CISP-18-信息平安工程中國信息平安測評中心2009年12月知識體系介紹工程實(shí)施、管理與實(shí)踐平安工程根底知識體知識域平安工程模型與標(biāo)準(zhǔn)知識類信息平安工程信息安全工程監(jiān)理與實(shí)踐信息安全工程項(xiàng)目實(shí)施與管理系統(tǒng)工程基礎(chǔ)質(zhì)量管理基礎(chǔ)ISSE信息系統(tǒng)安全工程系統(tǒng)安全能力成熟度模型SSE-CMM能力成熟度模型基礎(chǔ)項(xiàng)目管理基礎(chǔ)信息系統(tǒng)平安保障評估框架-工程保障局部學(xué)習(xí)目標(biāo)了解系統(tǒng)工程、質(zhì)量管理、能力成熟度模型和工程管理根本概念可以用“信息系統(tǒng)平安工程”〔ISSE〕的方法考慮信息平安工程的實(shí)施理解并運(yùn)用“信息平安工程能力成熟度模型”〔SSE-CMM〕指導(dǎo)信息平安工程的實(shí)施掌握IT工程管理中的重要平安措施和實(shí)踐方法理解信息平安工程監(jiān)理的概念、意義和實(shí)踐方法一、信息平安工程根底平安工程根底系統(tǒng)工程根底質(zhì)量管理根底工程管理根底能力成熟度模型根底系統(tǒng)工程根底錢學(xué)森：“系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法，使一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法”以人參與系統(tǒng)為研究對象根據(jù)系統(tǒng)的目的和總體開展要求應(yīng)用自然科學(xué)和社會(huì)科學(xué)的思想、理論、方法和手段對系統(tǒng)功能和構(gòu)成要素、結(jié)構(gòu)、信息、控制進(jìn)行分析與綜合最終到達(dá)系統(tǒng)的圓滿實(shí)現(xiàn)系統(tǒng)工程不是根本理論，也不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論系統(tǒng)工程根底系統(tǒng)工程具有以下特點(diǎn)：系統(tǒng)工程不同于一般的工程技術(shù)學(xué)科，如水利工程、機(jī)械工程等“硬”工程；系統(tǒng)工程偏重于工程的組織與經(jīng)營管理一類“軟”科學(xué)的研究。系統(tǒng)工程涉及各種學(xué)科、各個(gè)領(lǐng)域的各種內(nèi)容，因此它是跨越不同學(xué)科的綜合性科學(xué)。以整體的、綜合的、關(guān)聯(lián)的、科學(xué)的、實(shí)踐的觀點(diǎn)來看待研究對象在解決一個(gè)具體工程時(shí)，它要求把工程或過程分成幾大步驟，而每個(gè)步驟又按一定的程序展開。這就保證了系統(tǒng)思想在每個(gè)局部、每個(gè)環(huán)節(jié)上表達(dá)出來。任何系統(tǒng)都是人、設(shè)備和過程的有機(jī)組合，其中人是最主要的因素。因此在應(yīng)用系統(tǒng)工程的方法處理系統(tǒng)問題時(shí)，要以人為中心。質(zhì)量管理根底質(zhì)量質(zhì)量指產(chǎn)品或效勞，滿足規(guī)定或需要的特征。它既包括有形產(chǎn)品也包括無形產(chǎn)品；既包括產(chǎn)品內(nèi)在的特性、也包括產(chǎn)品外在的特性。即包括了產(chǎn)品的適用性和符合性的全部內(nèi)涵。質(zhì)量控制〔QC〕是對生產(chǎn)的全部過程加以控制，是面的控制，不是點(diǎn)的控制。為保證產(chǎn)品過程或效勞質(zhì)量，必須采取一系列的作業(yè)、技術(shù)、組織、管理等有關(guān)活動(dòng)，這些都屬于質(zhì)量控制的范疇質(zhì)量管理〔QM〕它指對確定和到達(dá)質(zhì)量所必須的職能和活動(dòng)的管理，其管理職能主要是負(fù)責(zé)質(zhì)量方針政策的制訂和實(shí)施等質(zhì)量管理根底ISO9000族標(biāo)準(zhǔn)并不是產(chǎn)品的技術(shù)標(biāo)準(zhǔn)，而是針對組織的管理結(jié)構(gòu)、人員、技術(shù)能力、各項(xiàng)規(guī)章制度、技術(shù)文件和內(nèi)部監(jiān)督機(jī)制等一系列表達(dá)組織保證產(chǎn)品及效勞質(zhì)量的管理措施的標(biāo)準(zhǔn)。具體地講ISO9000族標(biāo)準(zhǔn)就是在以下四個(gè)方面標(biāo)準(zhǔn)質(zhì)量管理：1.機(jī)構(gòu)：標(biāo)準(zhǔn)明確規(guī)定了為保證產(chǎn)品質(zhì)量而必須建立的管理機(jī)構(gòu)及職責(zé)權(quán)限。2.程序：組織的產(chǎn)品生產(chǎn)必須制定規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、質(zhì)量手冊、質(zhì)量體系、操作檢查程序，并使之文件化。3.過程：質(zhì)量控制是對生產(chǎn)的全部過程加以控制，是面的控制，不是點(diǎn)的控制。從根據(jù)市場調(diào)研確定產(chǎn)品、設(shè)計(jì)產(chǎn)品、采購原材料，到生產(chǎn)、檢驗(yàn)、包裝和儲(chǔ)運(yùn)等，其全過程按程序要求控制質(zhì)量。并要求過程具有標(biāo)識性、監(jiān)督性、可追溯性。4.總結(jié)：不斷地總結(jié)、評價(jià)質(zhì)量管理體系，不斷地改進(jìn)質(zhì)量管理體系，使質(zhì)量管理呈螺旋式上升。工程管理根底所謂工程管理，就是工程的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對工程涉及的全部工作進(jìn)行有效地管理。即從工程的投資決策開始到工程結(jié)束的全過程進(jìn)行方案、組織、指揮、協(xié)調(diào)、控制和評價(jià)，以實(shí)現(xiàn)工程的目標(biāo)。工程管理的要素：質(zhì)量進(jìn)度本錢能力成熟度模型根底CMM–CapabilityMaturityModel現(xiàn)代統(tǒng)計(jì)過程控制理論說明通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低本錢地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點(diǎn)是都具有一組嚴(yán)格定義、管理完善、可測可控從而高度有效的業(yè)務(wù)過程；CMM模型抽取了這樣一組好的工程實(shí)踐并定義了過程的“能力”；能力成熟度模型過程能力方案：單個(gè)過程域或一系列過程域組織機(jī)構(gòu)可以靈活選擇改進(jìn)哪個(gè)過程域和改進(jìn)至什么程度組織機(jī)構(gòu)成熟度方案跨組織機(jī)構(gòu)的一系列已建立的過程域提供預(yù)定義的路線圖，組織機(jī)構(gòu)基于已驗(yàn)證的過程組和順序進(jìn)行改進(jìn)StagedML1ML2ML3ML4ML5ContinuousPAPA過程域能力012345PA能力級別和成熟度級別Continuous

Staged能力級別成熟度級別0IncompleteN/A1PerformedInitial2ManagedManaged3DefinedDefined4QuantitativelyManagedQuantitatively

Managed5OptimizingOptimizing常用的CMM模型SoftwareCMM staged softwaredevelopmentSystemEngineeringCMM continuous systemengineeringSystemEngineeringCapabilityModel continuous systemengineeringSoftwareAcquisitionCMM staged softwareacquisitionSystemSecurityEngineeringCMM continuous securityengineeringPersonalSoftwareProcess staged individualsoftwaredevelopmentFAA-iCMM continuous softwareengineering,systemsengineering,andacquisitionIPD-CMM hybrid integratedproductdevelopmentPeopleCMM staged workforceSPICEModel continuous softwaredevelopment 標(biāo)準(zhǔn)背景能力成熟模型應(yīng)用范疇CMM能力成熟模型SW-CMM軟件能力成熟模型SE-CMM系統(tǒng)工程能力成熟模型SSE-CMM信息系統(tǒng)平安工程能力成熟模型SSAM信息系統(tǒng)平安工程能力成熟性模型評估方法評定軟件工程汽車、照相機(jī)、手表和鋼鐵業(yè)平安工程。。。。。。。。。。。。二、ISSE信息系統(tǒng)平安工程SE-系統(tǒng)工程過程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM發(fā)掘需求定義系統(tǒng)要求定義系統(tǒng)體系結(jié)構(gòu)開發(fā)詳細(xì)設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)用戶/用戶代表評估有效性系統(tǒng)平安工程〔SSE〕SystemSecurityEngineering;是系統(tǒng)工程的一個(gè)子集，遵從系統(tǒng)工程的思想，包括一般性原那么和規(guī)律；系統(tǒng)平安工程的主要目標(biāo)是：了解企業(yè)現(xiàn)存的平安風(fēng)險(xiǎn)；根據(jù)已識別的平安風(fēng)險(xiǎn)建立一組平衡的平安需求；綜合各種工程學(xué)科的努力將平安需求轉(zhuǎn)化為貫穿系統(tǒng)生命周期的工程實(shí)施指南；通過正確有效的平安機(jī)制來保證平安系統(tǒng)的信任度到達(dá)組織的要求；確保系統(tǒng)的剩余風(fēng)險(xiǎn)在可容許的范圍之內(nèi)；涉及眾多層面的平安問題，與其他工程密切相關(guān)，如軟件工程等；系統(tǒng)生命周期中的ISSESA系統(tǒng)采購SE系統(tǒng)工程SSEISSE任務(wù)需求確實(shí)定概念研究和確定演示和確認(rèn)設(shè)計(jì)和制造產(chǎn)品/部署和運(yùn)行/支持確定平安能力需求分析平安要求和研究平安概念設(shè)計(jì)系統(tǒng)平安體系結(jié)構(gòu)實(shí)現(xiàn)平安設(shè)計(jì)并進(jìn)行系統(tǒng)平安測試實(shí)施平安操作和生命周期支持MS0MS1MS2MS3確定任務(wù)能力要求研究配選的系統(tǒng)概念系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)設(shè)計(jì)、制造、集成和測試系統(tǒng)運(yùn)行和生命周期支持使命需求明細(xì)〔MNS〕候選系統(tǒng)評審〔ASR〕系統(tǒng)要求評審〔SRRSFR〕根本設(shè)計(jì)評審、關(guān)鍵設(shè)計(jì)評審、系統(tǒng)驗(yàn)證評審〔PDR、CDR、SVR〕物理配置評審〔PCA〕三、系統(tǒng)平安能力成熟度模型SSE-CMM能力成熟度模型

SSE-CMM〔ISO/IECIS21827〕SSE-CMM概述系統(tǒng)平安工程能力成熟模型〔SystemsSecurityEngineeringCapabilityMaturityModel〕，描述了一個(gè)組織的系統(tǒng)平安工程過程必須包含的根本特征，這些特征是完善的平安工程保證，也是系統(tǒng)平安工程實(shí)施的度量標(biāo)準(zhǔn)，同時(shí)還是一個(gè)易于理解的評估系統(tǒng)平安工程實(shí)施的框架。目的促進(jìn)平安工程成為一個(gè)確定的、成熟的和可度量的學(xué)科：通過區(qū)分投標(biāo)者的能力級別和相關(guān)的方案風(fēng)險(xiǎn)來選擇合格的平安工程提供商；工程組把投資集中在平安工程工具、培訓(xùn)、過程定義、管理實(shí)施和改進(jìn)上；基于能力的保證，也就是說，信賴是基于對工程組織平安工程實(shí)踐和過程成熟的信心SSE-CMM概述平安系統(tǒng)和工程的特性連續(xù)性-以前獲得的知識將用于將來重復(fù)性-保證工程可成功重復(fù)實(shí)施的方法高效率性-可幫助開發(fā)者和評價(jià)者都更有效率工作的方法保證-落實(shí)平安需求的信心期待結(jié)果改進(jìn)可預(yù)見性改進(jìn)可控制性改進(jìn)過程有效性平安工程對于任何工程活動(dòng)均是清晰定義的、可管理的、可測量的、可控制的并且是高效率的。SSE-CMM覆蓋范圍SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個(gè)生命周期的平安工程活動(dòng)，其中包括概念定義、需求分析、設(shè)計(jì)、開發(fā)、集成、安裝、運(yùn)行、維護(hù)和終止。整個(gè)組織，包括管理、組織和工程活動(dòng)等；與其它標(biāo)準(zhǔn)并行的相互作用，包括系統(tǒng)、軟硬件、人、測試工程、系統(tǒng)管理、運(yùn)行和維護(hù)等；與其它組織的相互作用，包括獲取、系統(tǒng)管理、認(rèn)證認(rèn)可和評估組織等；SSE-CMM可應(yīng)用于所有類型和大小的平安工程機(jī)構(gòu)，如商務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。SSE-CMM適用對象工程組織〔EngineeringOrganization〕包括系統(tǒng)集成商、應(yīng)用開發(fā)商、產(chǎn)品和效勞提供商；工程組織利用其對自己的工程能力進(jìn)行自我評估；采購組織〔AcquiringOrganization〕包括采購系統(tǒng)、產(chǎn)品以及從外部/內(nèi)部資源和最終用戶處獲取效勞的組織；采購組織通過其來判別一個(gè)供給者組織的的系統(tǒng)平安工程能力，識別該組織供給的產(chǎn)品和系統(tǒng)的可信任性；評估組織〔EvaluationOrganization〕包括認(rèn)證組織、系統(tǒng)授權(quán)組織、系統(tǒng)和產(chǎn)品評估組織等；評估組織使用SSE-CMM作為工作根底，以便建立被評估組織整體能力的信任度，該信任度是系統(tǒng)和產(chǎn)品的平安保證要素。SSE-CMM歷史1993年4月美國國家平安局〔NSA〕開始醞量1996年10月出版了SSE-CMM模型的第一個(gè)版本，1997年4月出版了評定方法的第一個(gè)版本。從1996年6月到1997年6月進(jìn)行許多實(shí)驗(yàn)工程1999年4月出版了第二版。目前，SSE-CMMV3.02002年，ISO/IECIS21827SSE-CMM根本概念過程〔Process〕為了到達(dá)某一給定目標(biāo)而執(zhí)行的一系列活動(dòng)，這些活動(dòng)可以重復(fù)、遞歸和并發(fā)的執(zhí)行；分為“充分定義過程”、“已定義過程”和“執(zhí)行過程”。過程區(qū)域〔PA，ProcessArea〕是由一些根本實(shí)踐〔BP，BasePractice〕組成的，這些BP共同實(shí)施以到達(dá)該P(yáng)A的目標(biāo)。這些BP是強(qiáng)制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標(biāo)；SSE-CMM包含三類過程區(qū)域：工程、工程和組織三類；過程能力〔ProcessCapability〕是通過跟蹤一個(gè)過程到達(dá)預(yù)期結(jié)果的可量化范圍；一個(gè)組織的過程能力可幫助組織預(yù)見工程到達(dá)目標(biāo)的能力，低能力組織的工程在到達(dá)預(yù)定的本錢、進(jìn)度、功能和質(zhì)量目標(biāo)上會(huì)有很大變化；SSE-CMM體系結(jié)構(gòu)SSE-CMM體系結(jié)構(gòu)設(shè)計(jì)的目標(biāo)是清晰的從管理和制度化特征中別離出平安工程的根本特征，采用域〔Domain〕和能力〔Capability〕的兩維結(jié)構(gòu)；橫軸“域維”聚集了定義平安工程的所有實(shí)踐活動(dòng)，包括大約60項(xiàng)根本實(shí)踐〔BP，BasePractice〕，這些BP又被組織成11個(gè)過程區(qū)域〔PA〕。11個(gè)PA可能出現(xiàn)在平安系統(tǒng)生命周期的各個(gè)階段，并不規(guī)定其先后順序；縱軸“能力維”代表組織能力，由過程管理與制度化能力構(gòu)成。共設(shè)置6個(gè)能力級別，每個(gè)能力級別由一組能夠反映過程能力變化的公共特征〔CF，CommonFeature〕來定義，這些CF適用于所有PA，每一個(gè)CF又可以由假設(shè)干項(xiàng)通用實(shí)踐〔GP，GenericPractice〕來描述。SSE-CMM模型目的：在整個(gè)平安工程范圍內(nèi)決定平安工程組織的成熟性兩維模型“域維”由所有定義的平安工程過程區(qū)構(gòu)成。這些實(shí)施活動(dòng)稱為“過程區(qū)”?！澳芰S”代表組織能力。這一維由過程管理和制度化能力構(gòu)成。這些實(shí)施活動(dòng)被稱作“公共特征”，可在廣泛的域中應(yīng)用。執(zhí)行一個(gè)公共特征是一個(gè)組織能力的標(biāo)志。通過設(shè)置這兩個(gè)相互依賴的維，SSE-CMM在各個(gè)能力級別上覆蓋了整個(gè)平安活動(dòng)范圍。如果給每個(gè)PA賦予一個(gè)能力級別評分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)平安工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其平安上的可信度。能力維（CapabilityDimension）公共特征（CommonFeatures）域維（DomainDimension）安全過程區(qū)（SecurityProcessAreas）公共特征2.4跟蹤執(zhí)行PA05評估脆弱性543210PA01PA02PA03PA04PA05能力級別安全過程區(qū)域能力維/公共特征SSE-CMM通過能力級別來確定組織執(zhí)行、控制、支持和監(jiān)視平安過程的成熟性；過程能力由一組通用實(shí)踐〔GP，GenericPractice〕來衡量，是對所有過程通用的，強(qiáng)調(diào)對一個(gè)過程的管理、度量和制度方面。能力維的GP按照成熟性排序，高級別的GP位于能力維的高端；GP被組成12個(gè)稱作公共特征〔CF，CommonFeature〕的邏輯域，每個(gè)CF包括一個(gè)或多個(gè)GP；為了表達(dá)能力級別，將GP劃分成5個(gè)等級，代表組織平安工程能力的不同層次；過程能力是用來度量各個(gè)過程區(qū)域PA的，而不是用來度量整個(gè)工程組織的，GP按其具有的公共特征和能力級別組織成三級結(jié)構(gòu)。能力維能力維能力級別加強(qiáng)任何過程能力的實(shí)現(xiàn)和制度化實(shí)施

一組實(shí)施列出管理和制度化過程的相同方面共同工作的一組公共特征主要加強(qiáng)執(zhí)行一個(gè)過程的能力公共特征通用實(shí)踐方案執(zhí)行標(biāo)準(zhǔn)化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過程協(xié)調(diào)平安實(shí)施執(zhí)行已定義的過程建立可測量的質(zhì)量目標(biāo)客觀地管理過程的執(zhí)行1非正式執(zhí)行2方案與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行根本實(shí)施改進(jìn)組織能力改進(jìn)過程的有效性能力級別

代表平安工程組織的成熟級別公共特征僅要求一個(gè)過程區(qū)域的所有根本實(shí)踐都被執(zhí)行，但對執(zhí)行的結(jié)果無明確要求；強(qiáng)調(diào)過程執(zhí)行前的方案和執(zhí)行中的檢查，使工程組織可以基于最終結(jié)果的質(zhì)量來管理其實(shí)踐活動(dòng)；要求過程區(qū)域包括的所有根本實(shí)踐均應(yīng)依照一組完善定義的操作標(biāo)準(zhǔn)來進(jìn)行，即“標(biāo)準(zhǔn)過程”；能夠?qū)こ探M織的表現(xiàn)進(jìn)行定量的度量和預(yù)測。過程管理成為客觀的和準(zhǔn)確的實(shí)踐活動(dòng)為過程行為的高效和實(shí)用建立定量目標(biāo)，可以準(zhǔn)確地度量過程持續(xù)改善所收到的效益。能力級別0：未實(shí)施

能力級別1：非正式實(shí)施公共特征1.1—執(zhí)行基本實(shí)施GP1.1.1—執(zhí)行過程能力級別2：計(jì)劃和跟蹤公共特征2.1—規(guī)劃執(zhí)行GP2.1.1—分派資源GP2.1.2—分配責(zé)任GP2.1.3—文檔化過程GP2.1.4—提供工具GP2.1.5—保證培訓(xùn)GP2.1.6—規(guī)劃過程公共特征2.2—規(guī)范化執(zhí)行GP2.2.1—使用計(jì)劃、標(biāo)準(zhǔn)和程序GP2.2.2—進(jìn)行配置管理公共特征2.3—驗(yàn)證執(zhí)行GP2.3.1—驗(yàn)證過程一致性GP2.3.2—審計(jì)工作產(chǎn)品公共特征2.4—跟蹤執(zhí)行GP2.4.1—使用測量跟蹤GP2.4.2—采取修正措施能力級別3：充分定義公共特征3.1–定義標(biāo)準(zhǔn)過程GP3.1.1–過程標(biāo)準(zhǔn)化GP3.1.2–裁剪標(biāo)準(zhǔn)過程公共特征3.2–執(zhí)行已定義過程GP3.2.1–使用充分定義的過程GP3.2.2–執(zhí)行缺陷復(fù)查GP3.2.3–使用充分定義的數(shù)據(jù)公共特征3.3–協(xié)調(diào)實(shí)施GP3.3.1–執(zhí)行組內(nèi)協(xié)調(diào)GP3.3.2–執(zhí)行組間協(xié)調(diào)GP3.3.3–執(zhí)行外部協(xié)調(diào)能力級別4：定量控制公共特征4.1–建立可測的質(zhì)量目標(biāo)GP4.1.1–建立質(zhì)量目標(biāo)公共特征4.2–客觀地管理執(zhí)行GP4.2.1–確定過程能力GP4.2.2–使用過程能力能力級別5：連續(xù)改進(jìn)公共特征5.1–改進(jìn)組織能力GP5.1.1–建立過程效力目標(biāo)GP5.1.2–連續(xù)改進(jìn)標(biāo)準(zhǔn)過程公共特征5.2–改進(jìn)過程有效性GP5.2.1–執(zhí)行因果分析GP5.2.2–消除缺陷原因GP5.2.3–連續(xù)改進(jìn)已定義過程域維/過程區(qū)域系統(tǒng)平安工程涉及到三類過程區(qū)域PA，即工程〔EngineeringPA〕、組織〔OrganizationPA〕和工程〔ProjectPA〕過程區(qū)域。組織和工程過程區(qū)域〔共11個(gè)〕并不直接同系統(tǒng)平安相關(guān)，在SE-CMM中定義，但常與SSE-CMM的11個(gè)工程過程區(qū)域一起用來度量系統(tǒng)平安隊(duì)伍的過程能力成熟度。SSE-CMM將工程過程區(qū)域分為三類，即風(fēng)險(xiǎn)過程、工程過程和保證過程；4個(gè)風(fēng)險(xiǎn)過程：PA04評估威脅，PA05評估脆弱性，PA02評估影響，PA03評估平安風(fēng)險(xiǎn)；5個(gè)工程過程：PA07，PA10，PA09，PA01，PA08；2個(gè)保證過程：PA11，PA06；并不定義各過程區(qū)域在系統(tǒng)平安工程生命周期中出現(xiàn)的順序，而是依照過程區(qū)域的英文字母順序編號；每個(gè)過程區(qū)域包括一組集成的根本實(shí)踐〔BP，BasePractice〕，BP定義了實(shí)現(xiàn)過程區(qū)域目標(biāo)的必要活動(dòng)，代表業(yè)界的最正確慣例。域維過程類域維BasePracticesBasePracticesBasePracticesBasePracticesBasePractices基本實(shí)踐ProcessAreasProcessAreasProcessAreas過程區(qū)工程和平安實(shí)施是平安工程過程中必須存在的性質(zhì)，指出特殊過程區(qū)的目的并屬于該過程區(qū)每個(gè)過程區(qū)〔PA〕是一組相關(guān)平安工程過程的性質(zhì)，當(dāng)這些性質(zhì)全部實(shí)施后那么能夠到達(dá)過程區(qū)定義的目的。一組過程區(qū)指出活動(dòng)的同一通用區(qū)工程過程區(qū)域核實(shí)和確認(rèn)平安〔VerifyandValidateSecurity〕PA11明確平安需求〔SpecifySecurityNeeds〕PA10提供平安輸入〔ProvideSecurityInput〕PA09監(jiān)視平安態(tài)勢〔MonitorSecurityPosture〕PA08協(xié)調(diào)平安〔CoordinateSecurity〕PA07建立保證論據(jù)〔BuildAssuranceArgument)PA06評估脆弱性〔AssessVulnerability〕PA05評估威脅〔AssessThreat〕PA04評估平安風(fēng)險(xiǎn)〔AssessSecurityRisk)PA03評估影響〔AssessImpact〕PA02管理平安控制〔AdministerSecurityControls〕PA01風(fēng)險(xiǎn)過程工程過程保證過程平安工程SSE-CMM將平安工程劃分為三個(gè)根本的過程區(qū)域：風(fēng)險(xiǎn)，工程，保證風(fēng)險(xiǎn)過程：是要確定產(chǎn)品或者系統(tǒng)的危險(xiǎn)性，并對這些危險(xiǎn)性進(jìn)行優(yōu)先級排序工程過程：是針對面臨的危險(xiǎn)性，平安工程過程與相關(guān)工程過程一起來確定并實(shí)施解決方案保證過程：是建立起對解方案的信任，并把這種信任傳達(dá)給用戶平安工程過程保證論據(jù)風(fēng)險(xiǎn)信息產(chǎn)品或效勞工程過程Engineering保證過程Assurance風(fēng)險(xiǎn)過程Risk風(fēng)險(xiǎn)PA04：評估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風(fēng)險(xiǎn)信息PA05：評估脆弱性PA02：評估影響PA03：評估平安風(fēng)險(xiǎn)風(fēng)險(xiǎn)就是有害事件發(fā)生的可能性一個(gè)有害事件有三個(gè)局部組成：威脅、脆弱性和影響。工程平安工程與其它科目一樣，它是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測試、部署、運(yùn)行、維護(hù)、退出的完整過程。SSE-CMM強(qiáng)調(diào)平安工程是一個(gè)大的工程隊(duì)伍中的一局部，需要與其它科目工程師的活動(dòng)相互協(xié)調(diào)。PA10指定平安要求需求、策略等配置信息解決方案、指導(dǎo)等風(fēng)險(xiǎn)信息PA08監(jiān)視平安態(tài)勢PA07協(xié)調(diào)平安PA01管理平安控制PA09提供平安輸入保證證據(jù)證據(jù)保證論據(jù)PA11驗(yàn)證和證實(shí)平安指定平安要求其他多個(gè)PAPA06建立保證論據(jù)保證是指平安需要得到滿足的信任程度SSE-CMM的信任程度來自于平安工程過程可重復(fù)性的結(jié)果質(zhì)量。PA01-管理安全控制BP01.01建立安全職責(zé)BP01.02管理安全配置BP01.03管理安全意識、培訓(xùn)和教育大綱BP01.04管理安全服務(wù)及控制機(jī)制PA02-評估影響B(tài)P02.01對影響進(jìn)行優(yōu)先級排列BP02.02識別系統(tǒng)資產(chǎn)BP02.03選擇影響的度量標(biāo)準(zhǔn)BP02.04標(biāo)識度量標(biāo)準(zhǔn)關(guān)系BP02.05識別和特征化影響B(tài)P02.06監(jiān)視影響PA03-評估安全風(fēng)險(xiǎn)BP03.01選擇風(fēng)險(xiǎn)分析方法BP03.02識別暴露BP03.03評估暴露的風(fēng)險(xiǎn)BP03.04評估總體不確定性BP03.05風(fēng)險(xiǎn)優(yōu)先級排列BP03.06監(jiān)視風(fēng)險(xiǎn)及其特征PA04-評估威脅BP04.01識別自然威脅BP04.02識別人為威脅BP04.03識別威脅的測量塊BP04.04評估威脅影響的效力BP04.05評估威脅的可能性BP04.06監(jiān)視威脅及其特征PA05-評估脆弱性BP05.01選擇脆弱性分析方法BP05.02識別脆弱性BP05.03收集脆弱性數(shù)據(jù)BP05.04合成系統(tǒng)脆弱性BP05.05監(jiān)視脆弱性及其特定PA06-建立保證論據(jù)BP06.01識別保證目標(biāo)BP06.02定義保證策略BP06.03控制保證證據(jù)BP06.04分析證據(jù)BP06.05提供保證論據(jù)平安根本實(shí)踐PA07-協(xié)調(diào)安全BP07.01定義協(xié)調(diào)目標(biāo)BP07.02識別協(xié)調(diào)機(jī)制BP07.03促進(jìn)協(xié)調(diào)BP07.04協(xié)調(diào)安全決定和建議PA08-監(jiān)視安全態(tài)勢BP08.01分析事件記錄BP08.02監(jiān)視變化BP08.03識別安全突發(fā)事件BP08.04監(jiān)視安全防護(hù)措施BP08.05檢查安全態(tài)勢BP08.06管理安全突發(fā)事件響應(yīng)BP08.07保護(hù)安全監(jiān)視的記錄數(shù)據(jù)PA09-提供安全輸入BP09.01理解安全輸入要求BP09.02確定安全約束和考慮BP09.03識別安全選項(xiàng)BP09.04分析工程選項(xiàng)的安全性BP09.05提供安全工程指南BP09.06提供運(yùn)行安全指南PA10-指定安全要求BP10.01獲得對顧客安全需求的理解BP10.02識別可用的法律、策略和約束BP10.03識別系統(tǒng)安全關(guān)聯(lián)性BP10.04收集系統(tǒng)運(yùn)行的安全思想BP10.05收集安全的高層目標(biāo)BP10.06定義安全相關(guān)需求BP10.07達(dá)成安全協(xié)議PA11-驗(yàn)證和證實(shí)安全BP11.01識別驗(yàn)證和證實(shí)的目標(biāo)BP11.02定義驗(yàn)證和證實(shí)方法BP11.03執(zhí)行驗(yàn)證BP11.04執(zhí)行證實(shí)BP11.05提供驗(yàn)證和證實(shí)的結(jié)果平安根本實(shí)踐工程及組織過程區(qū)域SSE-CMM采用了SE-CMM定義的工程和組織過程區(qū)域，這些PA是用來解釋通用實(shí)踐的重要參考資料；每個(gè)此類過程區(qū)域都包含“平安性考慮”的內(nèi)容，說明了應(yīng)用到平安工程相關(guān)的過程區(qū)域中時(shí)需要考慮的因素，也指出了對SSE-CMM過程區(qū)域的參考引用；工程和組織過程區(qū)域與供給商協(xié)調(diào)〔CoordinatewithSuppliers〕PA22提供持續(xù)開展的技能和知識〔ProvideOngoingSkillandKnowledge〕PA21管理系統(tǒng)工程支持環(huán)境〔ManageSystemsEngineeringSupportEnvironment〕PA20管理產(chǎn)品系列進(jìn)化〔ManageProductLineEvolution〕PA19改進(jìn)組織的系統(tǒng)工程過程〔ImproveOrganization’sSystemsEngineeringProcess〕PA18定義組織的系統(tǒng)工程過程〔DefineOrganization’sSystemsEngineeringProcess)PA17方案技術(shù)活動(dòng)〔PlanTechnicalEffort〕PA16監(jiān)視和控制技術(shù)活動(dòng)〔MonitorandControlTechnicalEffort〕PA15管理工程風(fēng)險(xiǎn)〔ManageProjectRisk)PA14管理配置〔ManageConfiguration〕PA13保證質(zhì)量〔EnsureQuality〕PA12工程過程組織過程PA12-質(zhì)量保證BP12.01監(jiān)視所定義過程的依從性BP12.02測量工作產(chǎn)品質(zhì)量BP12.03測量過程質(zhì)量BP12.04分析質(zhì)量測量BP12.05得到參與BP12.06發(fā)起改進(jìn)質(zhì)量的活動(dòng)BP12.07檢測修正行為要求PA13-管理配置BP13.01建立配置管理方法BP13.02溝通配置狀況PA14-管理項(xiàng)目風(fēng)險(xiǎn)BP14.01開發(fā)風(fēng)險(xiǎn)管理方法BP14.02標(biāo)識風(fēng)險(xiǎn)BP14.03評估風(fēng)險(xiǎn)BP14.04復(fù)查風(fēng)險(xiǎn)評估BP14.05執(zhí)行風(fēng)險(xiǎn)降低活動(dòng)BP14.06跟蹤風(fēng)險(xiǎn)降低活動(dòng)BP14.07監(jiān)視影響PA15-監(jiān)控技術(shù)活動(dòng)BP15.01指導(dǎo)技術(shù)活動(dòng)BP15.02跟蹤項(xiàng)目資源BP15.03跟蹤技術(shù)參數(shù)BP15.04復(fù)查項(xiàng)目執(zhí)行BP15.05分析項(xiàng)目問題BP15.06采取修正行動(dòng)PA16-規(guī)劃技術(shù)活動(dòng)BP16.01識別自然威脅BP16.02識別關(guān)鍵資源BP16.03估計(jì)項(xiàng)目范圍BP16.04估算項(xiàng)目費(fèi)用BP16.05確定工程過程BP16.06識別技術(shù)活動(dòng)BP16.07定義項(xiàng)目接口BP16.08開發(fā)項(xiàng)目進(jìn)度表BP16.09設(shè)立技術(shù)參數(shù)BP16.10開發(fā)技術(shù)管理計(jì)劃BP16.11復(fù)查并認(rèn)可工程計(jì)劃工程和組織的根本實(shí)踐PA17-定義組織的系統(tǒng)工程過程BP17.01制定過程目標(biāo)BP17.02收集過程資產(chǎn)BP17.03開發(fā)組織的系統(tǒng)工程過程BP17.04定義剪裁指南PA18-改進(jìn)組織的系統(tǒng)工程過程BP18.01評定過程BP18.02規(guī)劃過程改進(jìn)BP18.03改變標(biāo)準(zhǔn)過程BP18.04溝通過程改進(jìn)PA19-管理產(chǎn)品系列進(jìn)化BP19.01分析事件記錄BP19.02定義產(chǎn)品進(jìn)化BP19.03標(biāo)識新產(chǎn)品技術(shù)BP19.04適應(yīng)開發(fā)過程BP19.05確保關(guān)鍵組件的可用性BP19.06插入產(chǎn)品技術(shù)PA20-管理系統(tǒng)工程支持環(huán)境BP20.01維持技術(shù)認(rèn)識BP20.02確定支持需求BP20.03獲得系統(tǒng)工程支持環(huán)境BP20.04剪裁系統(tǒng)工程支持環(huán)境BP20.05插入新技術(shù)BP20.06維護(hù)環(huán)境BP20.07監(jiān)視系統(tǒng)工程支持環(huán)境PA21-提供不斷發(fā)展的技能和知識BP21.01識別培訓(xùn)要求BP21.02選擇知識或技能的獲取模式BP21.03確保技能和知識的可用性BP21.04準(zhǔn)備培訓(xùn)材料BP21.05培訓(xùn)人員BP21.06評估培訓(xùn)的有效性BP21.07維護(hù)培訓(xùn)記錄PA22-與供應(yīng)商協(xié)調(diào)BP22.01識別系統(tǒng)的組件或服務(wù)BP22.02標(biāo)識勝任的供應(yīng)商或銷售商BP22.03選擇供應(yīng)商或銷售商BP22.04提供期望BP22.05維持溝通工程和組織的根本實(shí)踐SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的平安工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式：“評定”，允許獲取組織了解潛在工程參加者的組織層次上的平安工程過程能力。“改進(jìn)”，使平安工程組織獲得自身平安工程過程能力級別的認(rèn)識，并不斷地改進(jìn)其能力?！氨ＷC”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和效勞的可信度。SSE-CMM的使用

評定為評定收集數(shù)據(jù)廣泛、嚴(yán)格，每個(gè)數(shù)據(jù)有充分的證據(jù)決定實(shí)施平安工程過程的能力為評定定義了平安工程環(huán)境在評定巧妙地使用了SSE-CMM體系結(jié)構(gòu)中的兩個(gè)方面SSE-CMM評估方法SSE-CMMAppraisalMethod〔SSAM〕是一種組織或工程級的評估方法，通過多種數(shù)據(jù)采集方法來或區(qū)域待評估組織或工程相關(guān)的實(shí)踐過程的信息，目的在于取得一個(gè)真實(shí)實(shí)踐的基線〔Baseline〕或基準(zhǔn)〔Benchmark〕，創(chuàng)立并支持用于改進(jìn)的要素；數(shù)據(jù)采集方法：問卷、訪談、證據(jù)復(fù)審；評估階段：規(guī)劃〔Planning〕，準(zhǔn)備〔Preparation〕，現(xiàn)場〔On-site〕，報(bào)告〔Reporting〕；SSE-CMM評估方法〔SSAM〕規(guī)劃階段范圍評定方案評定準(zhǔn)備階段準(zhǔn)備評定組分發(fā)調(diào)查表合并證物分析證物和調(diào)查表查表現(xiàn)場階段領(lǐng)導(dǎo)簡報(bào)/開幕式采訪領(lǐng)導(dǎo)/專業(yè)人員分析數(shù)據(jù)確定調(diào)查結(jié)果產(chǎn)生排等級的輪廓管理記錄工作結(jié)束報(bào)告階段產(chǎn)生最終報(bào)告向發(fā)起者報(bào)告評定結(jié)果管理評定實(shí)物報(bào)告取得的經(jīng)驗(yàn)教訓(xùn)利用SSE-CMM進(jìn)行過程改進(jìn)SSE-CMM可以用作改進(jìn)組織平安工程過程的工具，建議采用SEI的IDEAL模型，目的是進(jìn)入一個(gè)評估當(dāng)前狀況、改進(jìn)、重復(fù)的持續(xù)循環(huán)之中。Initiating〔初始化〕熟悉工程目標(biāo)和完成方式，開發(fā)業(yè)務(wù)案例和工程執(zhí)行方法，獲得管理層批準(zhǔn)和支持，為成功的改進(jìn)努力做好鋪墊；Diagnosing〔診斷〕理解組織當(dāng)前和期望的過程成熟度狀態(tài)，這些是形成組織過程改進(jìn)行動(dòng)方案的根底；Establishing〔建立〕基于努力目標(biāo)和診斷階段開發(fā)的建議來制定詳細(xì)的行動(dòng)方案，并考慮到各種約束；Acting〔操作〕即實(shí)施階段，無論是資源還是時(shí)間，都需要各方面付出最大程度的努力；Learning〔學(xué)習(xí)〕既是本次循環(huán)的終止，又是下一次改進(jìn)過程的開端。對整個(gè)過程改進(jìn)活動(dòng)進(jìn)行評估。SSE-CMM的使用

改進(jìn)+++++=具有成熟改進(jìn)潛能的組織過程組織環(huán)境由SSE-CMM提供的指南根本實(shí)踐角色分配組織結(jié)構(gòu)平安工程工作產(chǎn)品生命周期通用實(shí)踐SSE-CMM

的使用流程來源選擇安全保障軟件廠商服務(wù)硬件廠商系統(tǒng)開發(fā)運(yùn)營和維護(hù)SSE-CMM信息系統(tǒng)平安保障評估框架共包括四個(gè)局部第一局部：簡介和一般模型第二局部：技術(shù)保障第三局部：管理保障第四局部：工程保障第二局部技術(shù)保障平安技術(shù)控制組件技術(shù)架構(gòu)能力級第一局部簡介和一般模型第三局部管理保障平安管理控制組件管理能力級第四局部工程保障平安工程控制組件工程能力級信息系統(tǒng)平安保障工程概念信息系統(tǒng)平安保障工程是一門跨學(xué)科的工程管理過程，它是基于對信息系統(tǒng)平安保障需求的開掘和對平安風(fēng)險(xiǎn)的理解，以經(jīng)濟(jì)、科學(xué)的方法來設(shè)計(jì)、開發(fā)和建設(shè)信息系統(tǒng)，以便他能滿足用戶平安保障需求的科學(xué)和藝術(shù)。信息系統(tǒng)平安保障模型信息系統(tǒng)平安保障評估框架-工程保障局部生命周期描述相關(guān)過程域挖掘安全需求本階段建立項(xiàng)目組織，了解系統(tǒng)的上下文環(huán)境，決定開始進(jìn)行安全工程，制定初步計(jì)劃和預(yù)算等。本階段信息系統(tǒng)安全工程師幫助用戶挖掘并理解完成系統(tǒng)的任務(wù)和業(yè)務(wù)所需的信息保護(hù)需求。信息保護(hù)需求的確定建立在對系統(tǒng)的安全風(fēng)險(xiǎn)分析的基礎(chǔ)上。系統(tǒng)定義（PEN_SDF）評估威脅（PRM_ATT）評估脆弱性（PRM_AVL）評估影響（PRM_AIM）評估安全風(fēng)險(xiǎn)（PRM_ASR）確定安全要求（PEN_ISR）定義安全要求本階段信息系統(tǒng)工程師將已識別出來的信息保護(hù)需求落實(shí)到各子系統(tǒng)中，包括開發(fā)系統(tǒng)安全上下文，初步的系統(tǒng)安全運(yùn)行設(shè)想和安全要求基線等。設(shè)計(jì)體系結(jié)構(gòu)本階段信息系統(tǒng)安全工程師與系統(tǒng)工程師一起進(jìn)行分析候選體系結(jié)構(gòu)、分配安全服務(wù)和選擇安全機(jī)制，從而完成安全功能分析和落實(shí)。信息系統(tǒng)安全工程師選擇適用的組件或元件并把安全功能分配給這些元件，同時(shí)描述這些元件之間的關(guān)系。提供安全輸入（PEN_PSI）高層安全設(shè)計(jì)（PEN_HSD）詳細(xì)安全設(shè)計(jì)（PEN_DSD）詳細(xì)安全設(shè)計(jì)本階段信息系統(tǒng)安全工程師分析設(shè)計(jì)的約束條件，分析折衷辦法，進(jìn)行詳細(xì)的系統(tǒng)和安全設(shè)計(jì)并考慮生命周期支持。信息系統(tǒng)安全工程師檢查所有系統(tǒng)安全需求落實(shí)到了組件。最終的詳細(xì)安全設(shè)計(jì)結(jié)果為實(shí)現(xiàn)系統(tǒng)提供充分的組件和接口描述信息。實(shí)現(xiàn)系統(tǒng)安全本階段信息系統(tǒng)安全工程師把系統(tǒng)設(shè)計(jì)轉(zhuǎn)移到運(yùn)行，參與對所有系統(tǒng)問題的多學(xué)科綜合分析，并為認(rèn)證認(rèn)可活動(dòng)提供輸入。例如驗(yàn)證系統(tǒng)已經(jīng)實(shí)現(xiàn)了對抗威脅評估中識別出的威脅；追蹤與系統(tǒng)實(shí)現(xiàn)和測試活動(dòng)相關(guān)的信息保護(hù)保障機(jī)制；為系統(tǒng)生命周期支持計(jì)劃、運(yùn)行規(guī)程、培訓(xùn)材料維護(hù)提供輸入。本階段信息系統(tǒng)已到位并開始運(yùn)行，通過定期的評估和不斷監(jiān)視系統(tǒng)的安全狀況，確定如何獲得更高的安全性能和效率等來滿足用戶變化的安全需求，進(jìn)行軟硬件升級和修改并進(jìn)行相應(yīng)的測試。安全工程實(shí)施（PEN_SEE）協(xié)調(diào)安全（PEN_COS）監(jiān)視安全態(tài)勢（PEN_MSP）管理安全控制（PEN_MSC）有效性評估本階段信息系統(tǒng)安全工程師關(guān)注信息保護(hù)的有效性----系統(tǒng)是否能夠保證其處理的信息的保密性、完整性、可用性、鑒別和不可否認(rèn)性，確保成功完成使命。驗(yàn)證和確認(rèn)安全（PAS_VVS）建立保障論據(jù)（PAS_EAE）第四局部：工程保障

信息平安工程過程能力成熟度例如三、信息平安工程的實(shí)施與管理信息平安保障工程的實(shí)施與管理信息平安保障工程實(shí)施模型與框架IT工程管理中的平安考慮信息系統(tǒng)平安保障工程實(shí)施通用模型參見：中國信息平安產(chǎn)品測評認(rèn)證中心的“國家信息平安測評認(rèn)證”，2004年第2期，P6-P14信息系統(tǒng)平安保障工程實(shí)施框架XX電子政務(wù)信息系統(tǒng)平安保障工程

實(shí)踐示意圖參見：中國信息平安產(chǎn)品測評認(rèn)證中心的“國家信息平安測評認(rèn)證”，2004年第2期，P6-P14IT工程管理中的平安考慮-立項(xiàng)階段確立業(yè)務(wù)對信息平安的總體要求識別各類平安要求證明平安要求的正確性分析、協(xié)調(diào)、綜合形成各類文檔信息平安規(guī)劃平安需求報(bào)告風(fēng)險(xiǎn)評估報(bào)告立項(xiàng)報(bào)告IT工程管理中的平安考慮—開發(fā)和采購階段數(shù)據(jù)的正確處理輸入數(shù)據(jù)的校驗(yàn)范圍之外的值無效數(shù)據(jù)類型喪失或不完整的數(shù)據(jù)未授權(quán)或非法的輸入：防止緩沖區(qū)溢出和代碼注入數(shù)據(jù)處理過程控制處理的時(shí)間順序發(fā)生故障后運(yùn)行的程序系統(tǒng)失效或處理錯(cuò)誤后的恢復(fù)輸出數(shù)據(jù)的驗(yàn)證輸出的去向正確數(shù)據(jù)的準(zhǔn)確性、完備性和精確性IT工程管理中的平安考慮—開發(fā)和采購階段加密控制選擇適當(dāng)?shù)募用芩惴愋?、?qiáng)度和質(zhì)量選擇加密的通信線路和加密內(nèi)容制定密鑰管理的方法密鑰的分發(fā)方式密鑰的保存密鑰的更新方式密鑰遺失、泄露和破壞后的處理方法密鑰的撤銷和銷毀IT工程管理中的平安考慮—開發(fā)和采購階段系統(tǒng)資源的平安系統(tǒng)軟件安裝控制：選擇平安的系統(tǒng)軟件、安裝必要的組件、防止盜版的安裝、及時(shí)更新系統(tǒng)測試數(shù)據(jù)的保護(hù)：盡量不用真實(shí)生產(chǎn)數(shù)據(jù)，如果必須用，注意對拷貝過程進(jìn)行控制、對測試系統(tǒng)的訪問控制、測試之后信息去除、有效的審計(jì)措施應(yīng)用系統(tǒng)源代碼保護(hù)：運(yùn)行系統(tǒng)盡量不保存源代碼對源代碼庫進(jìn)行訪問控制管理向程序員發(fā)布源代碼源代碼庫的有效審計(jì)IT工程管理中的平安考慮—實(shí)施階段工程變更管理建立嚴(yán)格清晰的變更程序變更時(shí)要對變更原因和變更的影響進(jìn)行評估必要時(shí)在測試系統(tǒng)中進(jìn)行測試變更要形成文檔記錄IT工程管理中的平安考慮—交付和廢棄交付過程初驗(yàn)試運(yùn)行終驗(yàn)交付后持續(xù)的風(fēng)險(xiǎn)評估和平安加固廢棄信息的徹底去除四、信息平安工程監(jiān)理信息平安工程監(jiān)理參考模型監(jiān)理咨詢階段及其目標(biāo)

招標(biāo)階段工程招標(biāo)階段的主要監(jiān)理目標(biāo)協(xié)助業(yè)主單位明確信息平安工程需求，確定工程建設(shè)目標(biāo)；促使承建單位編制的信息平安方案符合國家和業(yè)主單位的相關(guān)規(guī)定，滿足需求，合理可行；促使業(yè)主單位、承建單位所簽定合同在技術(shù)、經(jīng)濟(jì)上的合理性；監(jiān)理咨詢階段及其目標(biāo)

設(shè)計(jì)階段工程設(shè)計(jì)階段的主要監(jiān)理目標(biāo)加強(qiáng)工程實(shí)施方案的合法性、合理性、與平安工程需求和設(shè)計(jì)方案的符合性；促使工程方案、設(shè)計(jì)方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，并與工程建設(shè)合同相符，具有可驗(yàn)證性。協(xié)助業(yè)主單位、承建單位消除設(shè)計(jì)文檔在進(jìn)入工程實(shí)施前可預(yù)見的缺陷。監(jiān)理咨詢階段及其目標(biāo)

實(shí)施階段工程實(shí)施階段的主要監(jiān)理目標(biāo)加強(qiáng)工程實(shí)施方案的合法性、合理性、與設(shè)計(jì)方案的符合性；促使工程中所使用的產(chǎn)品和效勞符合承建合同及國家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)；明確工程實(shí)施方案，對于方案的調(diào)整必須合理、受控；促使工程實(shí)施過程滿足承建合同的要求，并與工程設(shè)計(jì)方案、工程方案相符；監(jiān)理咨詢階