1.發(fā)掘信息保護(hù)需求

“發(fā)掘信息保護(hù)需求“對(duì)應(yīng)的SE活動(dòng)是“發(fā)現(xiàn)需求”。如果“發(fā)現(xiàn)需求”活動(dòng)未執(zhí)行或不完整，則信息系統(tǒng)安全工程師必須完成以下SE任務(wù)：

◇了解客戶的使命或業(yè)務(wù)。

◇幫助客戶確定需要什么信息管理來(lái)支持任務(wù)或業(yè)務(wù)。

◇建立客戶同意的信息管理模型。

◇將結(jié)果記錄為定義滿足客戶需求的信息系統(tǒng)的基礎(chǔ)。

為了了解客戶的的使命或業(yè)務(wù)，信息系統(tǒng)安全工程師必須利用所有可用的信息來(lái)源，組織機(jī)構(gòu)的年度報(bào)告、網(wǎng)站、操作手冊(cè)和專有文檔等，例如任務(wù)需求說(shuō)明和操作手冊(cè)的最新版本等。最重要的信息來(lái)源應(yīng)該是直接與客戶進(jìn)行聯(lián)系溝通。客戶的組織機(jī)構(gòu)使命或業(yè)務(wù)的基礎(chǔ)是支持信息系統(tǒng)安全工程的重要基礎(chǔ)，客戶要考慮的第一個(gè)要素是為了達(dá)到使命或業(yè)務(wù)目標(biāo)需要提供的產(chǎn)品或服務(wù)，但系統(tǒng)工程師還必須尋求其他重要的支持功能，如指揮控制、物流、人力資源、財(cái)務(wù)、研發(fā)、管理、營(yíng)銷和制造等。

“發(fā)掘信息保護(hù)需求”的一項(xiàng)關(guān)鍵活動(dòng)是定義信息面臨的威脅。根據(jù)與客戶溝通的獲得的信息，并通過(guò)信息系統(tǒng)安全工程師的專業(yè)知識(shí)，為每一個(gè)信息域指定信息受到的危害的度量準(zhǔn)則和可能的危害事件，這項(xiàng)工作要結(jié)合風(fēng)險(xiǎn)評(píng)估工作進(jìn)行。ISSE將信息威脅作為設(shè)置保護(hù)優(yōu)先級(jí)的出發(fā)點(diǎn)，據(jù)此定義安全服務(wù)的類型及強(qiáng)度。信息系統(tǒng)安全工程師和客戶將對(duì)每一 個(gè)威脅應(yīng)用保密性、完整性、可用性、訪問控制、標(biāo)識(shí)和鑒別(I&A)、不可否認(rèn)性和安全管理等服務(wù)，服務(wù)的強(qiáng)度要與信息威脅的等級(jí)相適應(yīng)。