4.基于信息系統(tǒng)生命周期的信息安全保障

在信息系統(tǒng)安全保障模型中，信息系統(tǒng)的生命周期層面和保障要素層面不是相互孤立的，而是相互關(guān)聯(lián)、密不可分的。下圖描述了它們之間的關(guān)系。

在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個生命周期抽象成規(guī)劃組織、開發(fā)采購、 實施交付、運行維護和廢棄五個階段，以及在運行維護階段的變更產(chǎn)生的反饋，形成信息系統(tǒng)生命周期完整的閉環(huán)結(jié)構(gòu)。在信息系統(tǒng)生命周期中的任何時間點上，都需要綜合信息系統(tǒng)安全保障的技術(shù)、管理、工程和人員保障要素。

1)計劃組織階段：組織機構(gòu)的業(yè)務(wù)要求、法律法規(guī)的要求、系統(tǒng)所存在的風(fēng)險等因素，產(chǎn)生了信息系統(tǒng)安全保障需求。在此階段，信息安全策略應(yīng)加人至信息系統(tǒng)建設(shè)和使用的決策中，從信息系統(tǒng)建設(shè)伊始，就應(yīng)該綜合考慮系統(tǒng)的安全保障要求，確保信息系統(tǒng)建設(shè)和信息系統(tǒng)安全保障建設(shè)同步規(guī)劃、同步實施；

2)開發(fā)采購階段：此階段是規(guī)劃組織階段的細化和具體體現(xiàn)。在此階段中，進行系統(tǒng)安全需求分析、系統(tǒng)安全體系設(shè)計以及相關(guān)預(yù)算申請和項目準(zhǔn)備等活動。在此階段，應(yīng)克服傳統(tǒng)拘泥手具體技術(shù)的片面性，要綜合考慮系統(tǒng)的風(fēng)險和安全策略，將信息系統(tǒng)安全保障作為一個整體，進行系統(tǒng)地設(shè)計，建立信息系統(tǒng)安全保障整體規(guī)劃和全局視野。組織機構(gòu)可根據(jù)具體要求，對系統(tǒng)整體的技術(shù)、管理安全保障規(guī)劃或設(shè)計進行評估，以保證對信息系統(tǒng)的整體規(guī)劃滿足組織機構(gòu)的建設(shè)要求和相關(guān)國家和行業(yè)的要求；

3)實施交付階段：在此階段，組織機構(gòu)可通過對承建方進行信息安全服務(wù)資格要求和人員專業(yè)資格要求以確保施工組織的服務(wù)能力；組織機構(gòu)還可通過信息系統(tǒng)安全保障工程保障對實施施工過程進行監(jiān)理和評估，最終確保所交付系統(tǒng)的安全性；

4)運行維護階段：信息系統(tǒng)進入運行維護階段后，對信息系統(tǒng)的管理、運行維護和使用人員的能力等方面進行綜合保障，是信息系統(tǒng)得以安全正常運行的根本保證；

5)變更：信息系統(tǒng)投入運行后并不是一成不變的，它隨著業(yè)務(wù)和需求的變更、外界環(huán)境的變更產(chǎn)生新的要求或增強原有的要求，重新進入信息系統(tǒng)組織計劃階段（即規(guī)劃階段）；

6)廢棄階段：當(dāng)信息系統(tǒng)不再滿足業(yè)務(wù)要求時，信息系統(tǒng)進入廢棄階段，在這個階段，需要考慮信息安全銷毀等要素。

這樣，通過在信息系統(tǒng)生命周期所有階段融人信息系統(tǒng)安全保障概念，確保了信息系統(tǒng)的持續(xù)動態(tài)安全保障。