2.確定系統安全要求

信息系統安全工程師在“確定系統安全要求”階段考慮一個或多個可滿足客戶表達的信息保護需求，并形成一套解決方案集。每一個解決方案集都需要定義以下目標系統的概念：

◇系統背景

◇安全操作概念

◇系統要求（安全基線）

在客戶參與盼隋況下，選擇一個解決方案，并記錄其系統背景，安全操作概念和基線要求。此活動可能導致需要修改現有系統或開發多個目標系統。外部系統的示例包括提供公共密鑰基礎設施( PKI)的系統和用于用戶的安全許可的系統。

確定系統安全背景涉及到定義系統邊界和與SE的接口，為目標或外部系統分配安全功能，識別國標和外部系統之間的數據流以及與這些流相關聯的保護需求。信息管理需求和信息保護需求分配給目標系統和外部系統；對外部系統的分配是這些系統所有者必須接受的假設。系統安全背景記錄了這些分配，并指定了系統和外部系統之間的數據流，以及如何控制它們。

安全操作概念從用戶的角度描述了系統在支持任務時j悔執行哪些信息管理和信息保護功能，但沒有定義分步過程（沒有定義明確的流程）。安全操作概念將確定任務或業務需求對其他系統及其提供的產品和服務的依賴。系統安全背景和安全操作概念要與系統工程師，客戶和外部系統的所有者相協調。