信息安全管理中的安全系统开发生命周期实施阶段之一

安全系统开发生命周期实施阶段

SecSDLC的实施阶段和传统SDLC很相似。.获取（制造或购买）安全方案、测试、实施、再测试。评估员工资料，执行特殊培训和教育项目，最后，.整个被测试好的方案呈递到上层管理层等待批准。

信息安全系统软件或应用程序系统的选择过程与普通的IT需求之间有很大的不同之处。买主应该拿到详细的说明书，并且应该不断获得关于产品和成本的详细信息。在一个IT项目的执行过程中，创建清楚的说明书以及严格的测试计划是最基本的，这可以确保高质量的执行。

也许管理项目计划才是实施阶段中最重要的部分，因为项目管理是SecSDLC 中所有阶段的基础。项目计划的执行分3个步骤执行：

①计划项目

②监督项目计划中的任务和行动步骤

③打包项目计划

项目计划可以用任何方法来开发。每个机构都必须确定自己对IT和信息安全项目的项目管理方法。只要有可能，信息安全项目都应该遵循机构的项目管理惯例。如果你的机构没有建立清楚定义的项目管理惯例，下文会提供对推荐惯例的通用指导。项目管理及其与信息安全的关系将在第12章有详细的描述。

信息安全是一个拥有广泛的技术和非技术要求的领域。因此，工程团队应该包括技术或非技术领域的一个或多个有经验的人员。管理和实施安全的很多相同技能在设计时也需要。开发团队的成员扮演了下面的角色：

倡导者( the champion)：高级主管，筹划这个项目并且确保该项目的经济支持和行政支持。处于这个机构的最高层。

团队领袖：项目管理者一也许是一个部门的前线管理者或部门管理者。他了解项目管理，员工管理以及信息安全技术要求。

安全策略开发者：应了解机构的文化、已有政策以及开发和实施成功策略的要求。

风险评估专家：应了解经济风险评估技术，机构资产的价值以及应该使用的安全方法。

安全专业人员：无论从技术与非技术角度来说，在信息安全各方面训练有素且受过良好教育的专业人员。

系统管理员：对存储机构所使用信息的系统管理工作的主要负责人。

终端用户：新系统所直接影响的人员。理想地说，在各个部门和等级，以及专业技术知识掌握程度相异的不同组的用户，会以不破坏他们需要维护的基本业务活动的方式帮助团队应用现实性的控制。