5.3.2  安全需求评审

（1）活动目标 在项目需求评审的同时，同步完成对安全需求的评审。评审通过后的安全需求将作为后续安全设计、安全编码、安全测试及安全需求实现审核工作的依据。

（2）参与角色 安全专家、信息安全经理、信息安全督导员。

（3）活动输入 含有安全需求的项目需求规格说明书。

（4）活动描述 本活动主要包括以下子活动内容：

1）成立安全需求评审小组。根据项目特点，从安全专家团队中抽取专家组成安全需求评审小组，负责对该项目的安全需求进行评审。

2）进行安全需求评审。在项目需求评审的同时，由安全需求评审小组对该项目安全需求进行评审，提出评审意见和改进建议。安全需求评审可由信息安全督导员牵头发起，也可由项目经理组织发起，其形式可以是会审，也可以是函审。

3）确定安全需求。信息安全经理牵头，信息安全督导员配合，根据评审意见对安全需求进行改进和完善，经安全需求评审小组认可后，形成最终的项目安全需求。

（5）活动输出 安全需求评审结果、含有安全需求的项目需求规格说明书。