5.實現系統安全

“實現系統安全”活動的目標是獲取，集成，配置，測試，文檔和培訓，使系統從設計轉入到運營。該項活動的結束標志是最終系統的有效性評估行為，給出系統滿足要求和任務需求的證據。其中，必須考慮到系統工程的主功能，解決好相互依賴性和均衡取舍問題。

在實現系統安全性期間，信息系統安全工程師提供：

◇驗證所實施的系統確實可以防范此前威脅評估中確定的威脅。

◇跟蹤信息保護機制在系統實現和測試活動中的運用情況。

◇審查系統的生命周期計劃、運行流程及培訓材料，并向這些文檔提供輸入。

◇實施正式的信息保護評估，為最終的系統有效性評估做出準備。

◇參與所有系統問題的多學科研究。

1)系統獲取

選擇特定產品以集成到安全解決方案中是“實現系統安全”活動的一部分。這些產品可以通過采購，租賃或借款獲得。選擇將基于組件的成本，可用性，形式和適合性等因素。其他因素可能包括對特定系統的可靠性影響的組件，如果組件性能偏低，系統性能的風險以及組件或替代品的未來可用性。必須構建不能采購的組件。軟件，硬件或固件是否應根據設計規范進行驗證，驗證必須正式記錄在案。必須評估任和對實現設計和任務或業務目標（包括安全性）的影響的任何偏差。