公安安全信息產(chǎn)品和服務(wù)采購系統(tǒng)的研究與開發(fā).pdf

1、互聯(lián)網(wǎng)技術(shù)的發(fā)展,促使信息技術(shù)進(jìn)入國家政治、經(jīng)濟(jì)、文化、教育的許多環(huán)節(jié)。信息技術(shù)產(chǎn)品和服務(wù)的采購已經(jīng)在許多國家部委必不可少。國際上目前有很多的過程模型、技術(shù)支持信息產(chǎn)品的開發(fā)過程、服務(wù)過程的質(zhì)量管理,但隨著互聯(lián)網(wǎng)的發(fā)展,潛在的信息安全問題也日益突出。一些針對開發(fā)過程和最終產(chǎn)品的信息安全保證、認(rèn)證和評定技術(shù)蓬勃發(fā)展,但針對信息產(chǎn)品和服務(wù)采購過程的安全保障技術(shù)還沒有非常成熟的體現(xiàn),尤其在各國政治、財(cái)經(jīng)體系特色下,如何保證從采購過程對信息產(chǎn)品

2、和服務(wù)的信息安全是一個(gè)亟待解決的問題。CMMI模型是目前信息領(lǐng)域最為廣泛接受的一個(gè)模型,模型自2006改版后,CMMI模型的1.2版提出了一個(gè)模型群,在一個(gè)統(tǒng)一的框架下開發(fā)信息技術(shù)產(chǎn)品和服務(wù)相關(guān)的系列模型,目前已經(jīng)發(fā)布和在研的模型有三個(gè):CMMI—DEVV1.2,CMMI-ACQV1.2和CMMI-SVC(在研)。其中CMMI—ACQ專門針對信息技術(shù)產(chǎn)品和服務(wù)的采購過程提出4類共22個(gè)過程域,涵蓋了采購策劃和準(zhǔn)備、采購合同、采購品開發(fā)和

3、采購驗(yàn)收4個(gè)階段,并且可以和產(chǎn)品/服務(wù)提供方的基于CMMI的過程體系兼容。但CMMI—ACQ是一個(gè)通用的采購過程管理模型,對于公安、軍事等有高安全性要求的部門,在信息安全,譬如采購方信息安全、采購方提供產(chǎn)品的安全、被采購產(chǎn)品/服務(wù)安全性評價(jià)或者等級評定,并未提供有針對性的指導(dǎo)。本文研究并提出了依據(jù)ISO27000的信息安全管理要求,對CMMI-ACQ的6個(gè)采購過程域進(jìn)行安全擴(kuò)展形成的安全采購模型SAMEC(Security Acquis

4、ition Model Extend CMMI-ACQ-SAMEC)。SAMEC以CMMI-ACQ的采購過程域?yàn)榛A(chǔ),擴(kuò)展了采購活動中的需要考慮的安全因素,形成適合安全信息技術(shù)產(chǎn)品和服務(wù)的采購過程模型。該模型兼容ISO27000的信息安全管理要求,可以支持采購組織建立有效、完整的信息技術(shù)產(chǎn)品和服務(wù)安全采購過程。SAMEC還在公安信息技術(shù)產(chǎn)品和服務(wù)的招標(biāo)采購過程中得到應(yīng)用和驗(yàn)證,基于SAMEC的公安安全采購過程可以有效管理和控制采購過程中