信息系統生命周期安全風險管理有哪些階段

信息系統生命周期安全風險管理有以下階段：

• 規劃階段：信息系統規劃階段的安全目標是明確信息系統安全建設的目的，對信息系統安全建設實現的可能性進行分析論證并設計出總體安全規劃方案。為了保證安全目標的實現，需要對信息系統規劃階段中可能引入安全風險的環節進行風險管理，從而降低在項目后期處理相同安全風險所帶來的高額成本。信息系統規劃階段所涉及的主要安全需求包括：明確安全總體方針，確保安全總體方針源自業務期望，清晰描述所涉及系統的安全現狀，提交明確的安全需求文檔，明確風險評估準則并達成一致，清晰描述從系統的哪些層次進行安全實現，對系統規劃中安全實現的可能性進行充分分析和論證。

• 設計階段：信息系統設計階段的安全目標是依據規劃階段輸出的總體安全規劃方案來設計信息系統安全的實現結構（包括功能劃分、接口協議和性能指標等）和實施方案（包括實現技術、設備選型和系統集成等）。在設計信息系統的實現結構和實施方案時，在技術的選擇、配合和管理等眾多環節均容易引入安全風險。因此，對關鍵的環節應提出必要的安全要求并有針對性地進行安全風險管理。信息系統設計階段的主要安全需求包括：設計方案符合系統建設規劃，設計方案中的安全需求符合規劃階段的安全目標，對用以實現安全系統的各類技術進行有效性評估，對用于實施方案的產品需滿足安全保護等級的要求，對自主開發的軟件要在設計階段就充分考慮安全風險。

• 實施階段：信息系統實施階段安全目標是按照規劃和設計階段所定義的信息系統安全實施方案，采購設備和軟件，開發定制功能，集成、部署、配置和測試信息系統的安全機制，培訓人員，并對是否允許系統投入運行進行批準監督。信息系統實施階段的主要安全需求包括：確保采購的設備、軟件和其他系統組件滿足已定義的安全要求；確保定制開發的軟件和系統滿足已定義的安全要求；確保整個系統已按照設計要求進行了部署和配置，并通過整體的安全測試來驗證系統的安全功能和安全特性符合設計要求；通過對相關人員的操作培訓和安全培訓，確保人員已具備維持系統安全功能和安全特性的能力；通過對系統投入運行前的批準監督，確保信息系統的使用已得到授權。

• 運行維護階段：信息系統運行維護階段安全目標是在信息系統經過授權投入運行之后，確保在運行過程中，以及信息系統或其運行環境發生變化時維持系統的正常運行和安全性。信息系統運行維護階段的安全需求包括：在信息系統未發生更改的情況下，維持系統的正常運行，進行日常的安全操作及安全管理；在信息系統及其運行環境發生變化的情況下，進行風險評估并針對風險制定處理措施；定期進行風險再評估工作，維持系統的持續安全；定期進行信息系統的重新審批工作，確保系統授權時間的有效性。

• 廢棄階段：信息系統廢棄階段安全目標是確保對信息系統的過時或無用部分進行安全報廢處理，防止信息系統的安全要求和安全功能遭到破壞。廢棄階段涉及信息、硬件和軟件的安全處置，應防止將敏感信息泄露給外部人員。在這一階段主要的風險管理活動是對系統廢棄的風險評估和風險處理。

回答所涉及的環境：聯想天逸510S、Windows 10。