CISSP考點拾遺——SDLC（1）

說明：“考點拾遺”系列基于日常為學員和網友做的答疑整理，主要涉及教材中沒有完全覆寫到的知識點。

關于SDLC軟體開發生命周期（也作系統開發生命周期）的描述，在CBK、OSG、AIO幾本常用教材中的描述居然都不一樣，坑啊~~

CBK當中也說“There are many SDLC models available with different names for each phase, though they execute roughly the same steps in logical order. 存在很多SDLC模型，它們的各個階段有不同的名稱，盡管它們以邏輯順序執行大緻相同的步驟。”

不過CBK中所描述的5個階段與NIST SP 800-64所定義的5個階段基本吻合，并且從OPT和考古痕迹來看，考試中用的就是這一套。​

SDLC階段	各階段的典型安全活動
CBK定義	NIST定義
Initiation    啟動（初始）	Initiation  and Design    啟動和設計	l機構确定對新的或修訂的系統的需求，并記錄其目的。 l安全規劃，首先确定在系統開發階段要執行的關鍵安全活動。 l對将要處理、傳輸或存儲的資訊進行安全需求評估，所有利益相關者應對安全考慮事項有共同的了解。 l确定系統授權官員(AO)，即最終負責驗收簽字，允許系統上線的人。 l在這個階段了解安全需求對于安全的有效內建至關重要。
Development    開發	Development/Acquisition    開發/采購	l系統開發人員應執行初始的功能和安全測試，準備初始的系統和安全文檔，并建立系統的安全體系結構。 l選擇适當安全控制和保障要求，滿足最低安全要求。 l制定系統安全計劃（SSP），描述已經或将要如何為系統提供安全控制。 l獲得用于提供支援的資産和服務。
Deployment  &  delivery    部署和傳遞	Implementation    實施	l系統所有者負責配置和啟用系統安全功能，并對系統進行安全控制評估(SCA)。 l審查和驗證SCA結果，記錄行動計劃和裡程碑清單。 l系統所有者簽署ATO（Authorization  to Operate授權運作決定） l系統授權官員(AO)審查最終的SA&A(System Assessment and  Authorization系統評估和授權)包，并決定是否授權系統運作。 注意，A&A(Assessment and  Authorization評估和授權，新)等同于C&A(certification  & accreditation認證與認可，舊)，兩種說法在目前考試中都有可能出現！
Operations  &  maintenance    營運和維護	Operations  & Maintenance    營運和維護	l系統生命周期中最長的階段。 l定期審查和評估安全控制措施，以確定它們繼續有效運作，并滿足預期的安全目标。 l配置管理和變更管理。 lISCM資訊安全持續監控。 l監控和評估中發現的弱點，需要由系統所有者加以解決，并在系統的操作和維護項目計劃和預算中進行規劃。 注意，SDLC可以随着使用者需求的發展而疊代，是以像變更管理這樣的關鍵過程可能會啟動另一輪開發活動！
Disposal    處置（廢棄）	Disposal/Retirement    處置（廢棄）/退役	l系統所有者必須制定計劃，安全合法地歸檔和/或廢棄系統資訊、硬體和軟體，并可能将資訊和資源轉移到新系統。