288與ISO/IEC 12207 | tyrone | 2008-12-06 16:56 |
無發表權 | |