在上小節中所描述的傳統系統開發生命周期方法也適合支持一個安全系統項目，并演變成安全系統開發生命周期( SecSDLC)方法。盡管這種開發過程在幾個特定的過程中也許存在不同，但總的方法是相同的。安全系統開發生命周期的過程包括識別具體的威脅和風險，然后設計和實施特定的控制來解除這些威脅， 同時，輔以風險管理手段。如此，把信息安全變為一套連貫的策略計劃，而不只是對單個威脅和攻擊進行反應。圖2-9顯示了安全系統開發生命周期中的各階段。      

圖2-9安全系統開發生命周期各階段

調查階段

安全系統開發生命周期的調查階段以高層管理層的指示開始，指主要明確該項目的過程、結果、項目最終目標以及項目的預算成本和其他約束條件。通常，該階段首先確定或者設計安全策略，機構的安全計劃方案將以此為基礎。相關的管理人員、員工、顧問共同分析各種問題，定義所涉及的范圍，明確階段目標和最終目標，找出企業安全策略中未顧及的附加約束條件。更為完整的信息安全策略方法將在第4章講述。最后，可行性分析將決定機構是否有資源和責任來進行成功的安全分析和設計。

遺憾的是，許多信息安全項目只是出于對機構內部重大負面事件的響應。這樣的環境對于一個機構開展信息安全工作來講并不是理想的條件，SecSDLC項目小組應當向機構管理層強調改變這種處境的重要性。