设计源于需求，需求源于目标。要弄清安全的需求，就要首先明确安全的管理目标。一般而言，针对安全的管理吕标包括政策需求和业务需求。获取和分析安全需求通常是从国家法律、组织政策、业务策略和责任追究等方西出发，而这些都是系统管理层需要考虑的内容。安全信息系统构建的最终目标，就是要求通过多层次手段最终所实现的信息系统完全满足管理层的要求。但是，由于认知的差异以及技术的约束，管理层所期望的安全目标和安全信息系统的具体实现，这二者之间是存在一定鸿沟的。对于管理目标，它是由非技术方的管理人员所关注和提出的，而信息系统构建和设计则主要由安全专家和技术人员进行的。因此，就需要将安全需求从管理角度的描述"转化"为可被技术人员理解并实现的技术性描述，以便于安全专家和技术人员进行安全信息系统的具体设计与实现。
当前，不自国家、不同行业的组织，对于所遵循和采取的标准和转化方法均有所不同。在安全信息系统构建的过程中，国外有一些可参考的比较成熟的标准，如美国NIST所推行的FIPS-199 (Standards 岛r Security Categorization of Federal Information and Information Systems-199) ，它主要介绍了对美国联邦政府信息系统进行安全需求分类和技术性描述。本部分将会简要地介绍FIPS-199 进行安全需求分析的方法，即根据安全属性和安全影响来描述安全需求。通过这一方法将管理吕标"转化"为可实际操作的技术性要求。
在信息化发展过程中，组织的信息化发展通常要考虑业务的需要来建设不同的信息系统。同一个组织内的不同业务往往需要不同的信息系统来支持。因此，组织的信息系统都不是独立存在的，每个信息系统都会与组织内其他信息系统进行交互且存在相互影响。因此，在构建安全信息系统时，管理者与设计者除了要考虑新系统的安全问题，也应考虑该系统可能会直接或间接影响到其他既有系统的问题。整合周边环境问题的方法就是建立一个组织层E 的安全架构。如果不从组织整体的角度来考虑系统安全问题，那么即使新部署的系统可能是周部安全最优的，但也有可能在一定程度上给组织的整体环境引进新的安全弱点，新部署的系统就有可能损害组织内部的其他系统。由于信息系统可能与其他的组织内部系统有人员、业务或资源的依赖关系，从而势必加剧了危害的后果。
此外，组织的信息系统是为这一组织的具体业务服务的。不同组织往往有不同的业务目标，因此，安全管理需要从不同角度获取不同的安全需求，以构建与安全需求相符合的信息系统。本部分将主要从组织层面考虑，利用EA(Enterprise Architecture)方法，从不同视角(业务、信息、解决方案、技术)分析安全信息系统构建的基础和目标，获取组织层面的和业务层面的安全需求。在对整个层面的安全需求获取方法有了初步掌握后，本书将引入SDLC 概念，并将简要介绍安全信息系统的开发构建过程。