分析系统的安全保障需求,包括业务保障安全需求、信息安全合规性要求和安全风险分析。
①信息安全需求描述应满足以下方面的要求:
a)安全需求描述应简明、清晰;
b)安全需求应能够保障信息系统业务目标实现;
c)安全需求应描述业务要求而非解决措施;
d)安全需求应有测试、验收标准;
e)安全需求应符合信息系统的限制条件。
②业务保障安全需求
从“可用性(业务连续性)、完整性、保密性”三个方面对信息系统所涉及业务的安全需求进行描述。应做到:
应覆盖系统所涉及的业务部门、最终用户、行业主管部门、社会公众等利益相关方。
应覆盖系统所互联的所有其他应用系统。
③信息安全合规性要求
按照国家、广东省、广州市以及所属行业颁布的相关法律法规和技术标准对系统的信息安全合规性需求进行描述,应遵循:
网络安全等级保护定级指南(GA/T1389-2017),按照指南进行系统定级;
我市电子政务网络、信息安全、电子签名等相关规定;
行业性信息安全政策。
④安全风险分析
汇总业务保障安全需求和信息安全合规性要求后,从风险管理的角度对信息安全需求进行排序,应将安全需求分为以下两类:
基本安全需求:如果本类别安全需求不满足,信息系统保障水平将不可接受;合规性需求均属于此类。
增强安全需求:本类别安全需求能提高安全能力,如本类别安全需求不满足,信息系统保障水平仍然可以被接受。
(5)关联系统和接口需求分析
①关联系统需求分析
8