信息安全工程小组

3.2.2　信息安全工程小组

组建多学科小组的目的是要把恰当的学科集成到满足可操作、低成本和符合进度安排目标的协调的信息系统安全工程，相关的功能角色及其关系如图3-4所示。在制定项目的总体系统工程管理计划（SEMP，Systems Engineering Management Plan）时，信息安全工程小组应当协同系统项目办事机构（SPO）和系统工程师们一道工作。总体系统工程管理计划是一份综合性文件，它描述如何管理和实施全面的综合性工程工作。

图3-4　信息安全小组的功能角色及其关系

首席信息系统安全工程师领导着整个信息系统安全工程小组，同时也在广泛的系统工程小组内充当首席信息系统安全专家。信息安全工程小组所扮演的角色，包括充当安全指导和生命期信息系统安全工程师，并由其他小组的信息系统安全技术专家进行协助。对于较小的项目，可能要求首席信息安全工程师去充当信息安全工程小组的若干甚至是全部的功能角色。而对于非常大或急需的项目，则可能需要若干人来扮演信息安全工程小组成员的角色。信息安全工程小组成员的实际数量，基本的信息系统安全人员，以及他们各自的工作水平应根据工程项目的规模、敏感性和可用资源的相对优先权等的不同而各异。

在项目开发初期，信息安全工程小组应该做的也是最重要的事情之一就是要同客户方建立积极的工作关系和良好的通信联络。其目的是为了理解项目的目标、费用和进度参数、项目的获取和工程方法以及系统工程和获取小组结构等。一般说来，通过站点访问是必要的；在不能实现物理方法进行联络的时候，通过使用自动化和电信业务的“虚拟”方法进行联络是必不可少的。信息安全工程小组需要同客户在下面两个方面达成相互理解：一是信息安全工程小组在系统工程和获取过程中的作用；二是它应当如何与系统用户、系统开发/集成小组和C&A小组进行最佳的相互协作。在客户（或其承包商）尚未配备安全专员与信息安全工程小组进行相同级别讨论所有问题的情况下，双方应当共同工作以决定如何最佳地克服交流障碍。选择方案可以是提升客户和/或承包商的许可级别；也可以在必要时用批准的联络站作为中介；或者是使用在技术层面上的方式向用户或承包商提供信息，但要“清除”他们在目前尚未得到授权就可以看到的任何信息。

从完成开发直到至少是系统创立或系统具备完备的运行能力为止，信息安全工程小组都要跟随整个项目。为了提供覆盖系统整个生命期的信息系统安全工程，至少应当在初始开发周期即将完结的时候指定生命期信息系统安全工程师（Life-Cycle INFOSEC Engineer，LCIE）。LCIE可以由来自信息安全工程小组的原派出机构的人员或其他安全人员以及/或者来自客户或最终用户机构的人员来充当。理想情况下，在并行支持工程能力上，LCIE应当是信息安全工程小组在整个系统生命期中一个不可分割的部分。随着系统进入运行和支持阶段，LCIE接管信息系统安全小组的领导权。LCIE也可以像前阶段的首席信息安全工程专家一样，在需要时由其他技术专家进行协助。在系统投入现场并启动、运行后，一直到系统废弃阶段，LCIE都可以向用户提供支持。直到系统被报废之后，这种支持才结束。