4.基于信息系統(tǒng)生命周期的信息安全保障

在信息系統(tǒng)安全保障模型中，信息系統(tǒng)的生命周期層面和保障要素層面不是相互孤立的，而是相互關(guān)聯(lián)、密不可分的。下圖描述了它們之間的關(guān)系。

在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個(gè)生命周期抽象成規(guī)劃組織、開發(fā)采購、 實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段，以及在運(yùn)行維護(hù)階段的變更產(chǎn)生的反饋，形成信息系統(tǒng)生命周期完整的閉環(huán)結(jié)構(gòu)。在信息系統(tǒng)生命周期中的任何時(shí)間點(diǎn)上，都需要綜合信息系統(tǒng)安全保障的技術(shù)、管理、工程和人員保障要素。

1)計(jì)劃組織階段：組織機(jī)構(gòu)的業(yè)務(wù)要求、法律法規(guī)的要求、系統(tǒng)所存在的風(fēng)險(xiǎn)等因素，產(chǎn)生了信息系統(tǒng)安全保障需求。在此階段，信息安全策略應(yīng)加人至信息系統(tǒng)建設(shè)和使用的決策中，從信息系統(tǒng)建設(shè)伊始，就應(yīng)該綜合考慮系統(tǒng)的安全保障要求，確保信息系統(tǒng)建設(shè)和信息系統(tǒng)安全保障建設(shè)同步規(guī)劃、同步實(shí)施；

2)開發(fā)采購階段：此階段是規(guī)劃組織階段的細(xì)化和具體體現(xiàn)。在此階段中，進(jìn)行系統(tǒng)安全需求分析、系統(tǒng)安全體系設(shè)計(jì)以及相關(guān)預(yù)算申請和項(xiàng)目準(zhǔn)備等活動(dòng)。在此階段，應(yīng)克服傳統(tǒng)拘泥手具體技術(shù)的片面性，要綜合考慮系統(tǒng)的風(fēng)險(xiǎn)和安全策略，將信息系統(tǒng)安全保障作為一個(gè)整體，進(jìn)行系統(tǒng)地設(shè)計(jì)，建立信息系統(tǒng)安全保障整體規(guī)劃和全局視野。組織機(jī)構(gòu)可根據(jù)具體要求，對系統(tǒng)整體的技術(shù)、管理安全保障規(guī)劃或設(shè)計(jì)進(jìn)行評估，以保證對信息系統(tǒng)的整體規(guī)劃滿足組織機(jī)構(gòu)的建設(shè)要求和相關(guān)國家和行業(yè)的要求；

3)實(shí)施交付階段：在此階段，組織機(jī)構(gòu)可通過對承建方進(jìn)行信息安全服務(wù)資格要求和人員專業(yè)資格要求以確保施工組織的服務(wù)能力；組織機(jī)構(gòu)還可通過信息系統(tǒng)安全保障工程保障對實(shí)施施工過程進(jìn)行監(jiān)理和評估，最終確保所交付系統(tǒng)的安全性；

4)運(yùn)行維護(hù)階段：信息系統(tǒng)進(jìn)入運(yùn)行維護(hù)階段后，對信息系統(tǒng)的管理、運(yùn)行維護(hù)和使用人員的能力等方面進(jìn)行綜合保障，是信息系統(tǒng)得以安全正常運(yùn)行的根本保證；

5)變更：信息系統(tǒng)投入運(yùn)行后并不是一成不變的，它隨著業(yè)務(wù)和需求的變更、外界環(huán)境的變更產(chǎn)生新的要求或增強(qiáng)原有的要求，重新進(jìn)入信息系統(tǒng)組織計(jì)劃階段（即規(guī)劃階段）；

6)廢棄階段：當(dāng)信息系統(tǒng)不再滿足業(yè)務(wù)要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段，在這個(gè)階段，需要考慮信息安全銷毀等要素。

這樣，通過在信息系統(tǒng)生命周期所有階段融人信息系統(tǒng)安全保障概念，確保了信息系統(tǒng)的持續(xù)動(dòng)態(tài)安全保障。