1.3.2  信息安全工作保障方法

信息安全問題的復雜性和信息安全范疇的廣泛性，決定了開展信息安全保障工作，需要有科學的方法。將信息安全保障工作劃分為確定信息安全需求、設計并實施信息安全方案、 信息安全測評、監測與維護信息安全四個階段過程，即是一種有效的信息安全保障工作方法，也是合理的信息安全保障工作步驟。

1.確定信息安全需求

信息安全需求是安全方案設計和安全措施實施的依據。準確地提取安全需求，一方面可以保證安全措施全面覆蓋信息系統面臨的風險，使安全防護能力達到業務目標和法規政策要求，另一方面可以提高安全措施的針對性，避免不必要的安全投入，防止浪費。

信息系統安全保障需求，主要來源于以下三個方面：首先是符合性要求（也稱為遵循性要求），即信息系統安全保障策略必須遵循國家相關法律法規、標準、行業規定以及機構整體安全策略，如等級保護要求等；其次是信息系統所承載業務正常運行的需求，不同業務對于信息安全的屬性要求不同，如軍隊、政府部門常常把信息的保密性放在首位，能源、交通等行業往往把可用性放在首位，金融等行業更重視信息的完整性，但無論哪個業務，都不能只片面的考慮某一個屬性而忽略其他屬性的要求；最后是信息系統所面臨的風險，需要根據風險的輕重緩急，重點將重大和急迫風險的消除或降低作為保障需求。

信息系統安全保障的具體需求由信息系統保護輪廓( InformationSystems Protection Profile，ISP1，)確定。ISPP是根據組織機構使命和所處的運行環境，從組織機構策略和風險的實際情況出發，對具體信息系統安全保障需求和能力進行具體描述。它是從信息系統所有者（用戶）的角度規范化、結構化地描述信息系統安全保障需求。