2.安全需求分析的過程

信息系統安全需求的分析過程，由于具體實現存在區別，但是總的來說主要有以下幾個基本的步驟：

1)系統調查

了解信息系統所處的安全環境（存在于系統邊界之外并對系統的安全具有潛在的或直接影響的所有因素）及其它與安全相關的信息，例如用戶、組成部件、運行機制及與其他系統的連接情況等等。在此基礎上確定需要保護的資產，其中可能包括硬件、軟件、數據、文檔和計算機服務等等，并評價各個資產的相對價值。

2)定性分析系統的脆弱點和可能遭受的安全威脅

這一步驟比第一步更加困難，因為它需要一定程度的想象，以預測資產可臺旨受到的損害及損害來自何方。系統脆弱點和安全威脅是兩個互相依存的概念：沒有威脅，就無所謂脆弱點；沒有脆弱點，威脅也就不稱其為“威脅”。所以當系統的脆弱點被確定后，就需要針對每個脆弱點分析由此可能引發的安全威脅及其對資產可能造成損害的程度。