CISP-18-信息安全工程

1、CISP-18-信息安全工程,中国信息安全测评中心 2009年4月,知识体系介绍,项目实施、管理与实践,安全工程基础,知识体,知识域,安全工程模型与标准,知识类,信息安全工程,信息系统安全保障评估框架-工程保障部分,学习目标,了解系统工程、质量管理、能力成熟度模型和项目管理基本概念 理解并运用“信息安全工程能力成熟度模型”（SSE-CMM）指导信息安全工程的实施 可以用“信息系统安全工程”（ISSE）的方法考虑信息安全工程的实施 掌握IT项目管理中的重要安全措施和实践方法 理解信息安全工程监理的概念、意义和实践方法,一、安全工程基础,安全工程基础,系统工程基础 质量管理基础 项目管理基础 能力

2、成熟度模型基础,系统工程基础,钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法” 以人参与系统为研究对象 根据系统的目的和总体发展要求 应用自然科学和社会科学的思想、理论、方法和手段 对系统功能和构成要素、结构、信息、控制进行分析与综合 最终达到系统的圆满实现 系统工程不是基本理论，也不属于技术实现，而是一种方法论,系统工程基础,系统工程具有以下特点： 系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。 系统工程涉及各种学科、各个领域的各种内容，因此它是跨越

3、不同学科的综合性科学。 以整体的、综合的、关联的、科学的、实践的观点来看待研究对象 在解决一个具体项目时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心。,质量管理基础,质量 质量指产品或服务，满足规定或需要的特征。它既包括有形产品也包括无形产品；既包括产品内在的特性、也包括产品外在的特性。即包括了产品的适用性和符合性的全部内涵。 质量控制（QC） 是对生产的全部过程加以控制，是面的控制，不是点的控制。为保证产品过程

4、或服务质量，必须采取一系列的作业、技术、组织、管理等有关活动，这些都属于质量控制的范畴 质量管理（QM） 它指对确定和达到质量所必须的职能和活动的管理，其管理职能主要是负责质量方针政策的制订和实施等,质量管理基础,ISO9000族标准并不是产品的技术标准，而是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施的标准。 具体地讲ISO9000族标准就是在以下四个方面规范质量管理： 1.机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限。 2.程序：组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系、操作检查

5、程序，并使之文件化。 3.过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制。从根据市场调研确定产品、设计产品、采购原材料，到生产、检验、包装和储运等，其全过程按程序要求控制质量。并要求过程具有标识性、监督性、可追溯性。 4.总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升。,项目管理基础,所谓项目管理，就是项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。 项目管理的要素： 质量 进度 成本,能力成

6、熟度模型基础,CMM Capability Maturity Model 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品； 所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程； CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”；,能力成熟度模型,过程能力方案： 单个过程域或一系列过程域 组织机构可以灵活选择改进哪个过程域和改进至什么程度,组织机构成熟度方案 跨组织机构的一系列已建立的过程域 提供预定义的路线图，组织机构基于已验证的过程组和顺序进行改进,Staged,ML 1,ML2,ML3,ML

7、4,ML5,Continuous,PA,PA,过程域能力,0 1 2 3 4 5,PA,能力级别和成熟度级别,常用的CMM模型,Software CMM staged software development System Engineering CMM continuous system engineering System Engineering Capability Model continuous system engineering Software Acquisition CMM staged software acquisition System Security Enginee

8、ring CMM continuous security engineering Personal Software Process staged individual software development FAA-iCMM(FederalAviationAdministration （简称FAA)，翻译为美国联邦航空管理局 ) continuous software engineering, systems engineering, and acquisition IPD-CMM hybrid integrated product development People CMM stage

9、d workforce SPICE Model continuous software development,标准背景,能力成熟模型应用范畴,CMM 能力成熟模型,SW-CMM 软件能力成熟模型,SE-CMM 系统工程能力成熟模型,SSE-CMM 信息系统安全工程能力成熟模型,SSAM 信息系统安全工程能力成熟性模型 评估方法,评定,软件工程,汽车、照相机、 手表和钢铁业,安全工程,。,。,二、SSE-CMM系统安全工程能力成熟度模型,能力成熟度模型 SSE-CMM（ISO/IEC IS 21827）,SSE-CMM概述,系统安全工程能力成熟模型（Systems Security Engin

10、eering Capability Maturity Model），描述了一个组织的系统安全工程过程必须包含的基本特征，这些特征是完善的安全工程保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。 目的 促进安全工程成为一个确定的、成熟的和可度量的学科： 通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商； 工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上； 基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心,SSE-CMM概述,安全系统和工程的特性 连续性 - 以前获得的知识将用于将来 重复性 - 保

11、证项目可成功重复实施的方法 高效率性 - 可帮助开发者和评价者都更有效率工作的方法 保证 - 落实安全需求的信心 期待结果 改进可预见性 改进可控制性 改进过程有效性 安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是高效率的。,SSE-CMM覆盖范围,SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。 整个组织，包括管理、组织和工程活动等； 与其它规范并行的相互作用，包括系统、软硬件、人、测试工程、系统管理、运行和维护等； 与其它组织的相互作用，包括获取、系统管理、认证认可和评估组织等

12、； SSE-CMM可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。,SSE-CMM适用对象,工程组织（Engineering Organization） 包括系统集成商、应用开发商、产品和服务提供商； 工程组织利用其对自己的工程能力进行自我评估； 采购组织（Acquiring Organization） 包括采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织； 采购组织通过其来判别一个供应者组织的系统安全工程能力，识别该组织供应的产品和系统的可信任性； 评估组织（Evaluation Organization） 包括认证组织、系统授权组织、系统和产品评估组织等；

13、 评估组织使用SSE-CMM作为工作基础，以便建立被评估组织整体能力的信任度，该信任度是系统和产品的安全保证要素。,SSE-CMM历史,1993年4月美国国家安全局（NSA）开始酝量 1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 从1996年6月到1997年6月进行许多实验项目 1999年4月出版了第二版。 目前，SSE-CMM V3.0 2002年，ISO/IEC IS 21827 Organization for Standardization或International Standard Organized 。ISO; Internat

14、ional Electrotechnical Commission国际电工委员会,SSE-CMM基本概念,过程（Process） 为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发的执行； 分为“充分定义过程”、“已定义过程”和“执行过程”。 过程区域（PA，Process Area） 是由一些基本实践（BP，Base Practice）组成的，这些BP共同实施以达到该PA的目标。这些BP是强制性的，只有全部成功执行，才能满足PA规定的目标； SSE-CMM包含三类过程区域：工程、项目和组织三类； 过程能力（Process Capability） 是通过跟踪一个过程达到预期结

15、果的可量化范围； 一个组织的过程能力可帮助组织预见项目达到目标的能力，低能力组织的项目在达到预定的成本、进度、功能和质量目标上会有很大变化；,SSE-CMM体系结构,SSE-CMM体系结构设计的目标是清晰的从管理和制度化特征中分离出安全工程的基本特征，采用域（Domain）和能力（Capability）的两维结构； 横轴“域维”汇集了定义安全工程的所有实践活动，包括大约60项基本实践（BP，Base Practice），这些BP又被组织成11个过程区域（PA）。11个PA可能出现在安全系统生命周期的各个阶段，并不规定其先后顺序； 纵轴“能力维”代表组织能力，由过程管理与制度化能力构成。共设置6

16、个能力级别，每个能力级别由一组能够反映过程能力变化的公共特征（CF，Common Feature）来定义，这些CF适用于所有PA，每一个CF又可以由若干项通用实践（GP，Generic Practice）来描述。,SSE-CMM模型,目的：在整个安全工程范围内决定安全工程组织的成熟性 两维模型 “域维” 由所有定义的安全工程过程区构成。这些实施活动称为“过程区”。 “能力维”代表组织能力。这一维由过程管理和制度化能力构成。这些实施活动被称作“公共特征”，可在广泛的域中应用。执行一个公共特征是一个组织能力的标志。 通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。

17、 如果给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。,能力维/公共特征,SSE-CMM通过能力级别来确定组织执行、控制、支持和监视安全过程的成熟性； 过程能力由一组通用实践（GP，Generic Practice）来衡量，是对所有过程通用的，强调对一个过程的管理、度量和制度方面。能力维的GP按照成熟性排序，高级别的GP位于能力维的高端； GP被组成12个称作公共特征（CF，Common Feature）的逻辑域，每个CF包括一个或多个GP； 为了体现能力级别，将GP划分成5个等级，代表组织

18、安全工程能力的不同层次； 过程能力是用来度量各个过程区域PA的，而不是用来度量整个工程组织的，GP按其具有的公共特征和能力级别组织成三级结构。,能力维,能力维,能力级别,加强任何过程 能力的实现和制度 化实施,一组实施列出管理 和制度化过程的相 同方面,共同工作的一组公共 特征主要加强执行一 个过程的能力,计划执行 规范化执行 跟踪执行 验证执行,定义标准过程 协调安全实施 执行已定义的过程,建立可测量的质量目标 客观地管理过程的执行,1,非正式 执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执行 基本 实施,改进组织能力 改进过程的有效性,能力级别 代表安全工程组织的成熟级

19、别,公共特征,仅要求一个过程区域的所有基本实践都被执行，但对执行的结果无明确要求；,强调过程执行前的计划和执行中的检查，使工程组织可以基于最终结果的质量来管理其实践活动；,要求过程区域包括的所有基本实践均应依照一组完善定义的操作规范来进行，即“标准过程”；,能够对工程组织的表现进行定量的度量和预测。过程管理成为客观的和准确的实践活动,为过程行为的高效和实用建立定量目标，可以准确地度量过程持续改善所收到的效益。,域维/过程区域,系统安全工程涉及到三类过程区域PA，即工程（Engineering PA）、组织（Organization PA）和项目（Project PA）过程区域。组织和项目过程区

20、域（共11个）并不直接同系统安全相关，在SE-CMM中定义，但常与SSE-CMM的11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。 SSE-CMM将工程过程区域分为三类，即风险过程、工程过程和保证过程； 4个风险过程：PA04评估威胁，PA05评估脆弱性，PA02评估影响，PA03评估安全风险； 5个工程过程：PA07，PA10，PA09，PA01，PA08； 2个保证过程：PA11，PA06； 并不定义各过程区域在系统安全工程生命周期中出现的顺序，而是依照过程区域的英文字母顺序编号； 每个过程区域包括一组集成的基本实践（BP，Base Practice），BP定义了实现过程区域目

21、标的必要活动，代表业界的最佳惯例。,域维,过程类,工程和安全实施是安全工程过 程中必须存在的性质，指出特 殊过程区的目的并属于该过程 区,每个过程区（PA）是一组相关 安全工程过程的性质，当这些 性质全部实施后则能够达到过 程区定义的目的。,一组过程区指出活动的同一通用区,工程过程区域,核实和确认安全（Verify and Validate Security）,PA11,明确安全需求（Specify Security Needs）,PA10,提供安全输入（Provide Security Input）,PA09,监视安全态势（Monitor Security Posture）,PA08,协调安

22、全（Coordinate Security）,PA07,建立保证论据（Build Assurance Argument),PA06,评估脆弱性（Assess Vulnerability）,PA05,评估威胁（Assess Threat）,PA04,评估安全风险（Assess Security Risk),PA03,评估影响（Assess Impact）,PA02,管理安全控制（Administer Security Controls）,PA01,风险过程,工程过程,保证过程,安全工程,SSE-CMM将安全工程划分为三个基本的过程区域：风险，工程，保证 风险过程：是要确定产品或者系统的风险，并对

23、这些风险进行优先级排序 工程过程：是针对面临的风险，安全工程过程与相关工程过程一起来确定并实施解决方案 保证过程：是建立起对解决方案的信任，并把这种信任传达给用户,安全工程过程,保证论据,风险信息,产品或服务,工程过程 Engineering,保证过程 Assurance,风险过程 Risk,风险,PA04：评估威胁,威胁信息 threat,脆弱性信息 vulnerability,影响信息 impact,风险信息,PA05：评估脆弱性,PA02：评估影响,PA03：评估安全风险,风险就是有害事件发生的可能性 一个有害事件有三个部分组成：威胁、脆弱性和影响。,工程,安全工程与其它科目一样，它是一

24、个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。 SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。,PA10 指定安全要求,需求、策略等,配置信息,解决方案、指导等,风险信息,PA08 监视安全态势,PA07 协调安全,PA01 管理安全控制,PA09 提供安全输入,保证,证据,证据,保证论据,PA11 验证和证实安全,指定安全要求,其他多个PA,PA06 建立保证论据,保证是指安全需要得到满足的信任程度 SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。,安全基本实践,安全基本实践,项目及组织过程区域,SSE-CMM采用

25、了SE-CMM定义的项目和组织过程区域，这些PA是用来解释通用实践的重要参考资料； 每个此类过程区域都包含“安全性考虑”的内容，说明了应用到安全工程相关的过程区域中时需要考虑的因素，也指出了对SSE-CMM过程区域的参考引用；,项目和组织过程区域,与供应商协调（Coordinate with Suppliers）,PA22,提供持续发展的技能和知识（Provide Ongoing Skill and Knowledge）,PA21,管理系统工程支持环境（Manage Systems Engineering Support Environment）,PA20,管理产品系列进化（Manage Pr

26、oduct Line Evolution）,PA19,改进组织的系统工程过程（Improve Organizations Systems Engineering Process）,PA18,定义组织的系统工程过程（Define Organizations Systems Engineering Process),PA17,计划技术活动（Plan Technical Effort）,PA16,监视和控制技术活动（Monitor and Control Technical Effort）,PA15,管理项目风险（Manage Project Risk),PA14,管理配置（Manage Confi

27、guration）,PA13,保证质量（Ensure Quality）,PA12,项目过程,组织过程,项目和组织的基本实践,项目和组织的基本实践,SSE-CMM的使用,SSE-CMM可应用于所有从事某种形式的安全工程组织，这种应用与生命期、范围、环境或专业无关。该模型适用于以下三种方式： “评定”，允许获取组织了解潜在项目参加者的组织层次上的安全工程过程能力。 “改进”，使安全工程组织获得自身安全工程过程能力级别的认识，并不断地改进其能力。 “保证”，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信度。,SSE-CMM的使用 评定,为评定收集数据广泛、严格，每个数据有充分的证据 决定实

28、施安全工程过程的能力 为评定定义了安全工程环境 在评定巧妙地使用了SSE-CMM体系结构中的两个方面,SSE-CMM评估方法,SSE-CMM Appraisal Method（SSAM） 是一种组织或项目级的评估方法，通过多种数据采集方法来获取待评估组织或项目相关的实践过程的信息，目的在于取得一个真实实践的基线（Baseline）或基准（Benchmark），创建并支持用于改进的要素； 数据采集方法：问卷、访谈、证据复审； 评估阶段：规划（Planning），准备（Preparation），现场（On-site），报告（Reporting）；,SSE-CMM评估方法（SSAM）,规划阶段,范围

29、评定,计划评定,准备阶段,准备评定组,分发调查表,合并证物,分析证物,和调查表,查表,现场阶段,领导简报,/,开幕式,采访领导,/,专业人员,分析数据,确定,调查结果,产生排等,级的轮廓,管理记录,工作结束,报告阶段,产生最终,报告,向发起者报,告评定结果,管理评定,实物,报告取得的,经验教训,利用SSE-CMM进行过程改进,SSE-CMM可以用作改进组织安全工程过程的工具，建议采用SEI(software engineering institute)的IDEAL模型，目的是进入一个评估当前状况、改进、重复的持续循环之中。 Initiating（初始化） 熟悉项目目标和完成方式，开发业务案例和

30、项目执行方法，获得管理层批准和支持，为成功的改进努力做好铺垫； Diagnosing（诊断） 理解组织当前和期望的过程成熟度状态，这些是形成组织过程改进行动计划的基础； Establishing（建立） 基于努力目标和诊断阶段开发的建议来制定详细的行动计划，并考虑到各种约束； Acting（操作） 即实施阶段，无论是资源还是时间，都需要各方面付出最大程度的努力； Learning（学习） 既是本次循环的终止，又是下一次改进过程的开端。对整个过程改进活动进行评估。,信息系统安全保障评估框架,共包括四个部分 第一部分：简介和一般模型 第二部分：技术保障 第三部分：管理保障 第四部分：工程保障,第二

31、部分 技术保障,安全技术控制组件,技术架构能力级,第一部分 简介和一般模型,第三部分 管理保障,安全管理控制组件,管理能力级,第四部分 工程保障,安全工程控制组件,工程能力级,信息系统安全保障模型,信息系统安全保障评估框架-工程保障部分,第四部分：工程保障 信息安全工程过程能力成熟度示例,三、ISSE信息系统安全工程,SE-系统工程过程,信息系统安全工程（ISSE）,Information System Security Engineering; 是系统安全工程、系统工程和系统获取在信息系统安全方面的具体体现 ISSE的目的是使信息系统安全成为系统工程和系统获取过程的必要部分，将信息系统安全集

32、成到系统工程中，以获得最优的信息系统安全解决方案,系统生命周期中的ISSE,SA 系统采购,SE 系统工程,SSE,ISSE,任务需求的确定,概念研究和确定,演示和确认,设计和制造,产品/部署和运行/支持,确定安全能力需求,分析安全要求和研究安全概念,设计系统安全体系结构,实现安全设计并进行系统安全测试,实施安全操作和生命周期支持,MS0,MS1,MS2,MS3,确定任务能力要求,研究配选的系统概念,系统设计规范,设计、制造、集成和测试,系统运行和生命周期支持,使命需求明细 （MNS）,候选系统评审 （ASR）,系统要求评审（SRR SFR）,基本设计评审、关键设计评审、系统验证评审（PDR、

33、CDR、SVR）,物理配置评审 （PCA）,ISSE作什么事情？,获取业务所必需的安全需求 确定系统所有者、监管方和最终用户可接受的安全风险 设计（选择和裁减）信息系统安全工程 在系统建设实施过程中尽早将安全因素结合进去 综合考虑费用、进度、适用性、有效性和其他约束条件，辩证地考虑风险管理问题 将安全工作集成到系统工程和获取工程中 创建并保留标准化的文档 在现场部署后，继续进行生命周期内的安全支持,四、信息系统安全工程的实施与管理,信息安全保障工程的实施与管理,信息安全保障工程实施模型与框架 IT项目管理中的安全考虑,信息系统安全保障工程实施通用模型,参见：中国信息安全产品测评认证中心的“国家

34、信息安全测评认证”，2004年第2期，P6-P14,信息系统安全保障工程实施框架,XX电子政务信息系统安全保障工程 实践示意图,参见：中国信息安全产品测评认证中心的“国家信息安全测评认证”，2004年第2期，P6-P14,IT项目管理中的安全考虑-立项阶段,确立业务对信息安全的总体要求 识别各类安全要求 证明安全要求的正确性 分析、协调、综合形成各类文档 信息安全规划 安全需求报告 风险评估报告 立项报告,IT项目管理中的安全考虑开发和采购阶段,数据的正确处理 输入数据的校验 范围之外的值 无效数据类型 丢失或不完整的数据 未授权或非法的输入：防止缓冲区溢出和代码注入 数据处理过程控制 处理的

35、时间顺序 发生故障后运行的程序 系统失效或处理错误后的恢复 输出数据的验证 输出的去向正确 数据的准确性、完备性和精确性,IT项目管理中的安全考虑开发和采购阶段,加密控制 选择适当的加密算法类型、强度和质量 选择加密的通信线路和加密内容 制定密钥管理的方法 密钥的分发方式 密钥的保存 密钥的更新方式 密钥遗失、泄露和破坏后的处理方法 密钥的撤销和销毁,IT项目管理中的安全考虑开发和采购阶段,系统资源的安全 系统软件安装控制：选择安全的系统软件、安装必要的组件、防止盗版的安装、及时更新 系统测试数据的保护：尽量不用真实生产数据，如果必须用，注意对拷贝过程进行控制、对测试系统的访问控制、测试之后信

36、息清除、有效的审计措施 应用系统源代码保护： 运行系统尽量不保留源代码 对源代码库进行访问控制 管理向程序员发布源代码 源代码库的有效审计,IT项目管理中的安全考虑实施阶段,项目变更管理 建立严格清晰的变更程序 变更时要对变更原因和变更的影响进行评估 必要时在测试系统中进行测试 变更要形成文档记录,IT项目管理中的安全考虑交付和废弃,交付过程 初验 试运行 终验 交付后 持续的风险评估和安全加固 废弃 信息的彻底清除,五、信息安全工程监理,信息安全工程监理参考模型,监理咨询阶段及其目标 招标阶段,工程招标阶段的主要监理目标 协助业主单位明确信息安全工程需求，确定工程建设目标； 促使承建单位编制

37、的信息安全方案符合国家和业主单位的相关规定，满足需求，合理可行； 促使业主单位、承建单位所签定合同在技术、经济上的合理性；,监理咨询阶段及其目标 设计阶段,工程设计阶段的主要监理目标 加强工程实施方案的合法性、合理性、与安全工程需求和设计方案的符合性； 促使工程计划、设计方案满足工程需求，符合相关的法律、法规和标准，并与工程建设合同相符，具有可验证性。 协助业主单位、承建单位消除设计文档在进入工程实施前可预见的缺陷。,监理咨询阶段及其目标 实施阶段,工程实施阶段的主要监理目标 加强工程实施方案的合法性、合理性、与设计方案的符合性； 促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和

38、标准； 明确工程实施计划，对于计划的调整必须合理、受控； 促使工程实施过程满足承建合同的要求，并与工程设计方案、工程计划相符；,监理咨询阶段及其目标 验收阶段,工程验收阶段的主要监理目标 明确工程项目测试验收方案的符合性（验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等）及可行性； 促使工程的最终功能和性能符合承建合同、法律、法规和标准的要求； 推动承建单位所提供的工程各阶段形成的技术、管理文档的内容和种类符合相关标准。,招标阶段技术部分-描述和证据,主要完成证据 用户签认的需求书；附件一：监理方签认的需求书报审表 信息安全建设方案、方案评审报告和专家评审意见；附件一：监理方签认的信息安全建设方案报审表 其他证据：风险评估报告等 咨询服务：同承建方、业主方进行沟通、培训；通过所编制的相关标准、规范和指南文件等协助承建方和业主方更好地编制满足需求、业务要求和相关国家、部门等政策、法规标准和行政要求的相关文件,承建方,监理方,业主方,需求审核,需求书,需求书报审表,信息安全建设方案,方案评审,方案评审报告,信息安全建设方案报审表,专家评审意见,业主对需求书进行盖章认可,签认的需求书,监理方协助业主方进行专