2.設(shè)計(jì)并實(shí)施信息安全方案

信息安全保障解決方案是一個動態(tài)的風(fēng)險(xiǎn)管理過程，通過對信息系統(tǒng)全生命周期的風(fēng)險(xiǎn)控制，來解決在運(yùn)行環(huán)境中信息系統(tǒng)安全建設(shè)所面臨的各種問題，從而有效保障業(yè)務(wù)系統(tǒng)及應(yīng)用的持續(xù)發(fā)展。

信息安全保障方案是以安全需求為依據(jù)進(jìn)行設(shè)計(jì)。在設(shè)計(jì)安全方案時(shí)，需要確保方案貼合實(shí)際，具有可實(shí)施性，包括可接受的成本、合理的進(jìn)度、技術(shù)可實(shí)現(xiàn)性，以及組織管理和文化的可接受性。

在工作中，可以根據(jù)信息系統(tǒng)安全目標(biāo)( Information Systems Security Target，ISST)來規(guī)范地制定信息安全方案。ISST根據(jù)ISPP編制，從信息系統(tǒng)安全保障建設(shè)方（廠商）的角度制定信息系統(tǒng)安全保障方案。

根據(jù)ISST要求，信息系統(tǒng)安全方案的標(biāo)準(zhǔn)格式應(yīng)包括如下八個部分：引言、信息系統(tǒng)描述、信息系統(tǒng)安全環(huán)境、安全保障目的、安全保障要求、信息系統(tǒng)概要規(guī)范、ISPP聲明，以及符合性聲明。其中，引言、信息系統(tǒng)描述、信息系統(tǒng)安全環(huán)境、安全保障目的、安全保障要求部分與ISPP-致。

信息系統(tǒng)概要規(guī)范包括信息系統(tǒng)安全功能滿足哪一個特定的安全功能需求，保證措施滿足哪一個特定的安全保障要求，以及相應(yīng)的解釋、證明等支持材料。與ISPP類似，在編制這部分內(nèi)容時(shí)，從GB/T 20274《信息系統(tǒng)安全保障評估保障評估框架》的第二部分選擇具體技術(shù)組件，第三部分選擇管理組件，第四部分選擇工程組件。

實(shí)施信息安全保障方案時(shí)，要以方案為依據(jù)，覆蓋方案所提出的建設(shè)目標(biāo)和建設(shè)內(nèi)容。 另外，在實(shí)施過程中，應(yīng)規(guī)范實(shí)施過程，有效控制實(shí)施質(zhì)量、進(jìn)度、成本及變更，充分考慮實(shí)施風(fēng)險(xiǎn)，如資源不足、對業(yè)務(wù)正常運(yùn)行造成的影響、信息泄露或破壞等。