信息安全工作保障方法中确定信息安全需求一

1.3.2  信息安全工作保障方法

信息安全问题的复杂性和信息安全范畴的广泛性，决定了开展信息安全保障工作，需要有科学的方法。将信息安全保障工作划分为确定信息安全需求、设计并实施信息安全方案、 信息安全测评、监测与维护信息安全四个阶段过程，即是一种有效的信息安全保障工作方法，也是合理的信息安全保障工作步骤。

1.确定信息安全需求

信息安全需求是安全方案设计和安全措施实施的依据。准确地提取安全需求，一方面可以保证安全措施全面覆盖信息系统面临的风险，使安全防护能力达到业务目标和法规政策要求，另一方面可以提高安全措施的针对性，避免不必要的安全投入，防止浪费。

信息系统安全保障需求，主要来源于以下三个方面：首先是符合性要求（也称为遵循性要求），即信息系统安全保障策略必须遵循国家相关法律法规、标准、行业规定以及机构整体安全策略，如等级保护要求等；其次是信息系统所承载业务正常运行的需求，不同业务对于信息安全的属性要求不同，如军队、政府部门常常把信息的保密性放在首位，能源、交通等行业往往把可用性放在首位，金融等行业更重视信息的完整性，但无论哪个业务，都不能只片面的考虑某一个属性而忽略其他属性的要求；最后是信息系统所面临的风险，需要根据风险的轻重缓急，重点将重大和急迫风险的消除或降低作为保障需求。

信息系统安全保障的具体需求由信息系统保护轮廓( InformationSystems Protection Profile，ISP1，)确定。ISPP是根据组织机构使命和所处的运行环境，从组织机构策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。它是从信息系统所有者（用户）的角度规范化、结构化地描述信息系统安全保障需求。