信息系統(tǒng)安全工程師與系統(tǒng)工程師合作，定義系統(tǒng)安全要求，系統(tǒng)安全運(yùn)行模式和系統(tǒng)安全性能測量。良好的系統(tǒng)要求規(guī)定了系統(tǒng)必須完成的事情，而無需指定其設(shè)計(jì)或?qū)崿F(xiàn)。系統(tǒng)亞程師和信息系統(tǒng)安全工程師必須確保這些要求是可以理解的，明確的，全面的，完整的和簡明的。需求分析必須澄清和定義功能要求和設(shè)計(jì)約束。功能要求定義數(shù)量（多少），質(zhì)量(多好)，覆蓋（多遠(yuǎn)），時(shí)間表（何時(shí)和多長）以及可用性（多久）。性能要求及設(shè)計(jì)約束也要成為系統(tǒng)要求文檔的一部分。

設(shè)計(jì)約束術(shù)是獨(dú)立于實(shí)現(xiàn)，它要影響到設(shè)計(jì)決策以及部分的系統(tǒng)設(shè)計(jì)。設(shè)計(jì)約束還包括

由外部系統(tǒng)施加的約束，并應(yīng)與系統(tǒng)的接口要求相獨(dú)立。設(shè)計(jì)約束中需定義的內(nèi)容包括：限制設(shè)計(jì)靈活性的因素，如環(huán)境條件或環(huán)境限制；內(nèi)外部的威脅場景；以及合同、慣例或法規(guī)標(biāo)準(zhǔn)等。系統(tǒng)要求在獲得批準(zhǔn)后要作為設(shè)計(jì)者進(jìn)行系統(tǒng)開發(fā)的基線。

在要求的分析過程中，系統(tǒng)工程師要審查可追蹤性文檔，確保發(fā)掘出的所有需求都已經(jīng)分配到了目標(biāo)系統(tǒng)或外部系統(tǒng)之中，確保目標(biāo)系統(tǒng)的背景環(huán)境描述中包含了所有的外部接口和信息流。系統(tǒng)工程師還應(yīng)確保系統(tǒng)安全操作概念能覆蓋所有的功能和任務(wù)或業(yè)務(wù)需求，并且系統(tǒng)運(yùn)行的內(nèi)在風(fēng)險(xiǎn)也得到了考慮。

信息系統(tǒng)安全工程師要確保所選擇的解決方案集能夠滿足任務(wù)或業(yè)務(wù)的安全需求，系統(tǒng)邊界已經(jīng)得到協(xié)調(diào)，并確保安全風(fēng)險(xiǎn)可以達(dá)到可接受的級(jí)別。信息系統(tǒng)安全工程師要將安全背景、安全操作概念以及系統(tǒng)安全基線提交給客戶，并將得到客戶的認(rèn)同。

系統(tǒng)概念的所有文件以及選擇該概念的任何理由均按照C＆A流程進(jìn)行。信息系統(tǒng)安全工程師負(fù)責(zé)確保在必要時(shí)獲得認(rèn)可人員和認(rèn)證機(jī)構(gòu)的同意。