1.發(fā)掘信息保護需求

“發(fā)掘信息保護需求“對應的SE活動是“發(fā)現(xiàn)需求”。如果“發(fā)現(xiàn)需求”活動未執(zhí)行或不完整，則信息系統(tǒng)安全工程師必須完成以下SE任務：

◇了解客戶的使命或業(yè)務。

◇幫助客戶確定需要什么信息管理來支持任務或業(yè)務。

◇建立客戶同意的信息管理模型。

◇將結(jié)果記錄為定義滿足客戶需求的信息系統(tǒng)的基礎。

為了了解客戶的的使命或業(yè)務，信息系統(tǒng)安全工程師必須利用所有可用的信息來源，組織機構(gòu)的年度報告、網(wǎng)站、操作手冊和專有文檔等，例如任務需求說明和操作手冊的最新版本等。最重要的信息來源應該是直接與客戶進行聯(lián)系溝通。客戶的組織機構(gòu)使命或業(yè)務的基礎是支持信息系統(tǒng)安全工程的重要基礎，客戶要考慮的第一個要素是為了達到使命或業(yè)務目標需要提供的產(chǎn)品或服務，但系統(tǒng)工程師還必須尋求其他重要的支持功能，如指揮控制、物流、人力資源、財務、研發(fā)、管理、營銷和制造等。

“發(fā)掘信息保護需求”的一項關鍵活動是定義信息面臨的威脅。根據(jù)與客戶溝通的獲得的信息，并通過信息系統(tǒng)安全工程師的專業(yè)知識，為每一個信息域指定信息受到的危害的度量準則和可能的危害事件，這項工作要結(jié)合風險評估工作進行。ISSE將信息威脅作為設置保護優(yōu)先級的出發(fā)點，據(jù)此定義安全服務的類型及強度。信息系統(tǒng)安全工程師和客戶將對每一 個威脅應用保密性、完整性、可用性、訪問控制、標識和鑒別(I&A)、不可否認性和安全管理等服務，服務的強度要與信息威脅的等級相適應。