6.信息安全保障解決方案

信息安全保障解決方案是一個動態(tài)的風(fēng)險管理過程，通過對信息系統(tǒng)生命周期內(nèi)風(fēng)險的控制，來解決在運行環(huán)境中信息系統(tǒng)安全建設(shè)所面臨的各種問題，從而有效保障業(yè)務(wù)系統(tǒng)及應(yīng)用的持續(xù)發(fā)展。

信息安全保障方案是以安全需求為依據(jù)設(shè)計的。在設(shè)計安全方案時，需要考慮方案是否貼合實際，是否具有可實施性，包括可接受的成本、合理的進(jìn)度、技術(shù)可實現(xiàn)性，以及組織管理和文化的可接受性。在工作中，可以根據(jù)信息系統(tǒng)安全目標(biāo)( ISST)來規(guī)范制定安全方案。ISST是根據(jù)信息系統(tǒng)保護(hù)輪廓(ISPP)編制、從信息系統(tǒng)安全保障的建設(shè)方（廠商）角度制定的信息系統(tǒng)安全保障方案。

根據(jù)信息系統(tǒng)安全目標(biāo)(ISST)要求，信息系統(tǒng)安全方案的標(biāo)準(zhǔn)格式應(yīng)包括如下八個部分：引言、信息系統(tǒng)描述、信息系統(tǒng)安全環(huán)境、安全保障目的、安全保障要求、信息系統(tǒng)概要規(guī)范、ISPP聲明。以及符合性聲明。

其中，引言、信息系統(tǒng)描述、信息系統(tǒng)安全環(huán)境、安全保障目的、安全保障要求部分與信息系統(tǒng)保護(hù)輪廓( ISPP)-致。

信息系統(tǒng)概要規(guī)范包括信息系統(tǒng)安全功能滿足哪一個特定的安全功能需求，其保證措施滿足哪一個特定的安全保障要求，以及相應(yīng)的解釋、證明等支持材料。與信息系統(tǒng)保障輪廓( ISPP)類似，在編制這部分內(nèi)容時，從國標(biāo)GB/T 202741《信息系統(tǒng)安全保障評估保障評估框架》的第二部分選擇技術(shù)組件，從該標(biāo)準(zhǔn)的第三選擇具體管理組件，在該標(biāo)準(zhǔn)的第四部分選擇具體的工程組件。

在具體實施信息安全保障方案時，需以方案為依據(jù)，覆蓋方案所提出的建設(shè)目標(biāo)和建設(shè)內(nèi)容。另外，在實施過程中，需要注意以下幾個方面：規(guī)范的實施過程；實施的質(zhì)量、進(jìn)度和成本必須受控；實施過程中出現(xiàn)的變更必須受控；充分考慮實施風(fēng)險，如資源不足、組織文化的抵觸情緒、對業(yè)務(wù)正常運行造成的影響、信息泄露或破壞等。