信息系统安全工程之发掘信息保护需求一

1.发掘信息保护需求

“发掘信息保护需求“对应的SE活动是“发现需求”。如果“发现需求”活动未执行或不完整，则信息系统安全工程师必须完成以下SE任务：

◇了解客户的使命或业务。

◇帮助客户确定需要什么信息管理来支持任务或业务。

◇建立客户同意的信息管理模型。

◇将结果记录为定义满足客户需求的信息系统的基础。

为了了解客户的的使命或业务，信息系统安全工程师必须利用所有可用的信息来源，组织机构的年度报告、网站、操作手册和专有文档等，例如任务需求说明和操作手册的最新版本等。最重要的信息来源应该是直接与客户进行联系沟通。客户的组织机构使命或业务的基础是支持信息系统安全工程的重要基础，客户要考虑的第一个要素是为了达到使命或业务目标需要提供的产品或服务，但系统工程师还必须寻求其他重要的支持功能，如指挥控制、物流、人力资源、财务、研发、管理、营销和制造等。

“发掘信息保护需求”的一项关键活动是定义信息面临的威胁。根据与客户沟通的获得的信息，并通过信息系统安全工程师的专业知识，为每一个信息域指定信息受到的危害的度量准则和可能的危害事件，这项工作要结合风险评估工作进行。ISSE将信息威胁作为设置保护优先级的出发点，据此定义安全服务的类型及强度。信息系统安全工程师和客户将对每一 个威胁应用保密性、完整性、可用性、访问控制、标识和鉴别(I&A)、不可否认性和安全管理等服务，服务的强度要与信息威胁的等级相适应。