公安安全信息產(chǎn)品和服務(wù)采購(gòu)系統(tǒng)的研究與開(kāi)發(fā).pdf

1、互聯(lián)網(wǎng)技術(shù)的發(fā)展,促使信息技術(shù)進(jìn)入國(guó)家政治、經(jīng)濟(jì)、文化、教育的許多環(huán)節(jié)。信息技術(shù)產(chǎn)品和服務(wù)的采購(gòu)已經(jīng)在許多國(guó)家部委必不可少。國(guó)際上目前有很多的過(guò)程模型、技術(shù)支持信息產(chǎn)品的開(kāi)發(fā)過(guò)程、服務(wù)過(guò)程的質(zhì)量管理,但隨著互聯(lián)網(wǎng)的發(fā)展,潛在的信息安全問(wèn)題也日益突出。一些針對(duì)開(kāi)發(fā)過(guò)程和最終產(chǎn)品的信息安全保證、認(rèn)證和評(píng)定技術(shù)蓬勃發(fā)展,但針對(duì)信息產(chǎn)品和服務(wù)采購(gòu)過(guò)程的安全保障技術(shù)還沒(méi)有非常成熟的體現(xiàn),尤其在各國(guó)政治、財(cái)經(jīng)體系特色下,如何保證從采購(gòu)過(guò)程對(duì)信息產(chǎn)品

2、和服務(wù)的信息安全是一個(gè)亟待解決的問(wèn)題。CMMI模型是目前信息領(lǐng)域最為廣泛接受的一個(gè)模型,模型自2006改版后,CMMI模型的1.2版提出了一個(gè)模型群,在一個(gè)統(tǒng)一的框架下開(kāi)發(fā)信息技術(shù)產(chǎn)品和服務(wù)相關(guān)的系列模型,目前已經(jīng)發(fā)布和在研的模型有三個(gè):CMMI—DEVV1.2,CMMI-ACQV1.2和CMMI-SVC(在研)。其中CMMI—ACQ專(zhuān)門(mén)針對(duì)信息技術(shù)產(chǎn)品和服務(wù)的采購(gòu)過(guò)程提出4類(lèi)共22個(gè)過(guò)程域,涵蓋了采購(gòu)策劃和準(zhǔn)備、采購(gòu)合同、采購(gòu)品開(kāi)發(fā)和

3、采購(gòu)驗(yàn)收4個(gè)階段,并且可以和產(chǎn)品/服務(wù)提供方的基于CMMI的過(guò)程體系兼容。但CMMI—ACQ是一個(gè)通用的采購(gòu)過(guò)程管理模型,對(duì)于公安、軍事等有高安全性要求的部門(mén),在信息安全,譬如采購(gòu)方信息安全、采購(gòu)方提供產(chǎn)品的安全、被采購(gòu)產(chǎn)品/服務(wù)安全性評(píng)價(jià)或者等級(jí)評(píng)定,并未提供有針對(duì)性的指導(dǎo)。本文研究并提出了依據(jù)ISO27000的信息安全管理要求,對(duì)CMMI-ACQ的6個(gè)采購(gòu)過(guò)程域進(jìn)行安全擴(kuò)展形成的安全采購(gòu)模型SAMEC(Security Acquis

4、ition Model Extend CMMI-ACQ-SAMEC)。SAMEC以CMMI-ACQ的采購(gòu)過(guò)程域?yàn)榛A(chǔ),擴(kuò)展了采購(gòu)活動(dòng)中的需要考慮的安全因素,形成適合安全信息技術(shù)產(chǎn)品和服務(wù)的采購(gòu)過(guò)程模型。該模型兼容ISO27000的信息安全管理要求,可以支持采購(gòu)組織建立有效、完整的信息技術(shù)產(chǎn)品和服務(wù)安全采購(gòu)過(guò)程。SAMEC還在公安信息技術(shù)產(chǎn)品和服務(wù)的招標(biāo)采購(gòu)過(guò)程中得到應(yīng)用和驗(yàn)證,基于SAMEC的公安安全采購(gòu)過(guò)程可以有效管理和控制采購(gòu)過(guò)程中