1.3.2  信息安全工作保障方法

信息安全問(wèn)題的復(fù)雜性和信息安全范疇的廣泛性，決定了開(kāi)展信息安全保障工作，需要有科學(xué)的方法。將信息安全保障工作劃分為確定信息安全需求、設(shè)計(jì)并實(shí)施信息安全方案、 信息安全測(cè)評(píng)、監(jiān)測(cè)與維護(hù)信息安全四個(gè)階段過(guò)程，即是一種有效的信息安全保障工作方法，也是合理的信息安全保障工作步驟。

1.確定信息安全需求

信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)。準(zhǔn)確地提取安全需求，一方面可以保證安全措施全面覆蓋信息系統(tǒng)面臨的風(fēng)險(xiǎn)，使安全防護(hù)能力達(dá)到業(yè)務(wù)目標(biāo)和法規(guī)政策要求，另一方面可以提高安全措施的針對(duì)性，避免不必要的安全投入，防止浪費(fèi)。

信息系統(tǒng)安全保障需求，主要來(lái)源于以下三個(gè)方面：首先是符合性要求（也稱為遵循性要求），即信息系統(tǒng)安全保障策略必須遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)、行業(yè)規(guī)定以及機(jī)構(gòu)整體安全策略，如等級(jí)保護(hù)要求等；其次是信息系統(tǒng)所承載業(yè)務(wù)正常運(yùn)行的需求，不同業(yè)務(wù)對(duì)于信息安全的屬性要求不同，如軍隊(duì)、政府部門常常把信息的保密性放在首位，能源、交通等行業(yè)往往把可用性放在首位，金融等行業(yè)更重視信息的完整性，但無(wú)論哪個(gè)業(yè)務(wù)，都不能只片面的考慮某一個(gè)屬性而忽略其他屬性的要求；最后是信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，需要根據(jù)風(fēng)險(xiǎn)的輕重緩急，重點(diǎn)將重大和急迫風(fēng)險(xiǎn)的消除或降低作為保障需求。

信息系統(tǒng)安全保障的具體需求由信息系統(tǒng)保護(hù)輪廓( InformationSystems Protection Profile，ISP1，)確定。ISPP是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境，從組織機(jī)構(gòu)策略和風(fēng)險(xiǎn)的實(shí)際情況出發(fā)，對(duì)具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述。它是從信息系統(tǒng)所有者（用戶）的角度規(guī)范化、結(jié)構(gòu)化地描述信息系統(tǒng)安全保障需求。