考慮到現代機構面臨威脅的易變性和持久性，維護和改善階段雖然處于后期，但也許是最為重要的。當今的信息安全系統需要不斷的監控、測試、改善、更新和修復。傳統的應用程序系統是在軟件開發生命周期框架內開發的，并非用來預測在正常操作進程中面臨的惡意攻擊。在安全方面，建立穩定和可靠的的系統實際是一場防御戰。由于新的威脅不斷產生，原有的威脅不斷演化，機構的信息安全框架就需要不斷地適應這樣的變化，以預防各種威脅成功地滲透到敏感數據之中。

信息安全項目一經實施，就需要受到控制和正確的管理，以及依靠已經建立的程序保持先進性。如果計劃不能做到根據內外環境變化及時調整，就有必要重新開始生產周期。CISO衡量信息安全組是否能及時適應和維護機構的信息安全， 或者說安全軟件開發生命周期的宏觀進程是否必須重新開發新的完全不同的信息安全框架。如果機構信息安全項目能夠應對變化，那么它就會是低成本、高效率的。值得注意的是，即使一項信息安全項目是合理、成熟的，但那些維護和改善進程會反映安全軟件開發生命周期的全過程，只是范圍不同罷了。

當明確了不足和弱點時，維護、擴展和增強計劃就遵循安全軟件開發生命周期的步驟了。因此，對于維護來說，步驟包括了調研、分析、設計和實施。

當設計一個系統管理模型來管理和控制系統時，就用維護模型來補充系統管理模型以及把機構精力集中在系統維護上。圖2-10給出了維護信息安全的一個推薦解決方案。該圖提出了后面我們將討論的維護框架，該維護模型包括了5個主題域或范圍：

外部監控圖2-10顯示的外部監控的目標是跟蹤新的威脅、威脅手段、漏洞和攻擊，從而產生有效且及時的防御。

內部監控內部監控的主要目的是保持對機構的網絡、信息系統和信息安全防御的狀態要非常熟悉。相關情況必須被及時傳達和記錄，特別是連接到外部網絡的信息系統部分的情況。

計劃和風險評估計劃和風險評估的主要目標是對信息安全項目的整體保持謹慎的態度。它可通過驗證和對進行中的大幅降低風險的信息安全項目的。 

2-10維護模型

劃取得局部實現。風險評估組也會驗證和記錄lT工程和信息安全工程提出的風險。此外，它還會驗證和記錄下當前環境中潛在的風險。

漏洞評估與糾正漏洞評估與糾正的主要目的是對具體的、有記錄的漏洞進行驗證并作出及時的糾正。它通過以下途徑實現：

使用漏洞評估程序安全收集網絡（內部和面向公眾的）、平臺（服務器、桌面和處理控制）、撥號調制解調器及無線網絡系統的情況；

記錄后臺信息以及為已發現的漏洞提供經測試過的糾正程序；

跟蹤、傳達，并向管理層報告有關已發現漏洞的詳細情況以及對其糾正的成敗。

就緒與審查就緒與審查的主要目的是確保信息安全項目按設計執行，也希望其隨時間變化不斷提高。

脆弱性評估指對信息安全系統和相關的非安全領域系統中當前存在的漏洞的物理與邏輯上的評估。此類分析通常由滲透測試來完成。在滲透測試時，安全人員模仿或執行具體且受控的攻擊，根據已發現的漏洞來危及或破壞自己的系統。此種測試一般在與機構外部的網絡連接時使用，因為安全人員希望從攻擊者的立場來找出機構系統的漏洞。滲透測試通常由一些顧問或在外聯絡的人執行， 這些人一般就是那些白帽黑客、民族黑客、老虎團隊或者是紅色團隊。他們稱謂是什么并不要緊，關鍵的是他們所做的。不用黑客的眼光審視自己系統的信息安全管理者都不能為信息安全計劃做好準備。滲透測試中最優秀的程序和工具以及其他漏洞評估的方法就是使用黑客們使用的程序和工具。慶幸的是，很多入侵檢測系統都能探測到這些工具的信號并向信息安全管理發出警告。

SecSDLC維護必須解決的問題之一就是選擇系統管理模型。要協助信息安全部門有效地執行安全計劃的管理和控制，就必須采用系統管理模型。一般來說，系統管理模型其實是一個對特殊活動或業務工作管理結構化的框架。以下所討論的框架即是對ISO網絡管理模型的修改。

ISO網絡管理模型提供了覆蓋5個領域的網絡和系統操作與管理的構架：
    *故障管理

*配置和變更管理賬戶和審計管理

*性能管理

*安全項目管理

在原始形式中，ISO模型并不直接用于信息安全計劃的管理，但是可以對其修改以適應多數信息安全計劃中的各種管理任務。安全管理涉及的5種領域的ISO 模型將在接下來的部分中進行討論。

故障管理在ISO模型中，故障管理指系統中故障的跟蹤、診斷和解決。信息安全故障管理指在采用的信息安全架構中識別并解決故障，故障管理的另一方面是反映和解決用戶的難處。

配置和變更管理配置管理是對安全計劃中各個部分的管理。變更管理則是對策略、操作和信息安全計劃各個部分的變更管理。配置和變更管理操作都強調做出技術和非技術的改善。技術的改善影響到支持硬件、軟件和數據部分的安全的技術實施；而非技術改善則影響到程序和人。

賬戶和審計管理賬戶管理反映系統特殊部分的使用。在網絡中，這種反映很容易知道哪些用戶在使用哪些資源。但在安全方面，哪些資源正被占用是很容易知道的，而誰在使用就很難了解了。這樣看來，賬戶的管理與執行的管理（稍后討論）相重疊，使用賬戶管理來決定系統使用的最佳方案，并將其作為升級和提高的指標。

審計是審查系統使用的過程而不是檢查它的性能，審計更適合確定系統是否錯用或瀆職是否發生。

性能管理由于許多信息安全技術控制在普通IT處理器上執行，他們與大多數基于計算機的技術一樣受到相同因素的影響。因此，監控安全系統及其IT基礎設施的性能以便確定它們是否如期望那樣有效（或效率高），這一點是很重要的。

一些信息安全控制系統（如用來發現互聯網資源不合理利用的互聯網使用監控器）就作為監控設備運行。

安全項目管理信息安全項目一旦展開，就應對其進行控制和管理。ISO5類領域框架為管理模型提供了一些結構，但它強調各個領域的覆蓋，而不是對管理的真正實施加以引導。要在信息安全計劃中實現真正的管理，一個正式的管理標

準可以提供所需的進程和程序。它可以建立予早在本章前面就描述過的BS7799/IS017799模型或NIST模型基礎之上。