在上小節(jié)中所描述的傳統(tǒng)系統(tǒng)開發(fā)生命周期方法也適合支持一個安全系統(tǒng)項目，并演變成安全系統(tǒng)開發(fā)生命周期( SecSDLC)方法。盡管這種開發(fā)過程在幾個特定的過程中也許存在不同，但總的方法是相同的。安全系統(tǒng)開發(fā)生命周期的過程包括識別具體的威脅和風(fēng)險，然后設(shè)計和實(shí)施特定的控制來解除這些威脅， 同時，輔以風(fēng)險管理手段。如此，把信息安全變?yōu)橐惶走B貫的策略計劃，而不只是對單個威脅和攻擊進(jìn)行反應(yīng)。圖2-9顯示了安全系統(tǒng)開發(fā)生命周期中的各階段。      

圖2-9安全系統(tǒng)開發(fā)生命周期各階段

調(diào)查階段

安全系統(tǒng)開發(fā)生命周期的調(diào)查階段以高層管理層的指示開始，指主要明確該項目的過程、結(jié)果、項目最終目標(biāo)以及項目的預(yù)算成本和其他約束條件。通常，該階段首先確定或者設(shè)計安全策略，機(jī)構(gòu)的安全計劃方案將以此為基礎(chǔ)。相關(guān)的管理人員、員工、顧問共同分析各種問題，定義所涉及的范圍，明確階段目標(biāo)和最終目標(biāo)，找出企業(yè)安全策略中未顧及的附加約束條件。更為完整的信息安全策略方法將在第4章講述。最后，可行性分析將決定機(jī)構(gòu)是否有資源和責(zé)任來進(jìn)行成功的安全分析和設(shè)計。

遺憾的是，許多信息安全項目只是出于對機(jī)構(gòu)內(nèi)部重大負(fù)面事件的響應(yīng)。這樣的環(huán)境對于一個機(jī)構(gòu)開展信息安全工作來講并不是理想的條件，SecSDLC項目小組應(yīng)當(dāng)向機(jī)構(gòu)管理層強(qiáng)調(diào)改變這種處境的重要性。