信息系統(tǒng)生命周期是指信息系統(tǒng)在使用過程中隨著其生存環(huán)境的變化，要不斷維護、修改，具有產(chǎn)生、發(fā)展、成熟、消亡(更新)的過程周期循環(huán)。

信息系統(tǒng)生命周期由系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施以及系統(tǒng)管理和維護四個時期組成，每一個時期又進一步劃分成若干個階段。

1．系統(tǒng)分析

系統(tǒng)的分析，也叫系統(tǒng)的調(diào)查與分析，是信息系統(tǒng)生命周期的第一個階段，也是最重要的一個環(huán)節(jié)。系統(tǒng)分析時期的任務包括確定信息系統(tǒng)必須完成的總目標，確定工程的可行性，導出實現(xiàn)工程目標應該采取的策略及系統(tǒng)必須完成的功能，估計完成該項工程需要的資源和成本，并且制定工程進度表。系統(tǒng)分析時期通常進一步劃分成三個階段，即問題的定義、可行性研究和需求分析。問題定義階段的主要任務是確定所開發(fā)的信息系統(tǒng)要完成的目標是什么，如果不知道信息系統(tǒng)的目標就試圖開發(fā)信息系統(tǒng)，顯然是盲目的，只會白白浪費時間和金錢。可行性研究階段的主要任務是分析達到信息系統(tǒng)的目標是否存在可行的辦法?？尚行匝芯康慕Y(jié)果是信息系統(tǒng)的負責人做出是否繼續(xù)進行這個信息系統(tǒng)的開發(fā)決定的重要依據(jù)。一般來說，只有投資可能取得較大效益的那些信息系統(tǒng)才值得繼續(xù)進行下去，及時終止不值得投資的工程項目，可以避免更大的浪費。需求分析階段的主要任務是確定目標系統(tǒng)必須具備哪些功能以及系統(tǒng)正常運行時應滿足的性能指標。

2．系統(tǒng)設(shè)計

系統(tǒng)設(shè)計是信息系統(tǒng)生命周期中另一個重要階段。系統(tǒng)設(shè)計的主要目的就是為下一階段的系統(tǒng)實施制定藍圖。系統(tǒng)設(shè)計包括兩個方面的內(nèi)容，首先是系統(tǒng)總體設(shè)計，總體設(shè)計的任務是提供信息系統(tǒng)的概括的解決方案，主要內(nèi)容包括信息系統(tǒng)的功能模塊的劃分，功能模塊之間的層次結(jié)構(gòu)和關(guān)系。其次是系統(tǒng)詳細設(shè)計，詳細設(shè)計的任務是把系統(tǒng)總體設(shè)計的結(jié)果具體化。這個階段的任務不是編寫程序，而是設(shè)計出各個功能模塊的詳細規(guī)格說明，如信息系統(tǒng)各個模塊的處理流程，系統(tǒng)的數(shù)據(jù)流程和數(shù)據(jù)庫邏輯結(jié)構(gòu)的設(shè)計。

3．系統(tǒng)實施

系統(tǒng)實施是新系統(tǒng)開發(fā)工作的最后一個階段。所謂實施指的是將上述系統(tǒng)設(shè)計階段的結(jié)果在計算機上實現(xiàn)，將原來紙面上的、類似于設(shè)計圖式的新系統(tǒng)的設(shè)計方案轉(zhuǎn)換成可執(zhí)行的應用系統(tǒng)。系統(tǒng)設(shè)計階段的主要任務是：按總體設(shè)計方案購置和安裝計算機網(wǎng)絡(luò)系統(tǒng)；建立數(shù)據(jù)庫系統(tǒng)；程序設(shè)計與調(diào)試；整理基礎(chǔ)數(shù)據(jù)；培訓操作人員和試運行。

4．系統(tǒng)維護

系統(tǒng)維護是系統(tǒng)投入正常運行之后一件長期而又艱巨的工作。維護時期的主要任務是使系統(tǒng)持久地滿足用戶的需要。具體地說，系統(tǒng)維護的任務包括當系統(tǒng)在使用過程中發(fā)現(xiàn)錯誤時應該加以改正；當環(huán)境改變時應該修改系統(tǒng)以適應新的環(huán)境；當企業(yè)有新的需求時應該及時改進信息系統(tǒng)以滿足企業(yè)的需求。每一次維護活動本質(zhì)上都是一次壓縮和簡化了的系統(tǒng)定義和開發(fā)過程。

信息系統(tǒng)的生命周期是周而復始進行的，一個系統(tǒng)開發(fā)完成以后就不斷地評價和積累問題，積累到一定程度就要重新進行系統(tǒng)分析，開始一個新的生命周期。一般來說，不管系統(tǒng)運行的好壞，每隔一定的時期也要進行新一輪的開發(fā)。信息系統(tǒng)生命周期如圖所示。

另外需要注意的是，信息系統(tǒng)的生命周期并不等于信息系統(tǒng)軟件的生命周期，信息系統(tǒng)的生命周期考查的對象包含了組成信息系統(tǒng)的軟件和硬件，具有更多的內(nèi)容。但由于信息系統(tǒng)的大多數(shù)功能一般是通過軟件來實現(xiàn)的，因此，信息系統(tǒng)的生命周期和信息系統(tǒng)軟件的生命周期的聯(lián)系又是十分密切的。

信息系統(tǒng)的生命周期層面和保障要求之間不是相互孤立的，而是相互關(guān)聯(lián)、密不可分的。圖示例化地描述了它們之間的關(guān)系。

在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個生命周期抽象成規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄五個階段，以及在運行維護階段的變更產(chǎn)生的反饋，形成信息系統(tǒng)生命周期完整的閉環(huán)結(jié)構(gòu)。在信息系統(tǒng)的生命周期中的任何時間點上，都需要綜合信息系統(tǒng)安全保障的技術(shù)、管理、工程和人員保障要素對信息系統(tǒng)進行安全保障。

1)規(guī)劃組織階段。由于第三方電子支付企業(yè)的使命要求和業(yè)務要求，產(chǎn)生了信息系統(tǒng)安全保障建設(shè)和使用的需求。在此階段，信息系統(tǒng)的風險及策略應加入至信息系統(tǒng)建設(shè)和使用的決策中，從信息系統(tǒng)建設(shè)的開始就應該綜合考慮系統(tǒng)的安全保障要求，使信息系統(tǒng)的建設(shè)和信息系統(tǒng)安全保障的建設(shè)同步規(guī)劃、同步實施。

2)開發(fā)采購階段。此階段是規(guī)劃組織階段的細化、深入和具體體現(xiàn)，在此階段中，進行系統(tǒng)需求分析、考慮系統(tǒng)運行的需求、進行系統(tǒng)體系的設(shè)計以及相關(guān)的預算申請和項目準備等管理活動。在此階段，應克服傳統(tǒng)的基于具體技術(shù)或產(chǎn)品的片面性，要基于系統(tǒng)需求和風險、策略將信息系統(tǒng)安全保障作為一個整體，進行系統(tǒng)體系的設(shè)計和建設(shè)，以建立信息系統(tǒng)安全保障整體規(guī)劃和全局視野。第三方電子支付企業(yè)可根據(jù)具體要求，對系統(tǒng)整體的技術(shù)、管理安全保障規(guī)劃或設(shè)計進行評估，以保證對信息系統(tǒng)的整體規(guī)劃滿足第三方電子支付企業(yè)的建設(shè)要求和相關(guān)國家、行業(yè)和第三方電子支付企業(yè)的其他要求。

3)實施交付階段。在此階段，第三方電子支付企業(yè)可通過對承建方進行安全服務資格要求和信息安全專業(yè)人員資格要求以確保施工組織的服務能力；第三方電子支付企業(yè)還可通過信息系統(tǒng)安全保障的工程保障對實施施工過程進行監(jiān)理和評估，最終確保所交付系統(tǒng)的安全性。

4)運行維護階段。信息系統(tǒng)進入運行維護階段后，對信息系統(tǒng)的管理、運行維護和使用人員的能力等方面進行綜合保障，是信息系統(tǒng)得以安全正常運行的根本保證。

5)變更和反饋。信息系統(tǒng)投入運行后并不是一成不變的，它隨著業(yè)務和需求的變更、外界環(huán)境的變更產(chǎn)生新的要求或增強原有的要求，重新進入信息系統(tǒng)的規(guī)劃階段。

6)廢棄階段。當信息系統(tǒng)的保障不能滿足現(xiàn)有要求時，信息系統(tǒng)進入廢棄階段。

通過在信息系統(tǒng)生命周期的所有階段融入信息系統(tǒng)安全保障概念，確保了第三方電子支付系統(tǒng)的持續(xù)動態(tài)安全保障。

信息系統(tǒng)生命周期包括五個階段：系統(tǒng)規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄。風險評估應該貫穿于信息系統(tǒng)生命周期的全過程之中。在設(shè)計階段要進行風險評估以確定系統(tǒng)的安全目標；在建設(shè)驗收階段要進行風險評估以確定系統(tǒng)的安全目標達到與否；在運行維護階段要不斷進行風險評估以確定系統(tǒng)安全措施的有效性，確保安全保障目標始終如一得以堅持。下表描述了每個系統(tǒng)生命周期階段的特征，并說明了風險評估如何對這些階段提供支持。