6.信息安全保障解決方案

信息安全保障解決方案是一個動態的風險管理過程，通過對信息系統生命周期內風險的控制，來解決在運行環境中信息系統安全建設所面臨的各種問題，從而有效保障業務系統及應用的持續發展。

信息安全保障方案是以安全需求為依據設計的。在設計安全方案時，需要考慮方案是否貼合實際，是否具有可實施性，包括可接受的成本、合理的進度、技術可實現性，以及組織管理和文化的可接受性。在工作中，可以根據信息系統安全目標( ISST)來規范制定安全方案。ISST是根據信息系統保護輪廓(ISPP)編制、從信息系統安全保障的建設方（廠商）角度制定的信息系統安全保障方案。

根據信息系統安全目標(ISST)要求，信息系統安全方案的標準格式應包括如下八個部分：引言、信息系統描述、信息系統安全環境、安全保障目的、安全保障要求、信息系統概要規范、ISPP聲明。以及符合性聲明。

其中，引言、信息系統描述、信息系統安全環境、安全保障目的、安全保障要求部分與信息系統保護輪廓( ISPP)-致。

信息系統概要規范包括信息系統安全功能滿足哪一個特定的安全功能需求，其保證措施滿足哪一個特定的安全保障要求，以及相應的解釋、證明等支持材料。與信息系統保障輪廓( ISPP)類似，在編制這部分內容時，從國標GB/T 202741《信息系統安全保障評估保障評估框架》的第二部分選擇技術組件，從該標準的第三選擇具體管理組件，在該標準的第四部分選擇具體的工程組件。

在具體實施信息安全保障方案時，需以方案為依據，覆蓋方案所提出的建設目標和建設內容。另外，在實施過程中，需要注意以下幾個方面：規范的實施過程；實施的質量、進度和成本必須受控；實施過程中出現的變更必須受控；充分考慮實施風險，如資源不足、組織文化的抵觸情緒、對業務正常運行造成的影響、信息泄露或破壞等。