2.安全需求分析的過程

信息系統(tǒng)安全需求的分析過程，由于具體實現(xiàn)存在區(qū)別，但是總的來說主要有以下幾個基本的步驟：

1)系統(tǒng)調(diào)查

了解信息系統(tǒng)所處的安全環(huán)境（存在于系統(tǒng)邊界之外并對系統(tǒng)的安全具有潛在的或直接影響的所有因素）及其它與安全相關的信息，例如用戶、組成部件、運行機制及與其他系統(tǒng)的連接情況等等。在此基礎上確定需要保護的資產(chǎn)，其中可能包括硬件、軟件、數(shù)據(jù)、文檔和計算機服務等等，并評價各個資產(chǎn)的相對價值。

2)定性分析系統(tǒng)的脆弱點和可能遭受的安全威脅

這一步驟比第一步更加困難，因為它需要一定程度的想象，以預測資產(chǎn)可臺旨受到的損害及損害來自何方。系統(tǒng)脆弱點和安全威脅是兩個互相依存的概念：沒有威脅，就無所謂脆弱點；沒有脆弱點，威脅也就不稱其為“威脅”。所以當系統(tǒng)的脆弱點被確定后，就需要針對每個脆弱點分析由此可能引發(fā)的安全威脅及其對資產(chǎn)可能造成損害的程度。