2.確定系統(tǒng)安全要求

信息系統(tǒng)安全工程師在“確定系統(tǒng)安全要求”階段考慮一個(gè)或多個(gè)可滿足客戶表達(dá)的信息保護(hù)需求，并形成一套解決方案集。每一個(gè)解決方案集都需要定義以下目標(biāo)系統(tǒng)的概念：

◇系統(tǒng)背景

◇安全操作概念

◇系統(tǒng)要求（安全基線）

在客戶參與盼隋況下，選擇一個(gè)解決方案，并記錄其系統(tǒng)背景，安全操作概念和基線要求。此活動(dòng)可能導(dǎo)致需要修改現(xiàn)有系統(tǒng)或開發(fā)多個(gè)目標(biāo)系統(tǒng)。外部系統(tǒng)的示例包括提供公共密鑰基礎(chǔ)設(shè)施( PKI)的系統(tǒng)和用于用戶的安全許可的系統(tǒng)。

確定系統(tǒng)安全背景涉及到定義系統(tǒng)邊界和與SE的接口，為目標(biāo)或外部系統(tǒng)分配安全功能，識(shí)別國標(biāo)和外部系統(tǒng)之間的數(shù)據(jù)流以及與這些流相關(guān)聯(lián)的保護(hù)需求。信息管理需求和信息保護(hù)需求分配給目標(biāo)系統(tǒng)和外部系統(tǒng)；對(duì)外部系統(tǒng)的分配是這些系統(tǒng)所有者必須接受的假設(shè)。系統(tǒng)安全背景記錄了這些分配，并指定了系統(tǒng)和外部系統(tǒng)之間的數(shù)據(jù)流，以及如何控制它們。

安全操作概念從用戶的角度描述了系統(tǒng)在支持任務(wù)時(shí)j悔執(zhí)行哪些信息管理和信息保護(hù)功能，但沒有定義分步過程（沒有定義明確的流程）。安全操作概念將確定任務(wù)或業(yè)務(wù)需求對(duì)其他系統(tǒng)及其提供的產(chǎn)品和服務(wù)的依賴。系統(tǒng)安全背景和安全操作概念要與系統(tǒng)工程師，客戶和外部系統(tǒng)的所有者相協(xié)調(diào)。