4.基于信息系統生命周期的信息安全保障

在信息系統安全保障模型中，信息系統的生命周期層面和保障要素層面不是相互孤立的，而是相互關聯、密不可分的。下圖描述了它們之間的關系。

在信息系統生命周期模型中，將信息系統的整個生命周期抽象成規劃組織、開發采購、 實施交付、運行維護和廢棄五個階段，以及在運行維護階段的變更產生的反饋，形成信息系統生命周期完整的閉環結構。在信息系統生命周期中的任何時間點上，都需要綜合信息系統安全保障的技術、管理、工程和人員保障要素。

1)計劃組織階段：組織機構的業務要求、法律法規的要求、系統所存在的風險等因素，產生了信息系統安全保障需求。在此階段，信息安全策略應加人至信息系統建設和使用的決策中，從信息系統建設伊始，就應該綜合考慮系統的安全保障要求，確保信息系統建設和信息系統安全保障建設同步規劃、同步實施；

2)開發采購階段：此階段是規劃組織階段的細化和具體體現。在此階段中，進行系統安全需求分析、系統安全體系設計以及相關預算申請和項目準備等活動。在此階段，應克服傳統拘泥手具體技術的片面性，要綜合考慮系統的風險和安全策略，將信息系統安全保障作為一個整體，進行系統地設計，建立信息系統安全保障整體規劃和全局視野。組織機構可根據具體要求，對系統整體的技術、管理安全保障規劃或設計進行評估，以保證對信息系統的整體規劃滿足組織機構的建設要求和相關國家和行業的要求；

3)實施交付階段：在此階段，組織機構可通過對承建方進行信息安全服務資格要求和人員專業資格要求以確保施工組織的服務能力；組織機構還可通過信息系統安全保障工程保障對實施施工過程進行監理和評估，最終確保所交付系統的安全性；

4)運行維護階段：信息系統進入運行維護階段后，對信息系統的管理、運行維護和使用人員的能力等方面進行綜合保障，是信息系統得以安全正常運行的根本保證；

5)變更：信息系統投入運行后并不是一成不變的，它隨著業務和需求的變更、外界環境的變更產生新的要求或增強原有的要求，重新進入信息系統組織計劃階段（即規劃階段）；

6)廢棄階段：當信息系統不再滿足業務要求時，信息系統進入廢棄階段，在這個階段，需要考慮信息安全銷毀等要素。

這樣，通過在信息系統生命周期所有階段融人信息系統安全保障概念，確保了信息系統的持續動態安全保障。