एक कार्यप्रणाली एक लक्षित निर्माण है जो किसी विशिष्ट कार्य या कार्य की सिद्धि या निष्पादन के लिए विशिष्ट प्रथाओं, प्रक्रियाओं और नियमों का प्रतिनिधित्व करता है। सूचना प्रणाली सुरक्षा के लिए कई तरीके हैं जो इस प्रकार हैं -
इन्फोसेक आकलन पद्धति (आईएएम) - इसका उद्देश्य एक ऐसी विधि प्रदान करना है जिसका उपयोग स्वचालित सूचना प्रणाली की INFOSEC स्थिति की जांच के लिए एक सुसंगत नियंत्रण के रूप में किया जा सकता है। IAM संभावित कमजोरियों को पहचानने के कारण एक निर्दिष्ट, परिचालन प्रणाली का उच्च-स्तरीय मूल्यांकन प्रदान करने पर केंद्रित है।
IAM को तीन चरणों में विभाजित किया गया है जैसे कि पूर्व-मूल्यांकन, साइट पर गतिविधियाँ और मूल्यांकन के बाद। पूर्व-आकलन चरण उपयोगकर्ता की जरूरतों की एक सामान्य अवधारणा का निर्माण करने, लक्ष्य प्रणालियों को परिभाषित करने और मूल्यांकन के लिए सगाई के नियमों को स्थापित करने का प्रस्ताव है। पूर्व-मूल्यांकन एक लिखित माप योजना के साथ प्राप्त होता है।
ऑन-साइट गतिविधियां खंड आईएएम के मूल जोर को दिखाता है जिसमें यह पूर्व-मूल्यांकन चरण के प्रभाव पैदा करता है, उन प्रभावों को मान्य करता है, और अधिक डेटा संयोजन और सत्यापन करता है।
इन्फोसेक मूल्यांकन पद्धति (आईईएम) - इसका उद्देश्य प्रणालियों में संवेदनशीलता का तकनीकी रूप से आकलन करने और उन प्रणालियों के वास्तविक इंफोसेक डिजाइन को वैध बनाने के लिए एक तकनीक प्रदान करना है। IEM, IAM के लिए एक अनुरक्षण पद्धति है, जो IA-CMM ढांचे की संपूर्ण छत्रछाया में फिट होती है, लेकिन "भेद्यता डिस्कवरी ट्रायड" के स्तर 2 को लक्षित करती है।
IAM और IEM के बीच अंतर यह है कि IEM उन प्रणालियों में दस्तावेज़ संभावित कमजोरियों के IAM के परिणाम के विरुद्ध, कमजोरियों के वास्तविक अस्तित्व को प्रमाणित करने के लिए सिस्टम के वास्तविक व्यावहारिक मूल्यांकन को लागू करता है।
IEM को तीन चरणों में विभाजित किया गया है जैसे कि पूर्व-मूल्यांकन, ऑन-साइट और पोस्ट मूल्यांकन। पूर्व-मूल्यांकन चरण IAM पूर्व-मूल्यांकन दस्तावेज़ को इनपुट के रूप में लेने और फिर लक्ष्यों के तहत सिस्टम के तकनीकी मूल्यांकन के लिए सगाई के नियमों के समन्वय के साथ शुरू होता है। यह चरण तकनीकी मूल्यांकन योजना के साथ हटा दिया जाता है।
आईईएम का ऑन-साइट चरण तब व्यावहारिक तकनीकी कार्य के आकार को दिखाता है, विविध खोजों, स्कैनों और मूल्यांकनों को लागू करता है। दक्षता बनाने के लिए सभी निष्कर्षों को भौतिक रूप से मान्य किया गया है।
अंत में, मूल्यांकन के बाद का चरण आईएएम के समान कार्यप्रणाली को प्राप्त करता है, जो उत्पादित सभी डेटा को खींचकर, अंतिम दस्तावेज़ में डाल देता है जो निष्कर्षों, सुझावों और सुरक्षा रोडमैप का विवरण देता है।
सुरक्षा घटना नीति प्रवर्तन प्रणाली (एसआईपीईएस) - इसका उद्देश्य सुरक्षा घटना नीति प्रवर्तन प्रणाली को परिभाषित करने और लागू करने के लिए एक कार्यप्रणाली प्रदान करना है। यह पद्धति पूर्णता के लिए तैयार की गई है।
सुरक्षा घटना नीति प्रवर्तन प्रणाली (एसआईपीईएस) मसौदा घटना प्रतिक्रिया प्रबंधन की जटिलता को संबोधित करने के लिए एक अपेक्षाकृत सारगर्भित तरीका दिखाता है। पेपर विफलता आंतरिक आईटी सिस्टम की परिभाषा के विरोध से शुरू होता है और फिर इसकी "स्टेटफुल" पद्धति का निर्माण करने के लिए आगे बढ़ता है।