1.發掘信息保護需求

“發掘信息保護需求“對應的SE活動是“發現需求”。如果“發現需求”活動未執行或不完整，則信息系統安全工程師必須完成以下SE任務：

◇了解客戶的使命或業務。

◇幫助客戶確定需要什么信息管理來支持任務或業務。

◇建立客戶同意的信息管理模型。

◇將結果記錄為定義滿足客戶需求的信息系統的基礎。

為了了解客戶的的使命或業務，信息系統安全工程師必須利用所有可用的信息來源，組織機構的年度報告、網站、操作手冊和專有文檔等，例如任務需求說明和操作手冊的最新版本等。最重要的信息來源應該是直接與客戶進行聯系溝通。客戶的組織機構使命或業務的基礎是支持信息系統安全工程的重要基礎，客戶要考慮的第一個要素是為了達到使命或業務目標需要提供的產品或服務，但系統工程師還必須尋求其他重要的支持功能，如指揮控制、物流、人力資源、財務、研發、管理、營銷和制造等。

“發掘信息保護需求”的一項關鍵活動是定義信息面臨的威脅。根據與客戶溝通的獲得的信息，并通過信息系統安全工程師的專業知識，為每一個信息域指定信息受到的危害的度量準則和可能的危害事件，這項工作要結合風險評估工作進行。ISSE將信息威脅作為設置保護優先級的出發點，據此定義安全服務的類型及強度。信息系統安全工程師和客戶將對每一 個威脅應用保密性、完整性、可用性、訪問控制、標識和鑒別(I&A)、不可否認性和安全管理等服務，服務的強度要與信息威脅的等級相適應。