2.設計并實施信息安全方案

信息安全保障解決方案是一個動態的風險管理過程，通過對信息系統全生命周期的風險控制，來解決在運行環境中信息系統安全建設所面臨的各種問題，從而有效保障業務系統及應用的持續發展。

信息安全保障方案是以安全需求為依據進行設計。在設計安全方案時，需要確保方案貼合實際，具有可實施性，包括可接受的成本、合理的進度、技術可實現性，以及組織管理和文化的可接受性。

在工作中，可以根據信息系統安全目標( Information Systems Security Target，ISST)來規范地制定信息安全方案。ISST根據ISPP編制，從信息系統安全保障建設方（廠商）的角度制定信息系統安全保障方案。

根據ISST要求，信息系統安全方案的標準格式應包括如下八個部分：引言、信息系統描述、信息系統安全環境、安全保障目的、安全保障要求、信息系統概要規范、ISPP聲明，以及符合性聲明。其中，引言、信息系統描述、信息系統安全環境、安全保障目的、安全保障要求部分與ISPP-致。

信息系統概要規范包括信息系統安全功能滿足哪一個特定的安全功能需求，保證措施滿足哪一個特定的安全保障要求，以及相應的解釋、證明等支持材料。與ISPP類似，在編制這部分內容時，從GB/T 20274《信息系統安全保障評估保障評估框架》的第二部分選擇具體技術組件，第三部分選擇管理組件，第四部分選擇工程組件。

實施信息安全保障方案時，要以方案為依據，覆蓋方案所提出的建設目標和建設內容。 另外，在實施過程中，應規范實施過程，有效控制實施質量、進度、成本及變更，充分考慮實施風險，如資源不足、對業務正常運行造成的影響、信息泄露或破壞等。