信息系统安全集成确定安全需求与目标概述

1信息系统安全集成确定安全需求与目标2本章摘要

本章从组织IT战略出发，根据业务特征、法律法规及合同要求，在充分考虑风险的基础上，确定组织的安全需求和目标，形成各方认可的安全需求文件。摘要主要内容一、概述二、组织IT战略与安全需求三、组织业务与安全需求四、符合性的安全需求五、基于风险的安全要求六、确定组织的安全需求七、确定信息安全目标4一、概述1.组织与信息安全需求从广义上说，组织是指由诸多要素按照一定方式相互联系起来的系统。从狭义上说，组织就是指人们为实现一定的目标，互相协作结合而成的集体或团体，如党团组织、工会组织、企业、军事组织等等。狭义的组织专门指人群而言，运用于社会管理之中。组织概述5一、概述1.组织与信息安全需求现代社会组织定义在现代社会生活中．组织是人们按照一定的目的、任务和形式编制起来的社会集团。组织是体现一定社会关系、具有一定结构形式并且不断从外部汲取资源以实现其目标的集合体。组织概述6一、概述1.组织与信息安全需求组织安全需求--组织需要保护什么？信息安全的需求，是由于本身或类似组织经历了信息损失之后才有的需求。这些需求包括了从组织IT层面出发贯穿整个组织业务并符合法律法规、安全监管要求、合同业务要求等，提出复合组织的基于风险管理的安全需求。组织应该将信息安全集成到业务运作的每一个层面。7一、概述1.组织与信息安全需求组织安全需求分析的层次需求分析的层次：目标性需求，定义了整个系统需要达到的目标；功能性需求，定义了整个系统必须完成的任务；操作性需求，定义了完成每个任务的具体的人机交互.8一、概述1.组织与信息安全需求组织安全需求挖掘的方法挖掘需求的方法：分析特定客户的业务流程和模型;与特定客户进行讨论与交流(或联合成立需求组)，包括：需求讨论会,与专家或代表讨论.通过调查获取需求，常见需求调查方式有：与用户交谈，向用户提问题等.9一、概述1.组织与信息安全需求组织安全需求分析的方法—风险评估法安全需求分析的方法：资产清册风险评估确定风险形成需求10一、概述2.组织安全风险安全威胁--引入相关数据图表介绍组织正在遭受越来越多的安全威胁和攻击破坏。由于组织越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。11一、、概概述述2.组织织安安全全风风险险风险险是是指指一一个个事事件件产产生生我我们们所所不不希希望望的的后后果果可可能能性性。。组织织的的风风险险是是指指组组织织未未来来发发生生损损失失的的不不确确定定性性。。这这些些安安全全风风险险主主要要包包括括了了业业务务的的连连续续性性、、业业务务流流程程安安全全、、法法律律安安全全要要求求、、合合同同安安全全、、隐隐私私保保护护要要求求等等。。组织织的的风风险险12一、、概概述述3.组织织信信息息安安全全目目标标根据据国国际际信信息息安安全全管管理理标标准准的的描描述述，，信信息息安安全全的的目目标标是是““通通过过防防止止和和减减小小安安全全事事故故的的影影响响，，保保证证业业务务连连续续性性，，使使业业务务损损失失最最小小化化。。””需要要进进行行IT规划划和和费费用用调调整整以以保保证证适适当当的的安安全全投投入入，，部部署署有有效效的的工工具具，，来来解解决决紧紧迫迫的的安安全全问问题题，，实实现现组组织织的的安安全全目目标标。。信息息安安全全的的目目标标13二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织战战略略组织织战战略略是是指指组组织织对对有有关关全全局局性性,长远远性性,纲领领性性目目标标的的谋谋划划和和决决策策.14二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织战战略略组织织战战略略是是表表明明组组织织如如何何达达到到目目标标，，完完成成使使命命的的整整体体谋谋划划,是提提出出详详细细行行动动计计划划的的起起点点,但它它又又凌凌驾驾于于任任何何特特定定计计划划的的各各种种细细节节之之上上.战略略反反映映了了管管理理者者对对于于行行动动,环境境和和业业绩绩之之间间关关键键联联系系的的理理解解,用以以确确保保已已确确定定的的使使命命,愿景景,价值值观观的的实实现现。。15二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织IT战略略IT战略略即即信信息息技技术术战战略略（（ITStrategy）是是组组织织经经营营战战略略的的有有机机组组成成部部分分，，和和财财务务战战略略、、人人力力资资源源战战略略、、运运作作战战略略等等一一样样，，是是公公司司的的职职能能战战略略。。IT战是是关关于于企企业业信信息息技技术术职职能能的的目目标标及及其其实实现现的的总总体体谋谋划划。。对于于大大的的组组织织公公司司而而言言，，子子公公司司或或大大的的业业务务单单元元也也会会有有其其相相对对独独立立的的信信息息技技术术战战略略。。16二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织IT战略略的的部部分分组组成成使命命（（Mission）：：阐阐述述信信息息技技术术存存在在的的理理由由、、目目的的以以及及在在企企业业中中的的作作用用。。远景景目目标标（（Vision）：：信信息息技技术术的的发发展展方方向向和和结结果果。。中长长期期目目标标（（MediumtoLong-termObjectives）：：远远景景目目标标的的具具体体化化，，即即企企业业未未来来2~3年信信息息技技术术发发展展的的具具体体目目标标。。17二、组织织IT战略略与与安安全全需需求求1.组织织IT战略略组织织IT战略略的的要要点点战略略要要点点：：是是实实现现上上述述中中长长期期目目标标的的途途径径或或路路线线。。组织织IT战略略的的规规划划主主要要围围绕绕信信息息技技术术内内涵涵的的四四个个方方面面展展开开：：硬件与组建建网络与通信信应用与数据据组织与人员员18二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求组织信息资资产要进行信息息安全建设设，首先明明确安全保保护的对象象---组织信息资资产。19二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求组织信息资资产明确安全保保护的对象象，即明确确组织信息息资产。分析业务流流程识别关键的的业务资产产确定业务资资产的安全全所有人和和责任人明确安全保保护责任20二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求组织信息资资产建立组织信信息资产目目录并进行行维护，帮帮助组织实实施有效的的信息资产产安全保护护，实现业业务连续性性和灾难恢恢复。在信息资产产目录中应应该定义资资产的安全全等级和安安全责任人人。21二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求组织信息资资产在以业务为为核心的组组织内部，，信息资产产包括：业务应用软软件IT基础设施（（硬件、组组件、网络络通讯等））相关的数据据和信息关键业务流流程和人员员其他信息资资产。22二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求安全风险的的评估安全风险评评估的目的的在于定义义核心信息息资产，并并且分析应应用环境中中可能存在在的风险。。安全风险评评估是定义义安全需求求、选择相相应对策以以及设计安安全系统的的基础。23二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求安全风险的的评估简易风险评评估模型：：从风险性质质上,风险=威胁+弱点+影响考虑风险的的影线,风险=威胁*弱点点*影响风险三个要要素：威胁--事件或行为为,一般来自系系统外部,可能在某些些地方会影影响固有的的弱点,造成影响.弱点--系统内部考考虑之中的的弱点,可能在某些些地方受到到威胁所利利用。影响--短期与长期期组织影响响,威胁碰巧利利用弱点。。24二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求安全风险的的评估通过安全风风险评估，，识别关键键业务资产产的安全威威胁和风险险，了解企企业的安全全现状和风风险水平，，分析安全全需求和安安全改进方方向。安全需求必必须基于风风险评估，，并且应该该在设计阶阶段开始前前确定。25二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求基于战略的的信息安全全需求的确确定组织需要制制定与业务务战略和IT战略一致的的安全战略略，明确企企业的安全全建设目标标和安全建建设原则。。通过风险评评估了解了了组织的安安全现状和和风险水平平，企业明明确了各个个层次的安安全需求和和改进方向向。信息安全战战略是组织织在一定时时期内的一一整套安全全决策，这这一决策决决定了企业业的安全策策略和制度度、流程、、行为和技技术的建设设。26二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求基于战略的的信息安全全需求的确确定制定组织信信息安全战战略的目标标：支持组织战战略。平衡的信息息安全风险险。谨慎而有效效的信息安安全投资。。信息安全建建设能够与与业务发展展和IT能力建设同同步。促使信息安安全成为业业务发展的的有力驱动动。27二、组织IT战略与安全全需求2.基于战略的的组织信息安全需求基于战略的的信息安全全需求的确确定基于战略的的信息安全全需求的内内容：范围需求安全的目标标需求（可可用性、完完整性、保保密性、不不可地耐性性等要求））安全的组织织需求安全的资源源需求安全的管理理流程需求求（突发事事件与持续续改进）后续展开这这些需求。。。。。28三、组织业务与与安全需求求1.组织业务描描述模型组织的分类类方法有多多种，这里里讲的组织织按组织的的目标分类类，可以把把组织分为为：互益组织：：如工会、、俱乐部、、政党等。。工商组织：：如工厂、、商店、银银行等。服务组织：：如医院、、学校、社社会机构等等。公益组织：：如政府机机构、研究究机构、消消防队等。。组织的分类类29三、组织业务与与安全需求求1.组织业务描描述模型组织的业务务描述模型型业务模型是是描述业务务用例实现现的对象模模型，它是是对业务角角色和业务务实体之间间如何联系系和协作以以执行业务务的一种抽抽象。30三、组织业务与与安全需求求1.组织业务描描述模型组织的业务务描述模型型业务流程描描述模型刻刻画以业务务表单为中中心的应用用系统业务务流程，解解决其业务务流程建模模中的问题题,包括:各类约束的的严格描述述、权限表表示、流程程关系、流流程推进过过程以及业业务对象被被调度和执执行的全过过程描述。。采用业务流流程描述模模型的业务务系统更容容易扩展和和维护,能较好地满满足用户的的需求。31三、组织业务与与安全需求求1.组织业务描描述模型业务描述模模型例子---银行业务模模型业务事件[UML信号事件-指定的激励励表格或文文档]和过程(UML用例)过程名参与者事件/输入转换事件/输出约束描述引用联系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

32三、组织业务与与安全需求求1.组织业务描描述模型业务描述模模型例子---银行业务模模型Customer：客户；Teller：出纳员；；withdraw：取款；account：账户；BankDB：银行数据据库33三、组织业务与与安全需求求2.基于业务的的组织安全全需求业务信息资资产是企业业信息安全全保护的核核心目标，，因此要进进行信息安安全建设，，首先明确确安全保护护的对象。。组织需要要通过分析析业务流程程，识别关关键的业务务资产，确确定业务资资产的安全全所有人和和认责人，，明确安全全保护责任任。业务信息资资产安全是是组织信息息安全保护护的核心34三、组织业务与与安全需求求2.基于业务的的组织安全全需求组织业务信信息资产保保护内容在以业务为为核心的组组织内部，，信息资产产包括业务务硬件与组组件、系统统与网络通通信、应用用软件、相相关的数据据和信息，，还包括相相关的关键键业务流程程和人员。。35三、组织业务与与安全需求求2.基于业务的的组织安全全需求基于业务的的组织安全全需求对业务相关关信息资产产清册，包包括硬件与与组件、系系统与网络络通信、应应用软件、、相关的数数据和信息息，关键业业务流程和和人员。建立组织信信息资产目目录并进行行维护，可可以帮助企企业实施有有效的信息息资产安全全保护，业业务连续性性和灾难恢恢复。在信信息资产目目录中应该该定义资产产的安全等等级和安全全责任人。。36三、组织织业业务务与与安安全全需需求求2.基于于业业务务的的组组织织安安全全需需求求基于于业业务务的的组组织织安安全全需需求求通过过安安全全风风险险评评估估，，识识别别关关键键业业务务信信息息资资产产的的安安全全威威胁胁和和风风险险，，将将安安全全需需求求列列表表并并排排出出优优先先级级。。确定定基基于于业业务务的的组组织织安安全全需需求求和和安安全全改改进进方方向向。。37四、符合合性性的的安安全全需需求求1.符合合性性概概述述符合合性性需需求求的的意意义义为了了避避免免任任何何违违反反法法律律、、法法令令、、法法定定的的或或者者合合同同的的义义务务，，使使信信息息系系统统安安全全集集成成和和运运行行置置于于法法律律、、法法规规或或者者合合同同的的约约定定的的要要求求之之下下，，以以避避免免或或减减少少安安全全风风险险。。38四、符合合性性的的安安全全需需求求1.符合合性性概概述述符合合性性是是指指符符合合现现行行法法规规、、规规章章、、制制度度，，技技术术规规范范等等。。符合性要要求组织织所有行行为必须须合法，，符合相相关的规规章制度度及规则则。就是是不但要要遵守法法律，而而且也要要符合组组织内部部、行业业等的规规章制度度。符合性与与遵守组组织适用用的法律律和法规规有关。。它们依依赖于外外部因素素，如环环境法规规，在某某些方面面对于整整个组织织、或整整个行业业是类似似的。什么是符符合性39四、符合性的的安全需需求2.法律法规规要求法律法规规的识别别识别收集与安安全集成成有关的的法律法法规并对对适应性性进行评评价，确确定其适适用范围围和具体体适应条条款，形形成适应应的法律律法规清清单。40四、符合性的的安全需需求2.法律法规规要求法律法规规的识别别评估法律法规规复合性性的需要要定期评评估，保保持适应应的法律律、法规规的有效效最新版版本。法律法规规复合性性的需要要定期评评价，保保持适应应的法律律、法规规的符合合性。41四、符合性的的安全需需求2.法律法规规要求知识产权权保护需需求严格执行行国家有有关知识识产权方方面的法法律法规规，保证证使用合合法的正正版地软软件。这这些需要要，确定合法法获得软软件的途途径合法法；审查软件件资产清清单，确确保使用用的软件件已经被被授权；；列出需要要的软件件或未被被授权软软件清单单；确保用户户数不超超出允许许的上限限；严禁员工工私自安安装任何何软件。。42四、符合性的的安全需需求2.法律法规规要求记录的保保护需求求应按照法法律法规规要求和和组织规规定，明明确重要要记录的的保存期期限并适适当保护护，防止止丢失、、损坏和和伪造；；处理与个个人数据据与信息息应按照照国家法法律法规规的规定定和相关关合同约约束，对对个人信信息进行行妥善管管理与保保护，防防止丢失失或泄漏漏个人信信息；将需要保保护记录录和个数数据与人人信息列列出清单单，并明明确保护护要求。。43四、符合性的的安全需需求3.安全监管管要求安全监管管是为预防防和遏制制组织内内信息系系统缺陷陷、或用用户滥权权、或管管理不善善导致信信息安全全事件的的发生，，并保证证及时处处理由此此引起的的各类安安全事件件，减轻轻或消除除信息安安全事件件造成的的经济损损失或信信誉损失失，确保保组织业业务的连连续性。。44四、符合性的的安全需需求3.安全监管管要求安全监管管的要求求主要分分为：国家要求求；行业要求求；组织内部部；其他监管管要求。。45四、符合性的的安全需需求3.安全监管管要求信息安全全等级保保护管理理的要求求什么是信信息安全全等级保保护信息安全全等级保保护是指指国家秘秘密信息息、法人人和其他他组织及及公民的的专有信信息以及及公开信信息和存存储、传传输、处处理这些些信息的的信息系系统分等等级实行行安全保保护，对对信息系系统中使使用的信信息安全全产品实实行按等等级管理理，对信信息系统统中发生生的信息息安全事事件分等等级响应应、处置置。46四、符合性的的安全需需求3.安全监管管要求信息安全全等级保保护管理理的要求求组织对信信息和信信息系统统分等级级进行保保护的需需求：信息安全全等级保保护管理理要求信信息和信信息系统统分等级级进行保保护，按按组织的的利益，，社会公公众利益益，对国国家安全全的影响响一共分分为五级级，第一一级是最最低的，，第五级级是最高高。确定组织织是否强强制或自自愿纳入入信息安安全等级级保护管管理，明明确纳入入分级保保护的级级别。47四、符合性的的安全需需求3.安全监管管要求信息安全全等级保保护管理理的要求求组织对信信息系统统安全专专用产品品分等级级的需求求：信息安全全等级保保护管理理要求对对信息系系统安全全专用产产品分等等级进行行管理，，根据可可控性、、可靠性性、安全全性和可可监督性性这四个个属性确确定信息息系统使使用的安安全产品品等级，，各个单单位使用用的安全全产品应应该是分分等级的的。定了了三级的的系统不不能使用用二级以以下的安安全产品品；确定组织织纳入分分级保护护的级别别，明确确使用信信息安全全产品的的等级需需求。48四、符合性的的安全需需求3.安全监管管要求信息安全全等级保保护管理理的要求求组织对所所发生的的信息安安全事件件分等级级进行响响应和处处置的需需求：信息安全全等级保保护管理理要求，，对所发发生的信信息安全全事件分分等级进进行响应应和处置置，对不不同的信信息安全全事件，，由监管管部门牵牵头组织织全社会会的应急急响应和和单位的的应急响响应相结结合，最最大限度度的减轻轻信息安安全事件件造成的的损失。。确定组织织纳入分分级保护护的级别别，明确确信息安安全事件件响应的的等级需需求。49四、符合性的的安全需需求3.安全监管管要求组织内部部信息安安全监管管要求监管范围围与内容容：定义监管管范围，，明确定定义组织织物理边边界，信信息系统统部署的的物理边边界，应应用运行行的区域域；明确监管管设备，，包括防防火墙、、入侵检检测系统统、鉴权权系统、、服务器器、路由由器、交交换机等等；50四、符合性的的安全需需求3.安全监管管要求组织内部部信息安安全监管管要求监管范围围与内容容：操作系统统与应用用系统日日志，包包括操作作系统、、数据库库管理系系统、应应用系统统及设备备运行域域操作日日志的监监管要求求；网站内容容监管，，网站内内容发布布的监控控与审计计要求，，非法、、敏感类类信息以以及克访访问性的的适时监监管要求求。51四、符合性的的安全需需求3.安全监管要要求组织内部信信息安全监监管要求监管职责：：内部监管机机构的指定定与监管责责任的定义义，如谁分分管，哪个个部门承担担监管责任任，对监管管对象、安安全事件处处理，上下下协调等责责任的定义义；监管人员的的监管职责责的明确，，日常监管管要求，问问题处理方方式与报告告流程；事件分类及及事件处理理流程定义义。52四、符合性的安安全需求4.合同业务要要求合同受到法法律保护：：合同是当事事人之间设设立、变更更、终止民民事关系的的协议。依依法成立的的合同，受受法律保护护。组织明确双双方合同协协议中对信信息安全的的要求。组织在合同同业务中对对信息安全全的要求53四、符合性的安安全需求4.合同业务要要求将双方合同同协议中对对信息安全全的要求列列出作为安安全集成中中的需求管管理；组织也需要要明确提出出第三方机机构及人员员的信息安安全要求，，涉及第三三方接触本本组织的信信息处理设设备应当基基于正式的的合同提出出所有的基基于信息安安全的要求求，以便确确保符合组组织的安全全政策和标标准。组织在合同同业务中对对信息安全全的要求54五、基于风险的的安全要求求1.风险管理综综述风险的定义义风险大致有有两种定义义：一种定定义强调了了风险表现现为不确定定性；而另另一种定义义则强调风风险表现为为损失的不不确定性。。学术界对风风险的内涵涵还没有统统一的定义义，由于对对风险的理理解和认识识程度不同同，或对风风险的研究究的角度不不同，不同同的学者对对风险概念念有着不同同的解释。。55五、基于于风风险险的的安安全全要要求求1.风险险管管理理综综述述信息息安安全全风风险险在信信息息安安全全领领域域来来讲讲我我们们这这样样来来定定义义风风险险：：风险险就就是是发发生生损损失失事事件件的的概概率率，，也可可以以说说是是损损失失发发生生的的不不确确定定性性，，即信信息息资资产产遭遭受受破破坏坏或或被被非非正正常常利利用用给给组组织织带带来来损损失失的的可可能能性性。。56五、基于于风风险险的的安安全全要要求求1.风险险管管理理综综述述风险险管管理理风险管管理是是指通通过风风险识识别、、风险险评估估与分分析、、风险险处置置、风风险监监控等等一系系列活活动来来消除除或减减少风风险的的管理理过程程。风险识识别>>风险评评估与与分析析>>风险处处置>>风险监监控57五、基于风风险的的安全全要求求1.风险管管理综综述风险管管理风险管管理必必须识识别、、分析析风险险，风风险识识别是是确定定何种种风险险可能能会对对组织织产生生影响响，最最重要要的是是量化化不确确定性性的程程度和和每个个风险险可能能造成成损失失的程程度。。风险管管理要要着眼眼于风风险控控制，，组织织通常常采用用积极极的措措施来来控制制风险险。通通过降降低其其损失失发生生的概概率，，缩小小其损损失程程度来来达到到控制制目的的。风险管管理要要学会会规避避风险险，在在既定定目标标不变变的情情况下下，改改变方方案的的实施施路径径，从从根本本上消消除特特定的的风险险因素素。58五、基于风风险的的安全全要求求1.风险管管理综综述风险评评估对信息息和信信息处处理设设施面面临的的威胁胁、受受到的的影响响、存存在的的弱点点以及及威胁胁发生生的可可能性性的评评估。。风险评评估是是确定定风险险优先先级的的方法法。大多数数风险险评估估都基基于定定量风风险评评估和和定性性风险险评估估这两两种方方法或或这两两种方方法的的组合合。59五、基于风风险的的安全全要求求2.风险与与安全全需求求组织需需要根根据对对信息息资产产风险险评估估的结结果，，结合合业务务需求求来确确定组组织安安全需需求。。安全需需求中中不仅仅包括括具体体信息息资产产对安安全的的要求求，还还应包包括软软件功功能方方面的的安全全需求求，以以及物物理安安全、、管理理流程程、系系统管管理等等非软软件方方面的的需求求。风险评评估与与安全全需求求60五、基于风风险的的安全全要求求2.风险与与安全全需求求组织根根据应应用以以及关关键数数据的的重要要程度度，确确定所所需要要采用用的安安全机机制。。通过安安全风风险评评估明明确存存在风风险的的关键键的业业务资资产和和业务务流程程，识识别其其安全全需求求和安安全现现状。。风险评估与与安全需求求61五、基于风险的的安全要求求2.风险与安全全需求安全风险的的可接受水水平以及安安全需求的的确认，需需要业务人人员和管理理层来确认认，应该将将实施控制制措施的支支出与安全全故障可能能造成的业业务损失进进行权衡考考虑，对安安全建设的的方向和目目标进行决决策。风险评估与与安全需求求62六、确定组织的的安全需求求1.安全需求的的协商协商协商是利益益关系者共共同商量以以便取得一一致意见。。63六、确定组织的的安全需求求1.安全需求的的协商安全需求的的协商对于信息安安全的需求求，在符合合国家法律律、行业规规定、以及及上级主管管部门、组组织内部不不同机构、、以及客户户等的需求求重点不一一样，同时时组织建设设信息系统统，保证信信息安全还还受投资限限制，因此此需要对信信息安全的的需求进行行商量，以以最终求得得各方一致致认同的适适合组织建建设的安全全需求。需求平衡投资平衡64六、确定组织的的安全需求求1.安全需求的的协商整理需求有优先顺序序的安全需需求清单业务的组组织安全全需求符合性的的安全需需求合同业务务要求风险的安安全要求求65六、确定组织织的安全全需求1.安全需求求的协商商利益关系系者间沟沟通沟通是为为了一个个设定的的目标，，把信息息、思想想和情感感在个人人或群体体间传递递，并且且达成共共同协议议的过程程。信息安全全需求的的沟通，，是将将将组织业业务的组组织安全全需求、、符合性性的安全全需求、、合同业业务要求求，以及及风险的的安全要要求综合合处理成成有优先先顺序的的安全需需求清单单，用这这个清单单去向各各利益关关系者传传达，收收集意见见和建议议，以达达成一致致意见。。66六、确定组织织的安全全需求1.安