5.2 信息系統安全工程保障控制

5.2.1　信息系統安全工程保障控制類

本部分中將信息系統安全工程劃分為三個基本的過程域（即信息系統安全工程保障控制類）：風險、工程和保障。它們可以獨立地加以考慮，但這決不意味它們之間有截然不同的區分。在最簡單的級別上，風險過程標識出所開發的產品或系統的危險性并對這些危險性進行優先級排序。針對危險性所面臨的問題，安全工程過程要與其它工程一起來確定和實施解決方案。最后，由安全保證過程來建立解決方案的信任并向顧客轉達這種安全信任。

5.2.2　信息系統安全工程生命周期

信息系統安全更強調在整個生命周期中融入安全并強調動態可持續改進的能力發展，在信息系統安全工程過程中，主要是基于信息系統安全工程的生命周期科學有效地提煉出信息系統安全工程的生命周期中的一些關鍵的過程域，通過對這些過程域的基本實施的要求覆蓋信息系統安全工程的整個生命周期，再通過每個過程域中執行通用實踐的能力實踐、改進每個過程域的執行能力，這樣才能真正有效、科學、可重復、可不斷改進地、動態發展地實現信息系統安全保障的目標。
安全工程過程生命周期包含以下根據信息流向劃分的安全工程階段：挖掘安全需求、定義安全要求、設計體系結構、詳細安全設計、實現系統安全和有效性評估。有效性評估貫穿整個信息系統工程過程的所有階段，以確保系統能夠滿足用戶需求。圖1反映工程過程中各行為之間的關系，箭頭表明各行為之間的信息流向，而不是行為的順序或時限。
。

5.2.3　安全工程生命周期和過程域對應關系

安全工程生命周期同過程域關系如下：