1.3.2  信息安全工作保障方法

信息安全問題的復(fù)雜性和信息安全范疇的廣泛性，決定了開展信息安全保障工作，需要有科學(xué)的方法。將信息安全保障工作劃分為確定信息安全需求、設(shè)計并實(shí)施信息安全方案、 信息安全測評、監(jiān)測與維護(hù)信息安全四個階段過程，即是一種有效的信息安全保障工作方法，也是合理的信息安全保障工作步驟。

1.確定信息安全需求

信息安全需求是安全方案設(shè)計和安全措施實(shí)施的依據(jù)。準(zhǔn)確地提取安全需求，一方面可以保證安全措施全面覆蓋信息系統(tǒng)面臨的風(fēng)險，使安全防護(hù)能力達(dá)到業(yè)務(wù)目標(biāo)和法規(guī)政策要求，另一方面可以提高安全措施的針對性，避免不必要的安全投入，防止浪費(fèi)。

信息系統(tǒng)安全保障需求，主要來源于以下三個方面：首先是符合性要求（也稱為遵循性要求），即信息系統(tǒng)安全保障策略必須遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)、行業(yè)規(guī)定以及機(jī)構(gòu)整體安全策略，如等級保護(hù)要求等；其次是信息系統(tǒng)所承載業(yè)務(wù)正常運(yùn)行的需求，不同業(yè)務(wù)對于信息安全的屬性要求不同，如軍隊、政府部門常常把信息的保密性放在首位，能源、交通等行業(yè)往往把可用性放在首位，金融等行業(yè)更重視信息的完整性，但無論哪個業(yè)務(wù)，都不能只片面的考慮某一個屬性而忽略其他屬性的要求；最后是信息系統(tǒng)所面臨的風(fēng)險，需要根據(jù)風(fēng)險的輕重緩急，重點(diǎn)將重大和急迫風(fēng)險的消除或降低作為保障需求。

信息系統(tǒng)安全保障的具體需求由信息系統(tǒng)保護(hù)輪廓( InformationSystems Protection Profile，ISP1，)確定。ISPP是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境，從組織機(jī)構(gòu)策略和風(fēng)險的實(shí)際情況出發(fā)，對具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述。它是從信息系統(tǒng)所有者（用戶）的角度規(guī)范化、結(jié)構(gòu)化地描述信息系統(tǒng)安全保障需求。