部分-信息系統(tǒng)集成技術(shù)信息安全

系統(tǒng)集成技術(shù)-信息安全信息安全系統(tǒng)的組織管理電子政務(wù)信息安全的組織管理企業(yè)信息化信息安全的組織管理安全管理制度教育和培訓(xùn)信息安全管理標(biāo)準(zhǔn)ISO27000系列標(biāo)準(zhǔn)信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)：是指特定的威脅利用資產(chǎn)的脆弱性而導(dǎo)致資產(chǎn)損失或傷害的可能性。安全威脅=安全風(fēng)險(xiǎn)?風(fēng)險(xiǎn)分類風(fēng)險(xiǎn)性質(zhì)：靜態(tài)、動態(tài)風(fēng)險(xiǎn)結(jié)果：純粹風(fēng)險(xiǎn)和投機(jī)風(fēng)險(xiǎn)風(fēng)險(xiǎn)源：自然事件風(fēng)險(xiǎn)、人為事件風(fēng)險(xiǎn)、軟件風(fēng)險(xiǎn)、軟件過程風(fēng)險(xiǎn)、項(xiàng)目管理風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、用戶使用風(fēng)險(xiǎn)信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)識別方法：問詢法（頭腦風(fēng)暴法、面談法、德爾菲法）財(cái)務(wù)報(bào)表法流程圖法（網(wǎng)絡(luò)圖或WBS法）現(xiàn)場觀察法歷史資料（索賠記錄及其他風(fēng)險(xiǎn)信息）環(huán)境分析法類比法信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估方法：概率分布外推法定性評估矩陣圖分析風(fēng)險(xiǎn)發(fā)展趨勢評價(jià)方法項(xiàng)目假設(shè)前提評價(jià)及數(shù)據(jù)準(zhǔn)確度評估為了對計(jì)算機(jī)信息系統(tǒng)的安全威脅有更全面、更深刻的認(rèn)識，信息應(yīng)用系統(tǒng)安全威脅的分類方法一般用（1）三種“綜合分類”方法。（1）A.高、中、低 B.對象的價(jià)值、實(shí)施的手段、影響（結(jié)果）

C.按風(fēng)險(xiǎn)性質(zhì)、按風(fēng)險(xiǎn)結(jié)果、按風(fēng)險(xiǎn)源 D.自然事件、人為事件、系統(tǒng)薄弱環(huán)節(jié)例題分析

小張的U盤中存儲有企業(yè)的核心數(shù)據(jù)。針對該U盤，以下有關(guān)信息安全風(fēng)險(xiǎn)評估的描述中，不正確的是__(15)__。A．風(fēng)險(xiǎn)評估首先要確定資產(chǎn)的重要性，由于該U盤中存儲有核心數(shù)據(jù)，安全性要求高，因此該U盤重要性賦值就高B．如果公司制定了U盤的安全使用制度，小張的U盤就不具有脆弱性C．如果小張的計(jì)算機(jī)在接入U(xiǎn)盤時(shí)沒斷網(wǎng)線，木馬病毒就構(gòu)成對該U盤的威脅D．風(fēng)險(xiǎn)分析要同時(shí)考慮資產(chǎn)的重要性、威脅概率和脆弱性嚴(yán)重程度【正確答案】：B安全策略安全策略：人們?yōu)楸Ｗo(hù)因?yàn)槭褂糜?jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)可能招致來的對單位資產(chǎn)造成損失而進(jìn)行保護(hù)的各種措施、手段，以及建立的各種管理制度、法規(guī)等。安全策略的核心內(nèi)容（七定）：定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程（方崗位員目制流）

某公司網(wǎng)管員對核心數(shù)據(jù)的訪問進(jìn)行控制時(shí)，針對每個用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于__(16)__。A．自主訪問控制（DAC）B．強(qiáng)制訪問控制（MAC）C．基于角色的訪問控制（RBAC）D．訪問控制列表方式（ACL）【正確答案】：A例題分析如下的描述中，哪個不是安全策略的核心內(nèi)容（）。 A.定方案 B.定員 C.定安全設(shè)備 D.定工作流程分析：安全策略的7項(xiàng)核心內(nèi)容：定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程信息安全策略的設(shè)計(jì)與實(shí)施步驟是（1）。（1）A.定義活動目錄角色、確定組策略管理安全性、身份驗(yàn)證、訪問控制和管理委派B.確定標(biāo)準(zhǔn)性、規(guī)范性、可控性、整體性、最小影響、保密性原則，確定公鑰基本結(jié)構(gòu)C.確定安全需求、制訂可實(shí)現(xiàn)的安全目標(biāo)、制訂安全規(guī)劃，制訂系統(tǒng)的日常維護(hù)計(jì)劃D.確定安全需求、確定安全需求的范圍、制訂安全規(guī)劃、制訂系統(tǒng)的日常維護(hù)計(jì)劃例題分析

?加密和解密采用同一個密鑰-常用算法?IDEA?RC4?DES?3DES傳統(tǒng)密碼學(xué)（對稱密鑰）非對稱式加密公鑰加密(數(shù)字信封)

公鑰加密(數(shù)字簽名)

虛擬專用網(wǎng)和虛擬本地網(wǎng)VPNVLANIPSECVPNMPLSVPN無線安全網(wǎng)絡(luò)WLANWLAN安全WEPWEP2WPAWPA2WAPI信息系統(tǒng)的安全屬性包括（1）和不可抵賴性。（1）

A．保密性、完整性、可用性

B．符合性、完整性、可用性

C．保密性、完整性、可靠性

D．保密性、可用性、可維護(hù)性為了保障數(shù)據(jù)的存儲和傳輸安全，需要對一些重要數(shù)據(jù)進(jìn)行加密。由于對稱密碼算法__(1)__，所以特別適合對大量的數(shù)據(jù)進(jìn)行加密。國際數(shù)據(jù)加密算法IDEA的密鑰長度是__(2)__位。（1）

（2）

A.56

B.64 C.128

例題分析關(guān)于RSA算法的敘述不正確的是（1）。（

3DES在DES的基礎(chǔ)上，使用倆個56位的密鑰K1和K2，發(fā)送方用K1加密，K2解密，再用K1加密。接受方用K1解密，K2加密，再用K1解密，這相當(dāng)于使用（1）倍于DES的密鑰長度的加密效果。（1）A．1

B．2

C．3D．6例題分析關(guān)于kerberos和PKI倆種認(rèn)證協(xié)議的敘述中正確的是（1），在使用kerberos認(rèn)證時(shí)，首先向密鑰分發(fā)中心發(fā)送初始票據(jù)（2）來請求會話票據(jù)，以便獲取服務(wù)器提供的服務(wù)。（1）A.Kerberos和PKI都是對稱密鑰

B.Kerberos

和

PKI都是非對稱密鑰

C.Kerberos

是對稱密鑰，而PKI是非對稱密鑰

D.Kerberos

是非對稱密鑰，而PKI是對稱密鑰（2）

A．RSA

B．TGT

C．DES

D．LSA例題分析PKI公開密鑰基礎(chǔ)設(shè)施信息安全五要素機(jī)密性、完整性、可用性、真實(shí)性、抗抵賴性PKI組成數(shù)字證書認(rèn)證中心數(shù)字證書注冊機(jī)構(gòu)數(shù)字簽名密鑰和證書管理工具雙證書體系PKI體系架構(gòu)：信任服務(wù)體系和密鑰管理中心PKI公開密鑰基礎(chǔ)設(shè)施證書標(biāo)準(zhǔn)版本號序列號簽名算法標(biāo)識符認(rèn)證機(jī)構(gòu)有效期限主題信息公鑰信息PKI公開密鑰基礎(chǔ)設(shè)施數(shù)字證書的生命周期安全需求確定證書登記證書分發(fā)證書撤回證書更新證書審計(jì)PKI公開密鑰基礎(chǔ)設(shè)施PKI/CA的信任結(jié)構(gòu)層次信任結(jié)構(gòu)分布式信任結(jié)構(gòu)Web模型以用戶為中心的信任模型交叉認(rèn)證的信任關(guān)系PKI公開密鑰基礎(chǔ)設(shè)施CA的主要職責(zé)數(shù)字證書管理證書和證書庫密鑰備份及恢復(fù)密鑰和證書的更新證書歷時(shí)檔案客戶端軟件交叉認(rèn)證

?

PKI應(yīng)用–SSL/TLS?在源和目的實(shí)體間建立了一條安全通道(在傳輸層之上)，提供基于證書的認(rèn)證、信息完整性和數(shù)據(jù)保密性–IPSec(IPSecurity)?在網(wǎng)絡(luò)層實(shí)現(xiàn)加密，確保數(shù)據(jù)的保密性、完整性和認(rèn)證–SET(SecureElectronicTransaction)?開放的設(shè)計(jì)，用來保護(hù)Internet上信用卡交易的加密和安全規(guī)范?通過使用X.509v3數(shù)字證書來提供信任PMI權(quán)限（授權(quán)）管理基礎(chǔ)設(shè)施訪問控制基本概念訪問控制：限制訪問主題對客體的訪問權(quán)限訪問控制的兩個重要過程認(rèn)證過程授權(quán)管理訪問控制分類強(qiáng)制訪問控制自主訪問控制訪問控制安全模型BLP訪問控制安全模型Biba完整性模型PMI權(quán)限（授權(quán)）管理基礎(chǔ)設(shè)施PKI與PMIPKI主要進(jìn)行身份鑒別，證明用戶身份，即“你是誰”PMI證明這個用戶有什么權(quán)限，能干什么，即“你能做什么”AC即屬性證書，表示證書的持有者（主體）對于一個資源實(shí)體（客體）所具有的權(quán)限。概念PKI實(shí)體PMI實(shí)體證書公鑰證書屬性證書證書簽發(fā)者認(rèn)證證書管理中心屬性證書管理中心證書用戶主體持有者證書綁定主體名和公鑰綁定持有者名和權(quán)限綁定撤銷證書撤銷列表(CRL)屬性證書撤銷列表(ACRL)信任的根根CA/信任錨權(quán)威源(SOA)從屬權(quán)威子CA屬性管理中心AAPMI權(quán)限（授權(quán)）管理基礎(chǔ)設(shè)施訪問控制授權(quán)方案DAC，自主訪問控制方式，該模型針對每個用戶指明能夠訪問的資源，對于不在指定的資源列表中的對象不允許訪問。ACL，訪問控制列表方式，目標(biāo)資源擁有訪問權(quán)限列表，指明允許哪些用戶訪問。如果某個用戶不在訪問控制列表中，則不允許該用戶訪問這個資源。MAC，強(qiáng)制訪問控制方式，目標(biāo)具有一個包含等級的安全標(biāo)簽，訪問者擁有包含等級列表的許可，其中定義了可以訪問哪個級別的目標(biāo)。RBAC，基于角色的訪問控制方式，該模型首先定義一些組織內(nèi)的角色，再根據(jù)管理規(guī)定給這些角色分配相應(yīng)的權(quán)限，最后對組織內(nèi)的每個人根據(jù)具體業(yè)務(wù)和職位分配一個或多個角色。比較先進(jìn)的電子政務(wù)網(wǎng)站提供基于（1）的用戶認(rèn)證機(jī)制用于保障網(wǎng)上辦公的信息安全和不可抵賴性。（1）

A．?dāng)?shù)字證書

B．用戶名和密碼

C．電子郵件地址

D．SSL使用網(wǎng)上銀行卡支付系統(tǒng)付款與使用傳統(tǒng)信用卡支付系統(tǒng)付款，兩者的付款授權(quán)方式是不同的，下列論述正確的是（1）。A．前者使用數(shù)字簽名進(jìn)行遠(yuǎn)程授權(quán)，后者在購物現(xiàn)場使用手寫簽名的方式授權(quán)商家扣款B．前者在購物現(xiàn)場使用手寫簽名的方式授權(quán)商家扣款，后者使數(shù)字簽名進(jìn)行遠(yuǎn)程授權(quán)C．兩者都在使用數(shù)字簽名進(jìn)行遠(yuǎn)程授權(quán)D．兩者都在購物現(xiàn)場使用手寫簽名的方式授權(quán)商家扣款例題分析（1）指對主體訪問和使用客體的情況進(jìn)行記錄和審查，以保證安全規(guī)則被正確執(zhí)行，并幫助分析安全事故產(chǎn)生的原因。（1）

D.安全審計(jì)TCP/IP在多個層引入了安全機(jī)制，其中TLS協(xié)議位于（1）。

在（1）中，①用于防止信息抵賴；②用于防止信息被竊?。虎塾糜诜乐剐畔⒈淮鄹?；④用于防止信息被假冒。（1）A.①加密技術(shù)②數(shù)字簽名③完整性技術(shù)④認(rèn)證技術(shù)

B.①完整性技術(shù)②認(rèn)證技術(shù)③加密技術(shù)④數(shù)字簽名

C.①數(shù)字簽名②完整性技術(shù)③認(rèn)證技術(shù)④加密技術(shù)

D.①數(shù)字簽名②加密技術(shù)③完整性技術(shù)④認(rèn)證技術(shù)例題分析某業(yè)務(wù)員需要在出差期間能夠訪問公司局域網(wǎng)中的數(shù)據(jù)，與局域網(wǎng)中的其他機(jī)器進(jìn)行通信，并且保障通信的機(jī)密性。但是為了安全，公司禁止Internet上的機(jī)器隨意訪問公司局域網(wǎng)。虛擬專用網(wǎng)使用__(1)__協(xié)議可以解決這一需求。（1）

B.RC-5

C.UDP D.Telnet基于角色的訪問控制中，角色定義、角色成員的增減、角色分配都是由（1）實(shí)施的，用戶只能被動接受授權(quán)規(guī)定，不能自主地決定，用戶也不能自主地將訪問權(quán)限傳給他人，這是一種非自主型訪問控制。（1）A.CSO B.安全管理員 C.稽查員或?qū)徲?jì)員

D.應(yīng)用系統(tǒng)的管理員例題分析在（1）中，①代表的技術(shù)通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別；②代表的技術(shù)把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以代替telnet，可以為ftp提供一個安全的“通道”；③代表的協(xié)議讓持有證書的Internet瀏覽器軟件和WWW服務(wù)器之間構(gòu)造安全通道傳輸數(shù)據(jù)，該協(xié)議運(yùn)行在TCP/IP層之上，應(yīng)用層之下。（1）A.①SSH②VPN③SSL B.①VPN②SSH③SSL C.①VPN②SSL③SSH D.①SSL②VPN③SSH關(guān)于網(wǎng)絡(luò)安全服務(wù)的敘述中，（1）是錯誤的。（1）A.應(yīng)提供訪問控制服務(wù)以防止用戶否認(rèn)已接收的信息B.應(yīng)提供認(rèn)證服務(wù)以保證用戶身份的真實(shí)性C.應(yīng)提供數(shù)據(jù)完整性服務(wù)以防止信息在傳輸過程中被刪除D.應(yīng)提供保密性服務(wù)以防止傳輸?shù)臄?shù)據(jù)被截獲或篡改例題分析根據(jù)統(tǒng)計(jì)顯示，80%的網(wǎng)絡(luò)攻擊源于內(nèi)部網(wǎng)絡(luò)，因此，必須加強(qiáng)對內(nèi)部網(wǎng)絡(luò)的安全控制和防護(hù)。下面的措施中，無助于提高同一局域網(wǎng)內(nèi)安全性的措施是__(1)__。（1） A.使用防病毒軟件 B.使用日志審計(jì)系統(tǒng) C.使用入侵檢測系統(tǒng)

D.使用防火墻防止內(nèi)部攻擊網(wǎng)絡(luò)安全設(shè)計(jì)是保證網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)，以下關(guān)于網(wǎng)絡(luò)安全設(shè)計(jì)原則的描述，錯誤的是（1）。（1）A．網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該以不影響系統(tǒng)正常運(yùn)行為前提 B．把網(wǎng)絡(luò)進(jìn)行分層，不同的層次采用不同的安全策略

C．網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)應(yīng)獨(dú)立進(jìn)行，不需要考慮網(wǎng)絡(luò)結(jié)構(gòu) D．網(wǎng)絡(luò)安全的“木桶原則”強(qiáng)調(diào)對信息均衡、全面地進(jìn)行保護(hù)例題分析安全管理是信息系統(tǒng)安全能動性的組成部分，它貫穿于信息系統(tǒng)規(guī)劃、設(shè)計(jì)、運(yùn)行和維護(hù)的各階段。安全管理中的介質(zhì)安全屬于（1）。（1）A.技術(shù)安全 B.管理安全

C.物理安全

D.環(huán)境安全以下關(guān)于入侵檢測系統(tǒng)的描述中，說法錯誤的是（1）。（1）A.入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)活動進(jìn)行監(jiān)視B.入侵檢測能簡化管理員的工作，保證網(wǎng)絡(luò)安全運(yùn)行C.入侵檢測是一種主動保護(hù)網(wǎng)絡(luò)免受攻擊的安全技術(shù)D.入侵檢測是一種被動保護(hù)網(wǎng)絡(luò)免受攻擊的安全技術(shù)例題分析網(wǎng)絡(luò)安全包含了網(wǎng)絡(luò)信息的可用性、保密性、完整性和真實(shí)性。防范DOS攻擊是提高（1）的措施，數(shù)字簽名是保證（2）的措施。（1）A.可用性B.保密性C.完整性D.真實(shí)性（2）A.可用性B.保密性C.完整性D.真實(shí)性防火墻把網(wǎng)絡(luò)劃分為幾個不同的區(qū)域，一般把對外提供網(wǎng)絡(luò)服務(wù)的設(shè)備（如WWW服務(wù)器、FTP服務(wù)器）放置于（1）區(qū)域。（1）A.信任網(wǎng)絡(luò) B.非信任網(wǎng)絡(luò) C.半信任網(wǎng)絡(luò)

D.DMZ（非軍事化區(qū)）例題分析信息安全系統(tǒng)和體系安全機(jī)制基礎(chǔ)設(shè)施實(shí)體安全、平臺安全、數(shù)據(jù)安全、通信安全、應(yīng)用安全、運(yùn)行安全、管理安全、授權(quán)和審計(jì)安全、安全防范體系安全服務(wù)對等實(shí)體認(rèn)證服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)、犯罪證據(jù)提供服務(wù)安全技術(shù)加密技術(shù)、數(shù)字簽名技術(shù)、訪問控制技術(shù)、數(shù)據(jù)完整性技術(shù)、認(rèn)證技術(shù)、數(shù)據(jù)挖掘技術(shù)信息安全系統(tǒng)和體系信息安全系統(tǒng)架構(gòu)體系MIS+SS-MISS2-MIS信息安全系統(tǒng)和體系在Windows操作系統(tǒng)平臺上采用通用硬件設(shè)備和軟件開發(fā)工具搭建的電子商務(wù)信息系統(tǒng)宜采用__(15)__作為信息安全系統(tǒng)架構(gòu)。

（15）A.S2-MISB.MIS+S解析：見教程P565“信息系統(tǒng)安全架構(gòu)體系”MIS+S、S-MIS均是使用通用硬件設(shè)備和軟件開發(fā)工具，但S-MIS要求PKA/CA安全保障系統(tǒng)必須帶密碼。MIS+S電子商務(wù)平臺不適合使用MIS+S，安全級別太低。信息安全管理體系是指（1）。（1）A.網(wǎng)絡(luò)維護(hù)人員的組織體系 B.信息系統(tǒng)的安全設(shè)施體系 C.防火墻等設(shè)備、設(shè)施構(gòu)建的安全體系

D.組織建立信息安全方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系例題分析信息安全審計(jì)系統(tǒng)S-Audit安全審計(jì)指主體對客體進(jìn)行訪問和使用情況進(jìn)行記錄和審查，以保證安全規(guī)則被正確執(zhí)行，并幫助分析安全事故產(chǎn)生的原因。入侵檢測是從信息安全審計(jì)派生出來的，隨著網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用信息系統(tǒng)的推廣普及而逐漸成為一個信息安全的獨(dú)立分支，但彼此設(shè)計(jì)的內(nèi)容、要達(dá)到的目的，以及采用的方式、方法都非常接近。信息安全審計(jì)系統(tǒng)S-Audit安全設(shè)計(jì)的作用對潛在的攻擊者起到震懾或警告作用對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)與加強(qiáng)的地方信息安全審計(jì)系統(tǒng)S-Audit對重要應(yīng)用系統(tǒng)運(yùn)行情況的審計(jì)基于主機(jī)操作系統(tǒng)代理基于應(yīng)用系統(tǒng)代理基于應(yīng)用系統(tǒng)獨(dú)立程序基于網(wǎng)絡(luò)旁路監(jiān)控方式安全審計(jì)是保障計(jì)算機(jī)系統(tǒng)安全的重要手段之一，其作用不包括（1）。（1）A.檢測對系統(tǒng)的入侵 B.發(fā)現(xiàn)計(jì)算機(jī)的濫用情況 C.發(fā)現(xiàn)系統(tǒng)入侵行為和潛在的漏洞

D.保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄例題分析信息安全系統(tǒng)工程ISSE-CMM信息系統(tǒng)（信息應(yīng)用系統(tǒng)、信息應(yīng)用管理系統(tǒng)、管理信息系統(tǒng)），簡稱MIS信息安全系統(tǒng)，從信息應(yīng)用系統(tǒng)脫離。傳統(tǒng)的信息應(yīng)用系統(tǒng)分為兩個部分：信息安全系統(tǒng)和業(yè)務(wù)應(yīng)用信息系統(tǒng)。信息系統(tǒng)工程：建造信息系統(tǒng)的工程。包括信息安全系統(tǒng)工程和業(yè)務(wù)應(yīng)用信息系統(tǒng)工程。包括信息安全系統(tǒng)工程和業(yè)務(wù)應(yīng)用信息系統(tǒng)工程。信息系統(tǒng)安全，信息系統(tǒng)的安全。信息系統(tǒng)的安全有組成該信息系統(tǒng)的信息安全系統(tǒng)所保證。信息系統(tǒng)安全不是一個另外的獨(dú)立存在的系統(tǒng)，而信息安全系統(tǒng)是客觀的、獨(dú)立于業(yè)務(wù)應(yīng)用系統(tǒng)而存在的信息系統(tǒng)。信息安全系統(tǒng)工程，面向工程事故和人生事故等安全事故，已經(jīng)不屬于IT范疇了。信息安全系統(tǒng)工程ISSE-CMMISSE-CMM信息安全系統(tǒng)工程能力成熟度模型是一種衡量信息安全系統(tǒng)工程實(shí)施能力的方法，是使用面向工程過程的一種方法。ISSE-CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的。ISSE-CMM主要用于指導(dǎo)信息安全系統(tǒng)工程的完善和改進(jìn)。信息安全系統(tǒng)工程ISSE-CMMISSE-CMM主要概念過程，一個工程是指為了達(dá)到某一給定目標(biāo)而執(zhí)行的一系列活動，這些活動可以重復(fù)、遞歸和并發(fā)地執(zhí)行。過程區(qū)，是由一些基本實(shí)施組成的，它們共同實(shí)施來達(dá)到該過程區(qū)規(guī)定的目標(biāo)。ISSE-CMM包含三類過程區(qū)：工程、項(xiàng)目和組織。工作產(chǎn)品，在執(zhí)行任何過程中產(chǎn)生出的所有文檔、報(bào)告、文件和數(shù)據(jù)。過程能力，是通過跟蹤一個過程能達(dá)到期望結(jié)果的可量化范圍。信息安全系統(tǒng)工程ISSE-CMM能力級別1級-非正規(guī)實(shí)施級，著重于一個組織或項(xiàng)目只是執(zhí)行了包含基本實(shí)施的過程。這個級別的能力特點(diǎn)可以描述為：“必須首先做它，然后才能管理它”。2級-規(guī)劃和跟蹤級，著重于項(xiàng)目層面的定義、規(guī)劃和執(zhí)行問題。這個級別的能力特點(diǎn)可描述為：“在定義組織