CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第五章 知識域：安全工程與運營

5.1 知識子域：系統安全工程

5.1.4 SSE-CMM的安全工程過程

SSE-CMM將域維中的工程過程類的11個過程區域劃分為3個基本過程領域，分別是風險過程、工程過程、保證過程

1.風險過程

系統安全工程的主要目標就是降低風險到可接受范圍

安全工程中的風險三要素是影響、威脅和脆弱性

風險管理中的三要素是資產、威脅和脆弱性

（1）PA04評估威脅

評估威脅過程區域的目的在于識別安全威脅及其性質和特征

本過程區域基本實施有6項

（2）PA05評估脆弱性

本過程區域包括分析系統資產、定義特殊的脆弱性以及對整個系統脆弱性的評估

本過程區域基本實施有5項

（3）PA02評估影響

評估影響的目的是識別對該系統有關的影響，并對發生影響的可能性進行評估

遵循成本和效益的平衡原則

本過程區域基本實施有6項

（4）PA03評估安全風險

評估安全風險的目標是獲得對在一個給定環境中運行該系統相關的安全風險的理解，并按照給定的方法論優先考慮風險問題

本過程區域基本實施有6項

2.工程過程

系統安全過程包括概念、設計、實現、測試、部署、運行、維護、退出的完整過程

SSE-CMM強調系統安全工程師是一個大項目隊伍中的組成部分，需要與其他科目工程師的活動相互協調

1）PA10確定安全需求

該過程區域的主要工作是明確地識別出與安全相關的需求，它要求包括用戶在內的所欲各方達成對安全需求的共同認識

該過程區域包括定義整個信息系統中所有安全方面的活動

本過程區域基本實施有7項

2）PA09提供安全輸入

本過程區域提供支持系統設計和實施活動的安全輸入

本過程區域包括適用于開發和運行的安全輸入

本過程區域基本實施有6項

3）PA01管理安全控制

該項主要是確定集成到系統中的安全控制措施確實在系統運行過程中發揮預計的安全功能

本過程區域基本實施有4項

4）PA08監控安全態勢

安全態勢表明系統及其環境已準備好處理目前的威脅、脆弱性和對系統及其資源的任何影響

本過程區域基本實施有7項

5）PA07協調安全

安全工程不能獨立地取得成功，要保證所有部門都有一種參與安全工程的意識，這樣才能充分發揮他們的作用，并且，有關安全的決定和建議是互相溝通和協調才能達成一致

本過程區域基本實施用4項

3.保證過程

保證是指安全需求得到滿足的可信程度

1）PA11驗證和證實安全

通過觀察、論證、分析和測試來驗證和證實解決方案滿足安全需求；驗證證據正確性，證實證據有效性。

本過程區域基本實施有5項

2）PA06建立保證論據

通過證據的收集，建立保證論據，該論據應清楚地說明用戶的安全需求已經得到滿足，通過一系列證據建立了對系統安全的信息

本過程區域基本實施有5項

查看更多：CISP第五章知識點整理匯總