1.4.3信息系統(tǒng)安全工程

信息系統(tǒng)安全工程( Information SystemSecurity Engineering，ISSE)是美國軍方在20世紀(jì)90年代初發(fā)布的信息安全工程方法，反映ISSE成果的文獻之一是1994年出版的《信息系統(tǒng)安全工程手冊V1.0》。ISSE是系統(tǒng)工程在安全空間的映射，其重點是通過實施系統(tǒng)工程過程來滿足信息保護的需求。ISSE有助于開發(fā)可滿足用戶安全需求的系統(tǒng)產(chǎn)品和過程解決方案。

系統(tǒng)生命周期就是系統(tǒng)從產(chǎn)生構(gòu)思到不再使用的整個生命歷程，而ISSE就是將系統(tǒng)工程

思想應(yīng)用于信息安全領(lǐng)域，在系統(tǒng)生命周期的各階段充分考慮和實施安全措施。

　　ISSE流程部分涵蓋與通用SE流程相對應(yīng)的六個活動：

◇發(fā)掘信息保護需求（發(fā)現(xiàn)需求）。

◇定義系統(tǒng)安全要求（定義系統(tǒng)要求）。

◇設(shè)計系統(tǒng)安全架構(gòu)（設(shè)計系統(tǒng)架構(gòu)）。

◇開發(fā)詳細的安全設(shè)計（開發(fā)詳細設(shè)計）。

◇實施系統(tǒng)安全（實施系統(tǒng)）。

◇評估信息保護效果（評估有效性）。

在ISSE流程的每個活動中，信息系統(tǒng)安全工程師將執(zhí)行活動來支持系統(tǒng)的認證&認可(C&A)。

在將ISSE活動定制到具體項目時間表時，重要的是要考慮技術(shù)和資金里程碑，以確定項目的未來方向，并確保決策者具有與安全相關(guān)的信息來做出決策。信息系統(tǒng)安全工程師還必須考慮在應(yīng)用ISSE流程之前可能發(fā)生的重要活動和里程碑，但是由于活動之間的依賴關(guān)系，所有ISSE活動必須在支持后續(xù)決策所需的程度上執(zhí)行。例如，安全組件的規(guī)范和評估取決于系統(tǒng)安全架構(gòu)和詳細的系統(tǒng)設(shè)計，信息保護有效性的最終評估必須基于對信息保護需求的理解。