4.開發詳細安全設計

信息保護設計的發展是迭代的，涉及SE和’ISSE團隊以及團隊內的系統和組件工程師之間的交互。促使推薦設計的決策涉及ISSE團隊的持續評估，將預期風險與系統安全性要求進行比較。ISSE團隊生成C&A流程所需的設計文檔。該文檔可以對風險分析師進行設計的獨立評估，然后風險分析師根據漏洞提供反饋意見。

在開發詳細的安全設計中，信息系統安全工程師將確保遵守安全架構，執行權衡研究和定義系統安全設計元素，包括：

◇將安全機制分配給系統安全設計元素。

◇確定候選商業現貨( COTS)／政府現貨(GOTS)安全產品。

◇識別自定義安全產品。

◇資格元素和系統接口（內部和外音5）。

◇制定規范（如通用標準保護配置文件）。

信息保護設計指定了系統及其組件，但并不決定具體的組件或供應商。特定組件的選擇是實施系統活動的一部分。