信息安全保密設計到信息系統的整個生命周期，它包括系統的保密規則、保密設計、保密實施、保密運營和安全廢棄等環節，目標是為了保障系統中的信息的機密性、完整性、可用性和可審計性。而以安全風險評估和控制為主的保密風險管理則貫穿在整個信息保密工作中。

　　信息安全保密工程由以下環節組成：

　　（1）保密策略制定：確定信息安全保密的策略和保密目標。

　　（2）保密風險評估：實現保密需求分析、風險分析、明確表述信息安全保密現狀和保密需求目標之間的差距。

　　（3）保密方案設計：形成系統安全保密解決方案，為達到目標給出有效的方法和步驟。

　　（4）保密工程實施：根據方案設計的框架，建設、部署整個信息安保體系。

　　（5）保密日常管理：在管理階段包括兩種情況，即正常情況下的保密管理，包括信息系統的安全測評和安全加固，以及出現失、泄密情況下的應急響應和處理。

　　（6）安全保密教育：該階段貫穿整個信息安保生命周期，需要對決策層、管理層、普通用戶層的各類相關人員進行保密教育培訓，以及考核、檢查及監督。

　　制定安全保密策略應該考慮的主要因素有：

　　（1）闡述保密的總體和具體目標。

　　（2）標引相關的法律、法規文件。

　　（3）明確保密教育和培訓的相關需求。

　　（4）列出信息安全保密的技術和管理需求。

　　（5）明確保密的責任、義務和權利。

　　（6）說明違法規定或造成失、泄密應該承擔的后果。

　　（7）制定應急響應計劃。

　　（8）考慮成本、效率、技術進步和可能帶來的風險等因素。

　　確定保密需求對一個組織機構來說是十分關鍵的。保密需求有三個主要來源：
第一個來源是保密風險的評估。通過風險評估，辨別出可能存在的各種泄密隱患；對重要涉密資產的威脅；威脅發生可能造成的泄密損失，以及威脅發生的可能性，進而有針對性的提出保密需求。

　　第二個來源是法律的、規定的和標準的要求。這些要求是必需滿足的。

　　第三個來源是一個組織機構根據自身情況已經制定的特殊原則、目標和保密需求。

　　保密需求包括管理需求、技術需求和組織需求三大部分。