2.設(shè)計并實施信息安全方案

信息安全保障解決方案是一個動態(tài)的風(fēng)險管理過程，通過對信息系統(tǒng)全生命周期的風(fēng)險控制，來解決在運行環(huán)境中信息系統(tǒng)安全建設(shè)所面臨的各種問題，從而有效保障業(yè)務(wù)系統(tǒng)及應(yīng)用的持續(xù)發(fā)展。

信息安全保障方案是以安全需求為依據(jù)進行設(shè)計。在設(shè)計安全方案時，需要確保方案貼合實際，具有可實施性，包括可接受的成本、合理的進度、技術(shù)可實現(xiàn)性，以及組織管理和文化的可接受性。

在工作中，可以根據(jù)信息系統(tǒng)安全目標( Information Systems Security Target，ISST)來規(guī)范地制定信息安全方案。ISST根據(jù)ISPP編制，從信息系統(tǒng)安全保障建設(shè)方（廠商）的角度制定信息系統(tǒng)安全保障方案。

根據(jù)ISST要求，信息系統(tǒng)安全方案的標準格式應(yīng)包括如下八個部分：引言、信息系統(tǒng)描述、信息系統(tǒng)安全環(huán)境、安全保障目的、安全保障要求、信息系統(tǒng)概要規(guī)范、ISPP聲明，以及符合性聲明。其中，引言、信息系統(tǒng)描述、信息系統(tǒng)安全環(huán)境、安全保障目的、安全保障要求部分與ISPP-致。

信息系統(tǒng)概要規(guī)范包括信息系統(tǒng)安全功能滿足哪一個特定的安全功能需求，保證措施滿足哪一個特定的安全保障要求，以及相應(yīng)的解釋、證明等支持材料。與ISPP類似，在編制這部分內(nèi)容時，從GB/T 20274《信息系統(tǒng)安全保障評估保障評估框架》的第二部分選擇具體技術(shù)組件，第三部分選擇管理組件，第四部分選擇工程組件。

實施信息安全保障方案時，要以方案為依據(jù)，覆蓋方案所提出的建設(shè)目標和建設(shè)內(nèi)容。 另外，在實施過程中，應(yīng)規(guī)范實施過程，有效控制實施質(zhì)量、進度、成本及變更，充分考慮實施風(fēng)險，如資源不足、對業(yè)務(wù)正常運行造成的影響、信息泄露或破壞等。