在上小節(jié)中所描述的傳統(tǒng)系統(tǒng)開發(fā)生命周期方法也適合支持一個安全系統(tǒng)項目，并演變成安全系統(tǒng)開發(fā)生命周期( SecSDLC)方法。盡管這種開發(fā)過程在幾個特定的過程中也許存在不同，但總的方法是相同的。安全系統(tǒng)開發(fā)生命周期的過程包括識別具體的威脅和風險，然后設計和實施特定的控制來解除這些威脅， 同時，輔以風險管理手段。如此，把信息安全變?yōu)橐惶走B貫的策略計劃，而不只是對單個威脅和攻擊進行反應。圖2-9顯示了安全系統(tǒng)開發(fā)生命周期中的各階段。      

圖2-9安全系統(tǒng)開發(fā)生命周期各階段

調(diào)查階段

安全系統(tǒng)開發(fā)生命周期的調(diào)查階段以高層管理層的指示開始，指主要明確該項目的過程、結(jié)果、項目最終目標以及項目的預算成本和其他約束條件。通常，該階段首先確定或者設計安全策略，機構(gòu)的安全計劃方案將以此為基礎。相關(guān)的管理人員、員工、顧問共同分析各種問題，定義所涉及的范圍，明確階段目標和最終目標，找出企業(yè)安全策略中未顧及的附加約束條件。更為完整的信息安全策略方法將在第4章講述。最后，可行性分析將決定機構(gòu)是否有資源和責任來進行成功的安全分析和設計。

遺憾的是，許多信息安全項目只是出于對機構(gòu)內(nèi)部重大負面事件的響應。這樣的環(huán)境對于一個機構(gòu)開展信息安全工作來講并不是理想的條件，SecSDLC項目小組應當向機構(gòu)管理層強調(diào)改變這種處境的重要性。