安全系統(tǒng)開發(fā)生命周期實(shí)施階段

SecSDLC的實(shí)施階段和傳統(tǒng)SDLC很相似。.獲取（制造或購買）安全方案、測試、實(shí)施、再測試。評(píng)估員工資料，執(zhí)行特殊培訓(xùn)和教育項(xiàng)目，最后，.整個(gè)被測試好的方案呈遞到上層管理層等待批準(zhǔn)。

信息安全系統(tǒng)軟件或應(yīng)用程序系統(tǒng)的選擇過程與普通的IT需求之間有很大的不同之處。買主應(yīng)該拿到詳細(xì)的說明書，并且應(yīng)該不斷獲得關(guān)于產(chǎn)品和成本的詳細(xì)信息。在一個(gè)IT項(xiàng)目的執(zhí)行過程中，創(chuàng)建清楚的說明書以及嚴(yán)格的測試計(jì)劃是最基本的，這可以確保高質(zhì)量的執(zhí)行。

也許管理項(xiàng)目計(jì)劃才是實(shí)施階段中最重要的部分，因?yàn)轫?xiàng)目管理是SecSDLC 中所有階段的基礎(chǔ)。項(xiàng)目計(jì)劃的執(zhí)行分3個(gè)步驟執(zhí)行：

①計(jì)劃項(xiàng)目

②監(jiān)督項(xiàng)目計(jì)劃中的任務(wù)和行動(dòng)步驟

③打包項(xiàng)目計(jì)劃

項(xiàng)目計(jì)劃可以用任何方法來開發(fā)。每個(gè)機(jī)構(gòu)都必須確定自己對IT和信息安全項(xiàng)目的項(xiàng)目管理方法。只要有可能，信息安全項(xiàng)目都應(yīng)該遵循機(jī)構(gòu)的項(xiàng)目管理慣例。如果你的機(jī)構(gòu)沒有建立清楚定義的項(xiàng)目管理慣例，下文會(huì)提供對推薦慣例的通用指導(dǎo)。項(xiàng)目管理及其與信息安全的關(guān)系將在第12章有詳細(xì)的描述。

信息安全是一個(gè)擁有廣泛的技術(shù)和非技術(shù)要求的領(lǐng)域。因此，工程團(tuán)隊(duì)?wèi)?yīng)該包括技術(shù)或非技術(shù)領(lǐng)域的一個(gè)或多個(gè)有經(jīng)驗(yàn)的人員。管理和實(shí)施安全的很多相同技能在設(shè)計(jì)時(shí)也需要。開發(fā)團(tuán)隊(duì)的成員扮演了下面的角色：

倡導(dǎo)者( the champion)：高級(jí)主管，籌劃這個(gè)項(xiàng)目并且確保該項(xiàng)目的經(jīng)濟(jì)支持和行政支持。處于這個(gè)機(jī)構(gòu)的最高層。

團(tuán)隊(duì)領(lǐng)袖：項(xiàng)目管理者一也許是一個(gè)部門的前線管理者或部門管理者。他了解項(xiàng)目管理，員工管理以及信息安全技術(shù)要求。

安全策略開發(fā)者：應(yīng)了解機(jī)構(gòu)的文化、已有政策以及開發(fā)和實(shí)施成功策略的要求。

風(fēng)險(xiǎn)評(píng)估專家：應(yīng)了解經(jīng)濟(jì)風(fēng)險(xiǎn)評(píng)估技術(shù)，機(jī)構(gòu)資產(chǎn)的價(jià)值以及應(yīng)該使用的安全方法。

安全專業(yè)人員：無論從技術(shù)與非技術(shù)角度來說，在信息安全各方面訓(xùn)練有素且受過良好教育的專業(yè)人員。

系統(tǒng)管理員：對存儲(chǔ)機(jī)構(gòu)所使用信息的系統(tǒng)管理工作的主要負(fù)責(zé)人。

終端用戶：新系統(tǒng)所直接影響的人員。理想地說，在各個(gè)部門和等級(jí)，以及專業(yè)技術(shù)知識(shí)掌握程度相異的不同組的用戶，會(huì)以不破壞他們需要維護(hù)的基本業(yè)務(wù)活動(dòng)的方式幫助團(tuán)隊(duì)?wèi)?yīng)用現(xiàn)實(shí)性的控制。