階段
信息系統生命周期由系統分析、系統設計、系統實施以及系統管理和維護四個時期組成,每一個時期又進一步劃分成若干個階段。
1.系統分析
系統的分析,也叫系統的調查與分析,是信息系統生命周期的第一個階段,也是最重要的一個環節。系統分析時期的任務包括確定信息系統必須完成的總目標,確定工程的可行性,導出實現工程目標應該採取的策略及系統必須完成的功能,估計完成該項工程需要的資源和成本,並且制定工程進度表。系統分析時期通常進一步劃分成三個階段,即問題的定義、可行性研究和需求分析。問題定義階段的主要任務是確定所開發的信息系統要完成的目標是什麼,如果不知道信息系統的目標就試圖開發信息系統,顯然是盲目的,只會白白浪費時間和金錢。可行性研究階段的主要任務是分析達到信息系統的目標是否存在可行的辦法。可行性研究的結果是信息系統的負責人做出是否繼續進行這個信息系統的開發決定的重要依據。一般來說,只有投資可能取得較大效益的那些信息系統才值得繼續進行下去,及時終止不值得投資的工程項目,可以避免更大的浪費。需求分析階段的主要任務是確定目標系統必須具備哪些功能以及系統正常運行時應滿足的性能指標。
2.系統設計
系統設計是信息系統生命周期中另一個重要階段。系統設計的主要目的就是為下一階段的系統實施制定藍圖。系統設計包括兩個方面的內容,首先是系統總體設計,總體設計的任務是提供信息系統的概括的解決方案,主要內容包括信息系統的功能模組的劃分,功能模組之間的層次結構和關係。其次是系統詳細設計,詳細設計的任務是把系統總體設計的結果具體化。這個階段的任務不是編寫程式,而是設計出各個功能模組的詳細規格說明,如信息系統各個模組的處理流程,系統的數據流程和資料庫邏輯結構的設計。
3.系統實施
系統實施是新系統開發工作的最後一個階段。所謂實施指的是將上述系統設計階段的結果在計算機上實現,將原來紙面上的、類似於設計圖式的新系統的設計方案轉換成可執行的套用系統。系統設計階段的主要任務是:按總體設計方案購置和安裝計算機網路系統;建立資料庫系統;程式設計與調試;整理基礎數據;培訓操作人員和試運行。
4.系統維護
系統維護是系統投入正常運行之後一件長期而又艱巨的工作。維護時期的主要任務是使系統持久地滿足用戶的需要。具體地說,系統維護的任務包括當系統在使用過程中發現錯誤時應該加以改正;當環境改變時應該修改系統以適應新的環境;當企業有新的需求時應該及時改進信息系統以滿足企業的需求。每一次維護活動本質上都是一次壓縮和簡化了的系統定義和開發過程。
信息系統的生命周期是周而復始進行的,一個系統開發完成以後就不斷地評價和積累問題,積累到一定程度就要重新進行系統分析,開始一個新的生命周期。一般來說,不管系統運行的好壞,每隔一定的時期也要進行新一輪的開發。信息系統生命周期如圖所示。
另外需要注意的是,信息系統的生命周期並不等於信息系統軟體的生命周期,信息系統的生命周期考查的對象包含了組成信息系統的軟體和硬體,具有更多的內容。但由於信息系統的大多數功能一般是通過軟體來實現的,因此,信息系統的生命周期和信息系統軟體的生命周期的聯繫又是十分密切的。
安全保障
信息系統的生命周期層面和保障要求之間不是相互孤立的,而是相互關聯、密不可分的。圖示例化地描述了它們之間的關係。
在信息系統生命周期模型中,將信息系統的整個生命周期抽象成規劃組織、開發採購、實施交付、運行維護和廢棄五個階段,以及在運行維護階段的變更產生的反饋,形成信息系統生命周期完整的閉環結構。在信息系統的生命周期中的任何時間點上,都需要綜合信息系統安全保障的技術、管理、工程和人員保障要素對信息系統進行安全保障。
1)規劃組織階段。由於第三方電子支付企業的使命要求和業務要求,產生了信息系統安全保障建設和使用的需求。在此階段,信息系統的風險及策略應加入至信息系統建設和使用的決策中,從信息系統建設的開始就應該綜合考慮系統的安全保障要求,使信息系統的建設和信息系統安全保障的建設同步規劃、同步實施。
2)開發採購階段。此階段是規劃組織階段的細化、深入和具體體現,在此階段中,進行系統需求分析、考慮系統運行的需求、進行系統體系的設計以及相關的預算申請和項目準備等管理活動。在此階段,應克服傳統的基於具體技術或產品的片面性,要基於系統需求和風險、策略將信息系統安全保障作為一個整體,進行系統體系的設計和建設,以建立信息系統安全保障整體規劃和全局視野。第三方電子支付企業可根據具體要求,對系統整體的技術、管理安全保障規劃或設計進行評估,以保證對信息系統的整體規劃滿足第三方電子支付企業的建設要求和相關國家、行業和第三方電子支付企業的其他要求。
3)實施交付階段。在此階段,第三方電子支付企業可通過對承建方進行安全服務資格要求和信息安全專業人員資格要求以確保施工組織的服務能力;第三方電子支付企業還可通過信息系統安全保障的工程保障對實施施工過程進行監理和評估,最終確保所交付系統的安全性。
4)運行維護階段。信息系統進入運行維護階段後,對信息系統的管理、運行維護和使用人員的能力等方面進行綜合保障,是信息系統得以安全正常運行的根本保證。
5)變更和反饋。信息系統投入運行後並不是一成不變的,它隨著業務和需求的變更、外界環境的變更產生新的要求或增強原有的要求,重新進入信息系統的規劃階段。
6)廢棄階段。當信息系統的保障不能滿足現有要求時,信息系統進入廢棄階段。
通過在信息系統生命周期的所有階段融入信息系統安全保障概念,確保了第三方電子支付系統的持續動態安全保障。
支持
信息系統生命周期包括五個階段:系統規劃和啟動、設計開發或採購、集成實現、運行和維護、廢棄。風險評估應該貫穿於信息系統生命周期的全過程之中。在設計階段要進行風險評估以確定系統的安全目標;在建設驗收階段要進行風險評估以確定系統的安全目標達到與否;在運行維護階段要不斷進行風險評估以確定系統安全措施的有效性,確保全全保障目標始終如一得以堅持。下表描述了每個系統生命周期階段的特徵,並說明了風險評估如何對這些階段提供支持。
生命周期階段 | 階段特徵 | 來自風險評估活動的支持 |
階段1——規劃和啟動 | 提出信息系統的目的、需求、規 模和安全要求 | 風險評估活動可用於確定信息 系統安全需求 |
階段2——設計開發或採購 | 信息系統設計、購買、開發或 建造 | 在本階段標識的風險可以用來 為信息系統的安全分析提供支持, 這可能會影響到系統在開發過程 中要對體系結構和設計方案進行 權衡 |
階段3——集成實現 | 信息系統的安全特性應該被配 置、激活、測試並得到驗證 | 風險評估可支持對系統實現效 果的評價,考察其是否能滿足要 求,並考察系統所運行的環境是否 是預期設計的。有關風險的一系 列決策必須在系統運行之前做出 |
階段4——運行和維護 | 信息系統開始執行其功能,一般 情況下系統要不斷修改,添加硬體 和軟體,或改變機構的運行規則 策略或流程等 | 當定期對系統進行重新評估時, 或者信息系統在其運行性生產環 境(例如新的系統接口)中做出重 大變更時,要對其進行風險評估 活動 |
階段5——廢棄 | 本階段涉及對信息、硬體和軟體的 廢棄。這些活動可能包括信息的 轉移、備份、丟棄、銷毀以及對軟硬 件進行的密級處理 | 當要廢棄或替換系統組件時,要 對其進行風險評估,以確保硬體和 軟體得到了適當的廢棄處置,且殘 留信息也恰當地進行了處理。並 且要確保系統的更新換代能以一 個安全和系統化的方式完成 |