5.實現(xiàn)系統(tǒng)安全

“實現(xiàn)系統(tǒng)安全”活動的目標是獲取，集成，配置，測試，文檔和培訓，使系統(tǒng)從設(shè)計轉(zhuǎn)入到運營。該項活動的結(jié)束標志是最終系統(tǒng)的有效性評估行為，給出系統(tǒng)滿足要求和任務(wù)需求的證據(jù)。其中，必須考慮到系統(tǒng)工程的主功能，解決好相互依賴性和均衡取舍問題。

在實現(xiàn)系統(tǒng)安全性期間，信息系統(tǒng)安全工程師提供：

◇驗證所實施的系統(tǒng)確實可以防范此前威脅評估中確定的威脅。

◇跟蹤信息保護機制在系統(tǒng)實現(xiàn)和測試活動中的運用情況。

◇審查系統(tǒng)的生命周期計劃、運行流程及培訓材料，并向這些文檔提供輸入。

◇實施正式的信息保護評估，為最終的系統(tǒng)有效性評估做出準備。

◇參與所有系統(tǒng)問題的多學科研究。

1)系統(tǒng)獲取

選擇特定產(chǎn)品以集成到安全解決方案中是“實現(xiàn)系統(tǒng)安全”活動的一部分。這些產(chǎn)品可以通過采購，租賃或借款獲得。選擇將基于組件的成本，可用性，形式和適合性等因素。其他因素可能包括對特定系統(tǒng)的可靠性影響的組件，如果組件性能偏低，系統(tǒng)性能的風險以及組件或替代品的未來可用性。必須構(gòu)建不能采購的組件。軟件，硬件或固件是否應(yīng)根據(jù)設(shè)計規(guī)范進行驗證，驗證必須正式記錄在案。必須評估任和對實現(xiàn)設(shè)計和任務(wù)或業(yè)務(wù)目標（包括安全性）的影響的任何偏差。