信息系統(tǒng)生命周期是指信息系統(tǒng)在使用過(guò)程中隨著其生存環(huán)境的變化，要不斷維護(hù)、修改，具有產(chǎn)生、發(fā)展、成熟、消亡(更新)的過(guò)程周期循環(huán)。

信息系統(tǒng)生命周期由系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施以及系統(tǒng)管理和維護(hù)四個(gè)時(shí)期組成，每一個(gè)時(shí)期又進(jìn)一步劃分成若干個(gè)階段。

1．系統(tǒng)分析

系統(tǒng)的分析，也叫系統(tǒng)的調(diào)查與分析，是信息系統(tǒng)生命周期的第一個(gè)階段，也是最重要的一個(gè)環(huán)節(jié)。系統(tǒng)分析時(shí)期的任務(wù)包括確定信息系統(tǒng)必須完成的總目標(biāo)，確定工程的可行性，導(dǎo)出實(shí)現(xiàn)工程目標(biāo)應(yīng)該采取的策略及系統(tǒng)必須完成的功能，估計(jì)完成該項(xiàng)工程需要的資源和成本，并且制定工程進(jìn)度表。系統(tǒng)分析時(shí)期通常進(jìn)一步劃分成三個(gè)階段，即問(wèn)題的定義、可行性研究和需求分析。問(wèn)題定義階段的主要任務(wù)是確定所開發(fā)的信息系統(tǒng)要完成的目標(biāo)是什么，如果不知道信息系統(tǒng)的目標(biāo)就試圖開發(fā)信息系統(tǒng)，顯然是盲目的，只會(huì)白白浪費(fèi)時(shí)間和金錢?？尚行匝芯侩A段的主要任務(wù)是分析達(dá)到信息系統(tǒng)的目標(biāo)是否存在可行的辦法?？尚行匝芯康慕Y(jié)果是信息系統(tǒng)的負(fù)責(zé)人做出是否繼續(xù)進(jìn)行這個(gè)信息系統(tǒng)的開發(fā)決定的重要依據(jù)。一般來(lái)說(shuō)，只有投資可能取得較大效益的那些信息系統(tǒng)才值得繼續(xù)進(jìn)行下去，及時(shí)終止不值得投資的工程項(xiàng)目，可以避免更大的浪費(fèi)。需求分析階段的主要任務(wù)是確定目標(biāo)系統(tǒng)必須具備哪些功能以及系統(tǒng)正常運(yùn)行時(shí)應(yīng)滿足的性能指標(biāo)。

2．系統(tǒng)設(shè)計(jì)

系統(tǒng)設(shè)計(jì)是信息系統(tǒng)生命周期中另一個(gè)重要階段。系統(tǒng)設(shè)計(jì)的主要目的就是為下一階段的系統(tǒng)實(shí)施制定藍(lán)圖。系統(tǒng)設(shè)計(jì)包括兩個(gè)方面的內(nèi)容，首先是系統(tǒng)總體設(shè)計(jì)，總體設(shè)計(jì)的任務(wù)是提供信息系統(tǒng)的概括的解決方案，主要內(nèi)容包括信息系統(tǒng)的功能模塊的劃分，功能模塊之間的層次結(jié)構(gòu)和關(guān)系。其次是系統(tǒng)詳細(xì)設(shè)計(jì)，詳細(xì)設(shè)計(jì)的任務(wù)是把系統(tǒng)總體設(shè)計(jì)的結(jié)果具體化。這個(gè)階段的任務(wù)不是編寫程序，而是設(shè)計(jì)出各個(gè)功能模塊的詳細(xì)規(guī)格說(shuō)明，如信息系統(tǒng)各個(gè)模塊的處理流程，系統(tǒng)的數(shù)據(jù)流程和數(shù)據(jù)庫(kù)邏輯結(jié)構(gòu)的設(shè)計(jì)。

3．系統(tǒng)實(shí)施

系統(tǒng)實(shí)施是新系統(tǒng)開發(fā)工作的最后一個(gè)階段。所謂實(shí)施指的是將上述系統(tǒng)設(shè)計(jì)階段的結(jié)果在計(jì)算機(jī)上實(shí)現(xiàn)，將原來(lái)紙面上的、類似于設(shè)計(jì)圖式的新系統(tǒng)的設(shè)計(jì)方案轉(zhuǎn)換成可執(zhí)行的應(yīng)用系統(tǒng)。系統(tǒng)設(shè)計(jì)階段的主要任務(wù)是：按總體設(shè)計(jì)方案購(gòu)置和安裝計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；建立數(shù)據(jù)庫(kù)系統(tǒng)；程序設(shè)計(jì)與調(diào)試；整理基礎(chǔ)數(shù)據(jù)；培訓(xùn)操作人員和試運(yùn)行。

4．系統(tǒng)維護(hù)

系統(tǒng)維護(hù)是系統(tǒng)投入正常運(yùn)行之后一件長(zhǎng)期而又艱巨的工作。維護(hù)時(shí)期的主要任務(wù)是使系統(tǒng)持久地滿足用戶的需要。具體地說(shuō)，系統(tǒng)維護(hù)的任務(wù)包括當(dāng)系統(tǒng)在使用過(guò)程中發(fā)現(xiàn)錯(cuò)誤時(shí)應(yīng)該加以改正；當(dāng)環(huán)境改變時(shí)應(yīng)該修改系統(tǒng)以適應(yīng)新的環(huán)境；當(dāng)企業(yè)有新的需求時(shí)應(yīng)該及時(shí)改進(jìn)信息系統(tǒng)以滿足企業(yè)的需求。每一次維護(hù)活動(dòng)本質(zhì)上都是一次壓縮和簡(jiǎn)化了的系統(tǒng)定義和開發(fā)過(guò)程。

信息系統(tǒng)的生命周期是周而復(fù)始進(jìn)行的，一個(gè)系統(tǒng)開發(fā)完成以后就不斷地評(píng)價(jià)和積累問(wèn)題，積累到一定程度就要重新進(jìn)行系統(tǒng)分析，開始一個(gè)新的生命周期。一般來(lái)說(shuō)，不管系統(tǒng)運(yùn)行的好壞，每隔一定的時(shí)期也要進(jìn)行新一輪的開發(fā)。信息系統(tǒng)生命周期如圖所示。

另外需要注意的是，信息系統(tǒng)的生命周期并不等于信息系統(tǒng)軟件的生命周期，信息系統(tǒng)的生命周期考查的對(duì)象包含了組成信息系統(tǒng)的軟件和硬件，具有更多的內(nèi)容。但由于信息系統(tǒng)的大多數(shù)功能一般是通過(guò)軟件來(lái)實(shí)現(xiàn)的，因此，信息系統(tǒng)的生命周期和信息系統(tǒng)軟件的生命周期的聯(lián)系又是十分密切的。

信息系統(tǒng)的生命周期層面和保障要求之間不是相互孤立的，而是相互關(guān)聯(lián)、密不可分的。圖示例化地描述了它們之間的關(guān)系。

在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個(gè)生命周期抽象成規(guī)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段，以及在運(yùn)行維護(hù)階段的變更產(chǎn)生的反饋，形成信息系統(tǒng)生命周期完整的閉環(huán)結(jié)構(gòu)。在信息系統(tǒng)的生命周期中的任何時(shí)間點(diǎn)上，都需要綜合信息系統(tǒng)安全保障的技術(shù)、管理、工程和人員保障要素對(duì)信息系統(tǒng)進(jìn)行安全保障。

1)規(guī)劃組織階段。由于第三方電子支付企業(yè)的使命要求和業(yè)務(wù)要求，產(chǎn)生了信息系統(tǒng)安全保障建設(shè)和使用的需求。在此階段，信息系統(tǒng)的風(fēng)險(xiǎn)及策略應(yīng)加入至信息系統(tǒng)建設(shè)和使用的決策中，從信息系統(tǒng)建設(shè)的開始就應(yīng)該綜合考慮系統(tǒng)的安全保障要求，使信息系統(tǒng)的建設(shè)和信息系統(tǒng)安全保障的建設(shè)同步規(guī)劃、同步實(shí)施。

2)開發(fā)采購(gòu)階段。此階段是規(guī)劃組織階段的細(xì)化、深入和具體體現(xiàn)，在此階段中，進(jìn)行系統(tǒng)需求分析、考慮系統(tǒng)運(yùn)行的需求、進(jìn)行系統(tǒng)體系的設(shè)計(jì)以及相關(guān)的預(yù)算申請(qǐng)和項(xiàng)目準(zhǔn)備等管理活動(dòng)。在此階段，應(yīng)克服傳統(tǒng)的基于具體技術(shù)或產(chǎn)品的片面性，要基于系統(tǒng)需求和風(fēng)險(xiǎn)、策略將信息系統(tǒng)安全保障作為一個(gè)整體，進(jìn)行系統(tǒng)體系的設(shè)計(jì)和建設(shè)，以建立信息系統(tǒng)安全保障整體規(guī)劃和全局視野。第三方電子支付企業(yè)可根據(jù)具體要求，對(duì)系統(tǒng)整體的技術(shù)、管理安全保障規(guī)劃或設(shè)計(jì)進(jìn)行評(píng)估，以保證對(duì)信息系統(tǒng)的整體規(guī)劃滿足第三方電子支付企業(yè)的建設(shè)要求和相關(guān)國(guó)家、行業(yè)和第三方電子支付企業(yè)的其他要求。

3)實(shí)施交付階段。在此階段，第三方電子支付企業(yè)可通過(guò)對(duì)承建方進(jìn)行安全服務(wù)資格要求和信息安全專業(yè)人員資格要求以確保施工組織的服務(wù)能力；第三方電子支付企業(yè)還可通過(guò)信息系統(tǒng)安全保障的工程保障對(duì)實(shí)施施工過(guò)程進(jìn)行監(jiān)理和評(píng)估，最終確保所交付系統(tǒng)的安全性。

4)運(yùn)行維護(hù)階段。信息系統(tǒng)進(jìn)入運(yùn)行維護(hù)階段后，對(duì)信息系統(tǒng)的管理、運(yùn)行維護(hù)和使用人員的能力等方面進(jìn)行綜合保障，是信息系統(tǒng)得以安全正常運(yùn)行的根本保證。

5)變更和反饋。信息系統(tǒng)投入運(yùn)行后并不是一成不變的，它隨著業(yè)務(wù)和需求的變更、外界環(huán)境的變更產(chǎn)生新的要求或增強(qiáng)原有的要求，重新進(jìn)入信息系統(tǒng)的規(guī)劃階段。

6)廢棄階段。當(dāng)信息系統(tǒng)的保障不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。

通過(guò)在信息系統(tǒng)生命周期的所有階段融入信息系統(tǒng)安全保障概念，確保了第三方電子支付系統(tǒng)的持續(xù)動(dòng)態(tài)安全保障。

信息系統(tǒng)生命周期包括五個(gè)階段：系統(tǒng)規(guī)劃和啟動(dòng)、設(shè)計(jì)開發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)生命周期的全過(guò)程之中。在設(shè)計(jì)階段要進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅(jiān)持。下表描述了每個(gè)系統(tǒng)生命周期階段的特征，并說(shuō)明了風(fēng)險(xiǎn)評(píng)估如何對(duì)這些階段提供支持。