安全系統(tǒng)開發(fā)生命周期實施階段

SecSDLC的實施階段和傳統(tǒng)SDLC很相似。.獲取（制造或購買）安全方案、測試、實施、再測試。評估員工資料，執(zhí)行特殊培訓和教育項目，最后，.整個被測試好的方案呈遞到上層管理層等待批準。

信息安全系統(tǒng)軟件或應(yīng)用程序系統(tǒng)的選擇過程與普通的IT需求之間有很大的不同之處。買主應(yīng)該拿到詳細的說明書，并且應(yīng)該不斷獲得關(guān)于產(chǎn)品和成本的詳細信息。在一個IT項目的執(zhí)行過程中，創(chuàng)建清楚的說明書以及嚴格的測試計劃是最基本的，這可以確保高質(zhì)量的執(zhí)行。

也許管理項目計劃才是實施階段中最重要的部分，因為項目管理是SecSDLC 中所有階段的基礎(chǔ)。項目計劃的執(zhí)行分3個步驟執(zhí)行：

①計劃項目

②監(jiān)督項目計劃中的任務(wù)和行動步驟

③打包項目計劃

項目計劃可以用任何方法來開發(fā)。每個機構(gòu)都必須確定自己對IT和信息安全項目的項目管理方法。只要有可能，信息安全項目都應(yīng)該遵循機構(gòu)的項目管理慣例。如果你的機構(gòu)沒有建立清楚定義的項目管理慣例，下文會提供對推薦慣例的通用指導。項目管理及其與信息安全的關(guān)系將在第12章有詳細的描述。

信息安全是一個擁有廣泛的技術(shù)和非技術(shù)要求的領(lǐng)域。因此，工程團隊應(yīng)該包括技術(shù)或非技術(shù)領(lǐng)域的一個或多個有經(jīng)驗的人員。管理和實施安全的很多相同技能在設(shè)計時也需要。開發(fā)團隊的成員扮演了下面的角色：

倡導者( the champion)：高級主管，籌劃這個項目并且確保該項目的經(jīng)濟支持和行政支持。處于這個機構(gòu)的最高層。

團隊領(lǐng)袖：項目管理者一也許是一個部門的前線管理者或部門管理者。他了解項目管理，員工管理以及信息安全技術(shù)要求。

安全策略開發(fā)者：應(yīng)了解機構(gòu)的文化、已有政策以及開發(fā)和實施成功策略的要求。

風險評估專家：應(yīng)了解經(jīng)濟風險評估技術(shù)，機構(gòu)資產(chǎn)的價值以及應(yīng)該使用的安全方法。

安全專業(yè)人員：無論從技術(shù)與非技術(shù)角度來說，在信息安全各方面訓練有素且受過良好教育的專業(yè)人員。

系統(tǒng)管理員：對存儲機構(gòu)所使用信息的系統(tǒng)管理工作的主要負責人。

終端用戶：新系統(tǒng)所直接影響的人員。理想地說，在各個部門和等級，以及專業(yè)技術(shù)知識掌握程度相異的不同組的用戶，會以不破壞他們需要維護的基本業(yè)務(wù)活動的方式幫助團隊應(yīng)用現(xiàn)實性的控制。