1.4.3信息系統安全工程

信息系統安全工程( Information SystemSecurity Engineering，ISSE)是美國軍方在20世紀90年代初發布的信息安全工程方法，反映ISSE成果的文獻之一是1994年出版的《信息系統安全工程手冊V1.0》。ISSE是系統工程在安全空間的映射，其重點是通過實施系統工程過程來滿足信息保護的需求。ISSE有助于開發可滿足用戶安全需求的系統產品和過程解決方案。

系統生命周期就是系統從產生構思到不再使用的整個生命歷程，而ISSE就是將系統工程

思想應用于信息安全領域，在系統生命周期的各階段充分考慮和實施安全措施。

　　ISSE流程部分涵蓋與通用SE流程相對應的六個活動：

◇發掘信息保護需求（發現需求）。

◇定義系統安全要求（定義系統要求）。

◇設計系統安全架構（設計系統架構）。

◇開發詳細的安全設計（開發詳細設計）。

◇實施系統安全（實施系統）。

◇評估信息保護效果（評估有效性）。

在ISSE流程的每個活動中，信息系統安全工程師將執行活動來支持系統的認證&認可(C&A)。

在將ISSE活動定制到具體項目時間表時，重要的是要考慮技術和資金里程碑，以確定項目的未來方向，并確保決策者具有與安全相關的信息來做出決策。信息系統安全工程師還必須考慮在應用ISSE流程之前可能發生的重要活動和里程碑，但是由于活動之間的依賴關系，所有ISSE活動必須在支持后續決策所需的程度上執行。例如，安全組件的規范和評估取決于系統安全架構和詳細的系統設計，信息保護有效性的最終評估必須基于對信息保護需求的理解。