信息系統的生命周期層面和保障要求之間不是相互孤立的,而是相互關聯、密不可分的。圖示例化地描述了它們之間的關系。
在信息系統生命周期模型中,將信息系統的整個生命周期抽象成規劃組織、開發采購、實施交付、運行維護和廢棄五個階段,以及在運行維護階段的變更產生的反饋,形成信息系統生命周期完整的閉環結構。在信息系統的生命周期中的任何時間點上,都需要綜合信息系統安全保障的技術、管理、工程和人員保障要素對信息系統進行安全保障。
1)規劃組織階段。由於第三方電子支付企業的使命要求和業務要求,產生了信息系統安全保障建設和使用的需求。在此階段,信息系統的風險及策略應加入至信息系統建設和使用的決策中,從信息系統建設的開始就應該綜合考慮系統的安全保障要求,使信息系統的建設和信息系統安全保障的建設同步規劃、同步實施。
2)開發采購階段。此階段是規劃組織階段的細化、深入和具體體現,在此階段中,進行系統需求分析、考慮系統運行的需求、進行系統體系的設計以及相關的預算申請和項目準備等管理活動。在此階段,應克服傳統的基於具體技術或產品的片面性,要基於系統需求和風險、策略將信息系統安全保障作為壹個整體,進行系統體系的設計和建設,以建立信息系統安全保障整體規劃和全局視野。第三方電子支付企業可根據具體要求,對系統整體的技術、管理安全保障規劃或設計進行評估,以保證對信息系統的整體規劃滿足第三方電子支付企業的建設要求和相關國家、行業和第三方電子支付企業的其他要求。
3)實施交付階段。在此階段,第三方電子支付企業可通過對承建方進行安全服務資格要求和信息安全專業人員資格要求以確保施工組織的服務能力;第三方電子支付企業還可通過信息系統安全保障的工程保障對實施施工過程進行監理和評估,最終確保所交付系統的安全性。
4)運行維護階段。信息系統進入運行維護階段後,對信息系統的管理、運行維護和使用人員的能力等方面進行綜合保障,是信息系統得以安全正常運行的根本保證。
5)變更和反饋。信息系統投入運行後並不是壹成不變的,它隨著業務和需求的變更、外界環境的變更產生新的要求或增強原有的要求,重新進入信息系統的規劃階段。
6)廢棄階段。當信息系統的保障不能滿足現有要求時,信息系統進入廢棄階段。
通過在信息系統生命周期的所有階段融入信息系統安全保障概念,確保了第三方電子支付系統的持續動態安全保障。