安全系統開發生命周期實施階段

SecSDLC的實施階段和傳統SDLC很相似。.獲?。ㄖ圃旎蛸徺I）安全方案、測試、實施、再測試。評估員工資料，執行特殊培訓和教育項目，最后，.整個被測試好的方案呈遞到上層管理層等待批準。

信息安全系統軟件或應用程序系統的選擇過程與普通的IT需求之間有很大的不同之處。買主應該拿到詳細的說明書，并且應該不斷獲得關于產品和成本的詳細信息。在一個IT項目的執行過程中，創建清楚的說明書以及嚴格的測試計劃是最基本的，這可以確保高質量的執行。

也許管理項目計劃才是實施階段中最重要的部分，因為項目管理是SecSDLC 中所有階段的基礎。項目計劃的執行分3個步驟執行：

①計劃項目

②監督項目計劃中的任務和行動步驟

③打包項目計劃

項目計劃可以用任何方法來開發。每個機構都必須確定自己對IT和信息安全項目的項目管理方法。只要有可能，信息安全項目都應該遵循機構的項目管理慣例。如果你的機構沒有建立清楚定義的項目管理慣例，下文會提供對推薦慣例的通用指導。項目管理及其與信息安全的關系將在第12章有詳細的描述。

信息安全是一個擁有廣泛的技術和非技術要求的領域。因此，工程團隊應該包括技術或非技術領域的一個或多個有經驗的人員。管理和實施安全的很多相同技能在設計時也需要。開發團隊的成員扮演了下面的角色：

倡導者( the champion)：高級主管，籌劃這個項目并且確保該項目的經濟支持和行政支持。處于這個機構的最高層。

團隊領袖：項目管理者一也許是一個部門的前線管理者或部門管理者。他了解項目管理，員工管理以及信息安全技術要求。

安全策略開發者：應了解機構的文化、已有政策以及開發和實施成功策略的要求。

風險評估專家：應了解經濟風險評估技術，機構資產的價值以及應該使用的安全方法。

安全專業人員：無論從技術與非技術角度來說，在信息安全各方面訓練有素且受過良好教育的專業人員。

系統管理員：對存儲機構所使用信息的系統管理工作的主要負責人。

終端用戶：新系統所直接影響的人員。理想地說，在各個部門和等級，以及專業技術知識掌握程度相異的不同組的用戶，會以不破壞他們需要維護的基本業務活動的方式幫助團隊應用現實性的控制。