信息安全技术 信息系统安全工程管理要求.pdf

《信息安全技术 信息系统安全工程管理要求.pdf》由会员分享，可在线阅读，更多相关《信息安全技术 信息系统安全工程管理要求.pdf（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求1 范围本标准规定了信息安全工程（以下简称安全工程）的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件，各方可以此为依据建立安全工程管理体系。本标准按照GB17859-1999 划分的五个安全保护等级，规定了信息安全工程的不同要求。本标准适用于该系统的需求方和实施方的工程管理，其他有关各方也可参照使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标

2、准最新版本的可能性。凡是不注明日期的引用文件，其最新版本适用于本标准。GB 178591999 计算机信息系统安全保护等级划分准则 GB/T 202692006 信息安全等级保护 信息系统安全通用技术要求 GB/T 20271-2006信息安全等级保护 信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。3.1安全工程 security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。3。2安全工程的生存周期 security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验

3、证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。3.3安全工程指南 security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。3.4脆弱性 vulnerability能够被某种威胁利用的某个或某组资产的弱点。3。5风险 risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。3。6需求方 owner信息系统安全工程建设的拥有者或组织者。3。7实施方 developer信息系统安全工程的建设与服务的提供方。3.8第三方 third party独立于需求方、实施方，从事信息系统安全工程建设相关活动的中立组织

4、或机构。3.9项目 project项目是各种相关实施活动和资源的总和,这些实施活动和资源用于开发或维护信息安全工程。一个项目往往有相关的资金，成本账目和交付时间表。3.10过程 process把输入转化为输出的一组相关活动.3.11过程管理 process management一系列用于预见、评价和控制过程执行的活动和体系结构。4 安全工程体系4。1 概述在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系.通过这个体系从安全工程中分离出实施和保证的基本特征，立信息系统安全分级保护要求与工程管理的关系。4。2 安全工程目标理解需求方的安全风险，根据已标识的安全风险建立合理的安

5、全要求，将安全要求转换成安全指南，这些安全指南指导项目实施的其它活动，在正确有效的安全机制下建立对信息安全的信心和保证；判断系统中和系统运行时残留的安全脆弱性，及其对运行的影响是否可容忍(即可接受的风险），使安全工程成为一个可信的工程活动，能够满足相应等级信息系统设计的要求。4。3 基本关系安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与实施要求。其中保证是由资格保证要求和组织保证要求构成,实施是由工程实施要求和项目实施要求构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求;组织保证要求表示信息安全工程过程要求中对

6、需求方组织保证的要求;工程实施要求表示信息安全工程中对安全实施过程的要求；项目实施要求表示信息安全工程中对项目实施过程的要求。5 资格保证要求5。1 系统集成资质要求国家主管部门认可的系统集成资质。5。2 人员资质要求国家主管部门认可的安全服务人员资质。5.3 第三方服务要求国家主管部门认可的服务单位资质。5.4 安全产品要求信息安全产品应具有在国内生产、经营、销售的许可证，并符合相应的等级.5。5 工程监理要求5。5.1 应具备信息安全系统建设工程实施监理管理制度。5.5。2 系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。5.6 法律、法规、政策符合性要求系统应符合国家相

7、关的法律、法规和政策。6 组织保证要求6.1 定义组织的系统工程过程6。1.1 基本要求应为系统工程定义一套标准有明确目标的过程，这套标准的过程可以通过裁剪应用于定义新工程项目的过程.6。1。2 制定过程目标6。1。2.1 从组织的应用目标出发为组织的系统工程过程制定目标。6。1.2。2 系统工程过程在业务环境中运行，为了使组织的标准实现制度化，该目标应得到明确的认可；这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。6。1.3 收集过程资产6。1。3。1 收集和维护系统工程过程资产。6。1.3。2 在组织和项目层次中，由过程定义活动所产生的信息都需要存储（在过程资产库中）

8、，使得那些剪裁、过程设计活动中的资产能被使用人理解，并得到维护与保持.6。1.4 开发组织的系统工程过程6。1.4.1 为组织开发一个充分定义的标准系统工程过程.6.1。4.2 在开发组织的标准系统工程过程中,可能使用到过程资产库中的设备；在开发任务时，可能需要一些新的过程资产，应该将这些资产添加到过程资产库中；应该将组织的标准系统工程过程置于过程资产库中.6.1。5 定义剪裁指南定义剪裁组织的标准系统工程过程的指南，该指南在开发项目的定义过程中使用。6。2 改进组织的系统工程过程6。2.1 基本要求应实施测量和改进系统工程过程的连续活动，以标准系统工程过程定义为基础，通过不断改进活动提高组织

9、系统工程过程的效益和效率。6.2。2 评定过程6。2.2。1 评定组织中现有的执行过程以便了解它们的强项和弱项，了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键；6.2.2。2 评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进行，评定方法的选择应与文化和组织需求相匹配。6。2。3 规划过程改进应基于对潜在改进所产生影响的分析，为组织制订过程改进计划，以达到过程的目标.6.2.4 改变标准过程改变组织的标准系统工程过程以便反映目标的改进。6。2。5 沟通过程改进适当地同现有项目和其它有相关团体共同沟通过程的改进.6.3 管理系列产品演化6。3。1 基本要求应通过引进服务、设

10、备和新技术实现产品更新与工程费用降低,获取工程进度和执行的最佳收益。6。3.2 定义产品演化6.3。2。1 定义要提供产品的类型。6.3。2.2 定义支持组织战略目标的系列产品。6。3。2。3 考虑组织的强项和弱项、竞争力、潜在的市场份额和可利用的技术。6。3。3 标识新生产技术6.3.3。1 标识新生产技术或加强基础设施建设，将有助于组织获取、开发和应用新生产技术来提高竞争优势.6.3.3.2 确定可能引入到系列产品的新生产技术，为确定新技术和基础设施改进而建立并能维护的原始资料和方法.6。3.4 适应开发过程6.3。4。1 在产品开发周期中采取必要的变动以支持新产品的开发。6。3.4.2

11、适应组织的产品开发过程,熟悉并利用准备在将来使用的组件.6。3。5 确保关键组件的可用性6.3。5。1 确保关键组件都可利用，并可以支持有计划的产品改进。6.3.5.2 组织应确定产品系列的关键组件及其可用性的计划。6。3.6 插入产品技术6。3.6.1 将新的技术插入到产品开发、市场营销和制造过程中。6。3。6。2 管理将新技术引入到系列产品的工作（包括现有产品系列组件的改进、新组件的引进）；标识和管理与产品设计变化有关的风险。6.4 管理系统工程支持环境6.4.1 基本要求应能够为不同需求的系统工程提供支持环境，并可以通过剪裁适应不同的项目.根据技术、环境状态的变化对支持环境进行改进。6。

12、4。2 维持技术认识6.4.2。1 维持对支持实现组织目标的那些技术的认识。6。4。2.2 对工艺现状或实施现状应该插入新的技术,组织应具有对新技术的充分认识。6.4。3 确定支持需求根据组织的需要确定组织的系统工程支持环境的需求.6.4。4 获得系统工程支持环境6.4。4。1 获得一个系统工程支持环境，该环境要满足在确定支持需求中通过利用分析候选解决要求项的实施而建立的要求。6.4。4.2 针对所需的系统工程支持环境，确定其评价标准和潜在的候选解决方案;利用分析候选解决要求项选择一个解决方案；得到并实现所选的系统工程支持环境。6.4。5 剪裁系统工程支持环境剪裁系统工程支持环境,以满足单个项

13、目的要求。6.4。6 插入新技术6。4.6。1 根据组织的应用目标和项目需要将新技术插入到系统工程支持环境中。6.4.6.2 组织的系统工程支持环境应用新技术更新，并要支持组织的应用目标及工程需要；在系统工程支持环境中，应提供使用新技术的培训。6.4.7 维护环境6。4.7.1 维护系统工程支持环境以持续支持依赖该环境的项目.6。4.7.2 维护活动包括计算机系统管理、培训、热线支持、专家的作用、发展或者扩充一个技术库等。6.4.8 监视系统工程支持环境6.4.8.1 监视系统工程支持环境以发现改进的机会。6。4.8。2 确定影响系统工程支持环境有用性的因素,包括任何新插入的技术；监视新技术和

14、整个系统工程支持环境的接受情况。6。5 培训6。5.1 基本要求应建立一套完整的培训体系，能够为员工提供满足组织需求并适用于系统工程活动的，及时有效的知识与技能培训。6.5.2 确定培训要求6。5.2.1 以项目的要求、组织的战略计划和现有的员工技能情况为指导，确定组织在技能与知识方面所需的改进。6。5。2。2 综合现有的程序、组织的战略计划和现有员工的技能等各方面信息确定这些要求。6。5。3 选择知识或技能的获取模式6。5.3.1 评价和选择通过培训或其它资源获取知识或技能的适当模式。6.5.3。2 应确保所选择的方法是最佳的，以使得所需技能和知识对项目及时有效。6.5。4 确保技能和知识的

15、可用性确保技能和知识对系统工程活动是适用的。6.5.5 准备培训材料6.5。5.1 根据确定的培训要求准备培训材料。6。5.5。2 为每一个由组织内部人员建成的班编制培训材料，或为每一个已存在的班准备培训材料。6。5。6 培训人员6.5。6.1 培训教员要具备执行赋予他们的角色的技能与知识。6.5。6.2 要根据培训计划和编制的材料进行人员培训.6.5.7 评估培训的有效性6。5。7.1 评估培训的有效性以满足所确定的培训要求。6.5.7。2 评估有效性的方法应与培训计划编制和培训材料的拟定同时列出；应及时获取有效性评估的结果，以便对培训做出相应调整。6.5。8 维护培训记录6。5.8.1 维

16、护培训与取得经验的记录.6.5。8。2 维护记录以追踪每个人员接受培训的情况，以及受训后的技能和能力.6。5.9 维护培训材料6。5。9.1 维护知识库中的培训材料。6.5。9。2 维护知识库中的课件材料以供员工今后访问，并且在课程材料变动时可供跟踪。6。6 与供应商协调6.6.1 基本要求应能够根据工程的需求建立与维护供应商的关系，确保供应商能够为系统工程提供满足要求的产品或服务。6.6.2 确定系统的组件或服务确定应由其它外部组织提供的系统组件或服务。6.6.3 确定胜任的供应商或销售商6.6.3。1 标识在特定领域中具有专门技术的供应商。6。6.3.2 供应商的能力包括胜任开发过程、制造

17、过程、验证责任、及时交付、生存周期支持过程及远程有效通信能力，上述能力应符合本组织的各项要求。6.6.4 选择供应商或销售商6.6。4.1 依照 7。1 选择供应商。6。6.4.2 以合乎逻辑和公平的方式选择供应商以满足产品的目标；提供最能弥补本组织能力的供应商特征，标识合格的候选者;通过要求项 7.1“管理安全控制的实施来选择出合适的供应商。6.6.5 提出要求6。6。5。1 对供应商提出组织对系统组件或服务的要求、期望和效果指标。6.6.5。2 在合同签署时组织应将它的要求和期望清楚地指明并排出优先顺序，并且要指明对供应商方面的所有限制；组织要与供应商密切合作,使其充分了解产品达到的要求和

18、自己要承担的责任，并达成相互理解。6.6。6 维持沟通6。6。6。1 与供应商维持及时的双向沟通。6.6。6.2 组织与供应商要对期望的和所需的沟通建立相互谅解.所建立的沟通的特点包括：双方公认的公开的没有任何限制的信息类型,受限的信息类型(如策略或合同关系),所期望的信息请求与回应的及时性，用于沟通的工具和方法,安全，保密以及期望的分布情况。7 工程实施要求7。1 管理安全控制7.1。1 基本要求应保证系统在运行状态下达到设计预期的安全特性，安全控制措施被配置且能正常使用。7。1.2 建立安全职责7.1。2。1 建立安全控制措施的职责和责任并通知到组织中的每一个人.7。1。2。2 本项目应该

19、保证承担相应安全责任的人员是负责的，并获得相应的授权;应该保证采用的所有安全控制措施是明确的，并被广泛和一致地应用.7.1。3 管理安全措施的配置7。1.3。1 所有设备的安全配置都需要管理。7.1。3.2 管理系统安全控制措施的配置。7.1.4 管理安全意识、培训和教育大纲7.1.4.1 组织和管理对所有员工进行安全意识的培训和教育.7。1。4。2 管理所有的需求方和管理员的安全意识、培训和教育大纲。7。1.5 管理安全服务及控制机制7。1。5。1 安全服务及控制机制的一般管理类似于其它服务及机制的管理,包括保护它们避免损伤、偶然事故和人为故障，并根据法律和政策要求进行整理并归档。7.1。5

20、。2 对安全服务及控制机制进行定期的维护和管理。7。2 评估影响7。2.1 基本要求应标识对该系统有关系的影响,并对发生影响的可能性进行评估.7.2.2 对影响进行优先级排列对在系统中起关键作用的运行、业务或任务的能力进行标识、分析和按优先级排列.7.2.3 标识系统资产7。2.3。1 对支持系统的安全目标或关键性能力（运行，业务或任务功能）进行标识。7.2。3。2 对必需的系统资源和数据进行标识;通过对给定环境中提供这种支持的每项资产的意义进行评估，来对每项资产进行定义。7.2。3.3 对支持系统的关键性运行能力或安全目标的系统资产进行标识和特征化.7.2.4 选择影响的度量应预先确定适合的

21、度量用于评估影响。7.2。5 标识度量关系标识所选影响的评估度量与度量转换因子之间的关系.7.2。6 标识和特征化影响利用多重度量或统一度量的方法对意外事件的意外影响进行标识和特征化。7.2.7 监视影响监视影响中的变化，本条与 7。8。3 中的通用性监视活动紧密相连。7.3 评估安全风险7.3.1 基本要求应对在特定环境中运行该系统相关的安全风险进行标识与评价,并按照一定的方法对风险问题进行优先级排序.7.3.2 选择风险分析方法7。3。2.1 本要求项包括定义用于标识给定环境中的系统安全风险的方法，该方法是对安全风险进行分析、评估和比较；应该包括一个对风险进行分类和分级的方案,其依据是威胁

22、、运行功能、已建立的系统脆弱性、潜在损失、安全需求等相关问题。7。3.2.2 选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则。7。3.3 标识安全风险7.3。3.1 标识该风险，认识这些威胁和脆弱性的利害关系，进而标识出威胁和脆弱性造成的影响；这些风险在选择系统保护措施中应予以考虑.7。3.3.2 标识威胁/脆弱性/影响三组合（风险）。7。3。4 评估安全风险7。3。4.1 标识每个风险出现的可能性。7。3。4.2 评估与每个风险有关的风险.7.3.5 评估总体不确定性7。3.5。1 每种风险都有与之相关的不确定性；总体风险不确定性是在7。4。6“评估威胁的可能性中已被

23、标识的威胁、脆弱性和影响及其特征不确定性的积累、7。4。6“评估威胁的可能性”、7.5.4“收集脆弱性数据以及 7。3.6“安全风险优先级排列”.本要求项与 7。6“建立保证论据密切相关，因为证据能用于追踪修改，从而在某种输入下降低不确定性。7。3.5。2 评估与该风险有关的总体不确定性。7。3.6 安全风险优先级排列7。3。6.1 已经被标识的风险应以组织优先权、风险出现的可能性与这些因素相关的不确定性和可用财力为依据进行排序;风险可以被减轻、避免、转移或接受，也可以使用这些措施的组合。“减轻”这一措施能够对付威胁、脆弱性、影响或风险本身；安全措施的选择要适当考虑到。10“指定安全要求中的要

24、求,业务优先级和整个系统体系结构。7.3。6.2 按优先级对风险进行排列。7。3。7 监视安全风险及其特征7。3.7.1 定期地检查新的风险,本条与 7。8.3“监视变化”中一般性监视活动紧密相联.7.3.7。2 监视安全风险频度变化和风险特征的变化。7。4 评估威胁7.4.1 基本要求应标识安全威胁及其性质和特征，对系统安全的威胁进行标识和特征化；应定期地对威胁进行监视，以保证由本要求项所产生的安全理解始终得到维持.7.4。2 标识自然威胁标识由自然原因引起的相应威胁。7.4。3 标识人为威胁标识由人为偶然原因引起的威胁与故意行为引起的威胁。7.4。4 标识威胁的测量尺度7。4。4.1 对可

25、能在特定位置中出现的预料事件，应根据具体情况建立最大和最小测量单位范围。7.4.4。2 标识特定环境中相应的测量尺度和适用范围.7.4。5 评估威胁影响的效果7。4.5.1 确定对系统进行成功攻击的黑客潜在的能力.7.4.5。2 评估由人为原因引起的威胁影响的动因和结果.7.4.6 评估威胁的可能性对威胁事件如何发生的可能性进行评估,评估出现威胁事件的可能性。7.4。7 监视威胁及其特征7.4。7.1 有规律地对现有威胁及其特征进行监视，并检查新的威胁;本条与 7.7.2“定义协调目标”的一般化监视活动紧密相连.7.4.7。2 监视威胁范围中不断的变化以及相应特征的变化。7。5 评估脆弱性7.

26、5.1 基本要求应标识和特征化系统的安全脆弱性。实施系统资产分析、定义特殊的脆弱性以及提供对整个系统脆弱性的评估，并获得对一确定环境中系统安全脆弱性的理解。7.5。2 选择脆弱性分析方法7.5。2。1 所有分析应在预先安排和指定时间内,在一个已知的并记录有配置的框架内进行；分析的方法论应包括预期结果；分析的特定目标应陈述清楚。7。5。2.2 选择对一确定环境中系统安全脆弱性进行标识和特征化的方法、技术和标准。7.5。3 标识脆弱性7.5.2 中研究过的脆弱性分析方法论应延伸到对脆弱性的证实;所有发现的系统安全脆弱性应予以记录、标识。7。5。4 收集脆弱性数据收集与脆弱性相关的数据。7。5。5

27、综合系统脆弱性分析哪些脆弱性或脆弱性的组合会对系统造成问题，所有分析应标识出该脆弱性的特征;评估由特定脆弱性和特定脆弱性组合所产生的系统脆弱性与总体脆弱性。7.5。6 监视脆弱性及其特征7。5.6.1 本项要求与 7.8。3“监视变化”中变化的一般性监视活动紧密相连。7。5.6.2 监视脆弱性及其特征的连续变化.7。6 建立保证论据7。6。1 基本要求应对需求相关的保证证据进行标识和定义，包括证据的产生和分析的活动，包括支持保证需求所需的附加证据、文档清单和过程以及那些能清晰地向需求方提供已满足其安全需求的证据。本项目要求建立保证证据有关的活动记录,包括管理、标识、计划、封装和提交安全保证证据

28、。7。6。2 标识保证目标7。6。2.1 标识安全保证目标。7。6.2。2 系统安全保证目标应规定强制性系统安全策略的保密性等级；目标的充分性由开发者、集成者、需求方和签名授权者确定。7。6。2。3 新的和修改过的安全保证目标的标识应与所有内部和外部工程组织等安全相关性团体保持协调一致。7.6.2。4 对安全保证目标进行修改的内容需及时解释其中变化。7.6。2。5 安全保证目标应清晰地沟通.7。6。3 定义保证策略7.6.3。1 规划并确保正确地实现强制性安全目标;通过实现安全保证策略所产生的证据应（向系统签名授权者）提供一个可接受的保密性等级，此等级安全的测量足以管理安全风险.通过开发并颁布

29、安全保证策略，获得对保证的相关活动进行有效管理；工程早期应对需求相关的保证进行的标识和定义产生必要的支持证据；通过不断外部协调,对保证需求方需求的满意程度进行理解和监视，确保高质量组合保证要求。7。6.3.2 为所有保证目标定义一个安全保证策略。7.6。4 控制保证证据安全保证证据通过与所有工程实施要求项相互配合，在安全保证策略内标识出的不同层面抽象的证据的方法进行收集；证据应受到控制。7。6。5 分析证据对安全保证证据进行分析，保证工程产品相对于基线系统是完善和正确的。7.6。6 提供保证论据7。6.6.1 开发出一个完整的证明与安全目标一致的安全保证论据，并提供给需求方；保证论据是由多层抽

30、象中获得的保证证据的组合所支持的一系列声明性保证目标；应对提交证据中的缺陷和安全保证目标中的缺陷进行评审。7.6.6。2 提供证明需求方安全需求得到满足的安全保证性论据.7.7 协调安全7.7.1 基本要求应协调并保持安全工程所涉及到安全组织、其他工程组织和外部组织之间的关系；以保证所有部门都有一种参与安全工程的意识。7.7.2 定义协调目标定义和建立与其他组织之间的联系和义务关系；这些关系应被全体参与部门所接受.7。7。3 标识协调机制标识安全工程的协调机制,明确协调机制实现的方法。7.7。4 促进协调7.7.4.1 确保不同优先级的不同组织间进行沟通有可能发生的一些冲突和争端以合适的、富有

31、成果的方式得到解决。7。7.4。2 促进安全工程的协调。7.7.5 协调安全确定和建议在各种安全工程组织、其他工程组织、外部实体及其他合适的部门中沟通安全确定和建议，用标识出的机制去协调有关安全的确定和建议。7。8 监视安全态势7.8。1 基本要求应标识并报告所有的安全违规行为;监视外部和内部环境中可能影响系统安全的所有因素；探测和跟踪内部和外部与安全有关的事件。根据策略制定响应突发事件的措施;根据安全目标标识并处理运行安全态势的变化。7。8.2 分析事件记录检测安全相关性信息的历史和事件记录,通过多条记录中的事件相关元素，标识出安全事件；分析事件记录，以确定事件的原因、预测可能发生的事件。7

32、.8.3 监视变化监视威胁、脆弱性、影响、风险和环境方面的变化，查找可能影响当前安全状态有效性的任何变化;监视所有因素的变化并分析这些变化以评估它们对安全有效性的意义。7。8。4 标识安全突发事件7。8。4。1 确定是否发生了一个有关安全的突发事件，标识出事件详细情况并且在必要时提出报告；有关安全的突发事件可利用历史事件的数据、系统配置数据、完整性工具和其它系统信息诊断.7。8.4。2 标识与安全相关的突发事件。7.8.5 监视安全防护措施7。8.5。1 检测安全防护措施的执行情况，标识出安全防护措施执行中的变化。7。8.5.2 监视安全防护措施的性能和有效性。7.8.6 检查安全态势检查系统

33、安全态势以标识出必要的更正,评审实施安全的理由并根据其它的规则检查需要安全的地方。7。8.7 管理安全突发事件响应应急计划要求标识出系统失效的最长时间、系统正常工作的基本元素；开发一个可恢复策略和计划，测试并维护该计划。7.8.8 保护安全监视的记录数据保证与安全监视有关的设备得到相应的保护，监视活动包括封存和归档相关的日志、审计报告和相关分析结果.7。9 提供安全输入7。9。1 基本要求应为系统的规划者、设计者、实施者或需求方提供他们所需的安全信息，信息应包括安全体系结构、设计或实施选择以及安全指南；开发、分析并提供安全输入并与基于 7.10“指定安全要求”中定义的安全需求中的适当组织机构成

34、员协调一致；要求所有具有安全意义的系统问题都应受到检查并按照安全目标的要求予以解决；所有项目组成员都要理解安全问题，解决方法应反映出所提供的安全输入。本要求项适用于标定开发(设计者和实现者）和运行（用户和管理员)的安全输入。7.9.2 理解安全输入要求7.9.2。1 安全输入包括任何种类的、应被其它项目所考虑的、与安全相关的指南、设计、文档或思想；输入可以为多种形式包括文档、备忘录、电子邮件、培训和咨询。7.9。2.2 安全输入要求可基于 7。10“指定安全要求”中确定的需求。7。9。2。3 设计者、开发者和需求方应一起确保相应部门对安全输入有一个共同的理解.7。9.3 确定安全约束和考虑因素

35、确定做出有科学依据的工程决策所需的所有安全约束和考虑因素.安全工程组进行分析以确定在需求、设计、实现、配置和文档方面的任何安全限制和考虑；约束可在系统生存周期内的所有时间进行标识,可在许多不同的抽象层上进行标识。7。9。4 标识安全选项标识出与安全相关的工程问题的解决办法选项；解决办法可以多种形式提供.7.9.5 分析工程选项的安全性7.9.5.1 分析和区分工程选项的优先级；确定安全约束与考虑因素（见 7。9.3 确定安全约束和考虑因素)，根据标识的安全约束和考虑因素，设计组可以评估每个工程选项并提出对工程组的建议；安全工程组应考虑其它工程组的工程指南.7.9.5。2 这些工程选项不受所标识

36、的安全选项的限制（见7。9。4 标识安全选项），还应包括来自其它项目的选项。7.9。5。3 利用安全约束和考虑因素来分析和区分工程选项的优先级。7.9。6 提供安全工程指南制定出与安全相关的指南，并将它提供给工程组。7.9.7 提供运行安全指南7。9。7。1 制定出与安全相关的指南并提供给系统用户和管理员；运行安全指南的制定应在生存周期内提早开始。7。9。7。2 运行安全指南包含用户和管理员在以安全模式进行安装、配置、运行和终止系统时应做的内容.7。10 指定安全要求7.10。1 基本要求应明确地为系统标识出与安全相关的要求；指定安全要求涉及到系统安全定义的基本原则,遵循有关安全的所有法律、策

37、略和组织需求;定义与安全相关的要求集合成系统安全的基线.所有部门，包括用户之间应达成对安全要求的共识；应定义整个信息系统中所有安全方面的活动,通过在整个项目中收集、提炼、使用和更新（见 7.9 提供安全输入)这一要求项所获得和产生的信息，提出安全要求。7。10。2 获得对安全要求的理解通过收集所有用于全面理解需求方安全要求所需的信息，获得对安全要求的理解.7.10.3 标识可用的法律、策略和约束为给定系统确定法律、策略、标准、外部影响和约束;收集所有对系统安全产生影响的外部影响；标识出支配系统目标环境的法律、规则、策略和业务标准；应进行全局和局部间优先级的决策；系统需求方提出的系统安全需求应被

38、标识并说明安全意义。7。10。4 标识系统安全关联性7。10。4。1 标识出系统间的关系是如何影响安全的，任务的处理和运行概要应作为安全因素加以评估；标识对系统遭受到的或可能遭受到的威胁，评估性能和功能需求对安全可能产生的影响。7.10.4。2 定义系统的安全边界;组织的许多外部因素也影响组织安全要求的变化程度，监视和定期地评估策略上的倾向性和策略重点的改变、技术开发、经济影响、全局性事件以及信息战等变化带来的潜在影响。7.10.4。3 标识系统的用途以确定其安全的关联性.7.10。5 获取系统运行的安全思想7.10.5.1 应明确总体的、面向安全的指导思想，包括任务、职责信息流、资产、资源、

39、人员保护以及物理保护的指导思想。7.10.5.2 明确系统运行的面向安全的总体指导思想。7。10.6 获取安全的高层目标确定在运行环境中对系统安全性是足够的安全目标；获取高层安全目标就是定义系统的安全性。7.10。7 定义安全相关需求7。10。7.1 定义与系统安全相关的需求，应保证需求的完备性和一致性，为系统安全的评价提供基础。7。10。7。2 定义一套一致性需求,该需求定义了在系统中将实现的保护。7。10.8 达成安全协议应在系统的安全需求中将所有的适用部分与特定安全之间达成协议；对于未被标识的特殊用户而不是一个通用用户组的情况下，特定安全要满足目标设置；特定的安全应该完整地、一致地反映出

40、对策略、法律和用户需求的管理；应标识并修改所发现的问题，直到达成满足需求方要求的协议.7。11 验证和确认安全性7.11。1 基本要求应确保解决安全问题的办法已经被验证与证实.通过观察、示范、分析和测试，依照安全需求、体系结构和设计确认解决办法；依照需求方的运行安全需求证实解决办法；解决办法应满足需求方安全需求与运行安全要求。7。11。2 确定验证和确认的目标确定验证和确认的目标;确定验证和确认的解决办法。7.11.3 定义验证和确认方法7.11。3.1 应定义验证和确认每种解决方案的方法和严格等级;7.11。3。2 严密等级应表明验证和确认的审查到底应有多严格；该要求项要受到7。6“建立保证

41、论据”中保证策略输出的影响。7。11.4 执行验证7.11.4。1 应通过显示解决办法实现与上一抽象层相关的要求，包括确定的保证需求正是作为 7。6“建立保证论据”的结果所标识的保证需要；所用的方法在7。11。3“定义验证和确认方法”中有标识；个人需求和整个系统都要受到检测。7。11.4。2 验证解决办法实现了与上一抽象层相关的要求.7。11.5 执行证实7。11.5。1 通过显示能满足与上一抽象层相关的要求，最终满足需求方的运行安全要求,实现对解决办法的证实。7。11。5。2 证实解决办法满足与上一抽象层关联的需要；所使用的方法应在 7.11。3“定义验证和确认方法”中确定.7。11。6 提

42、供验证和确认的结果为其它工程组收集并提供验证和确认的结果;验证和确认的结果应以某种易被理解和使用的方式所提供;所有结果应被跟踪。8 项目实施要求8.1 质量保证8。1。1 基本要求应通过对过程的测量与监视,工作产品的测量发现其中的偏离;应通过质量分析、改进活动，以及质量修正监测活动确保工程质量目标的实现。本要求项与 7.6“建立保证论据”有关.保证可以认为是安全相关质量的特殊类型.8。1.2 监视所定义过程的一致性8。1.2。1 确保项目是按照所定义的系统工程过程来执行的;应按相应的时间间隔来检查一致情况；应将与所定义的过程相偏离以及该偏离所带来的影响记录下来.8.1。2.2 确保所定义的系统

43、工程过程在系统生存周期中是稳定的。8.1.3 测量工作产品的质量8。1.3。1 应当运用所设计的测量工作产品的方法来评估工作产品是否能符合需求方或工程的要求;产品测量还有助于解决隔离系统开发过程中的问题。8.1.3.2 根据工作产品的质量要求对工作产品的测量进行评价.8.1.4 测量过程质量对项目所使用的系统工程过程的质量进行测量。8.1.5 分析质量测量8.1.5。1 分析质量测量以对质量改进或操作改进方面提出相应的开发性建议。8.1.5.2 绘制因果图.8。1.6 参与质量活动在确定和报告质量问题时，有关员工应参与其中。8.1.7 发起改进质量的活动应发起以质量问题或质量改进问题为主题的有

44、关活动。8.1.8 检测修正行为要求8.1.8。1 建立一种或一套机制来检测过程或产品中修正行为的要求。8。1。8.2 故障报告。8.2 管理配置8。2.1 基本要求应维持系统中已确定的配置单元的数据和状况，并对系统及其配置单元的变化进行分析和控制；管理系统配置包括为开发者和需求方提供准确的当前配置数据和状况；该要求项对置于配置管理之下的所有工作产品都是适用的。在 8。3“管理配置”中对一个系统/项目而标识的配置单元级别的确定应当考虑 7.6“建立保证论据”的保证目标所详细要求的级别。管理配置提供了 7。6“建立保证论据”的证据；选择的配置管理（CM)系统自身管理也应当通过 7.1“管理安全控

45、制”来管理。配置管理功能应允许在生存周期的任一点上通过系统要求的层次来对配置进行跟踪，从而支持可追溯性；可追溯性作为要求项 8。3“管理配置”中实施的一部分应建立起来。8.2。2 建立配置管理方法8。2.2。1 应有配置管理方法；8.2.2.2 应将要求项 8。2“质量保证”作为实现业务研究的指南。8。2。2.3 配置管理过程的描述。8.2.3 确定配置单元8.2。3.1 确定构成基线的配置单元。8.2。3.2 配置管理所选择的工作产品应基于所选配置管理策略建立的准则上；配置单元应当在有利于开发者和需求方的层面之上进行选择,但不应将不合理的管理负担加在开发者的上.8.2.4 维护工作产品基线维

46、护工作产品基线库，建立和维护一个关于工作产品配置的信息库；维护配置数据,为审计跟踪提供在系统生存周期任一点上的原始资料。8。2.5 控制变化8。2.5.1 对已建立的配置项的变化进行控制，包括跟踪每个配置项的配置;如需要批准新的配置，应更新系统的基线.8。2。5.2 应对工作产品的标识问题或改变工作产品的需求进行分析，以便确定此变化对工作产品、项目进度和费用、以及其它工作产品产生的影响。8。2.6 沟通配置状况在状况发生变化时,应将配置数据状况告诉相关的部门或人员。状况报告应当包含何时处理、已接受的配置单元变化和受变化影响的有关工作产品等信息；应为开发者、需求方和其它受影响的团体提供配置数据和

47、状况的访问权利。8。3 管理项目风险8。3。1 基本要求应标识、评估、监视和降低风险以使系统工程活动和全部技术活动均取得成功；这个要求项要持续整个工程生存周期.与 8。6“监视技术活动”和 8.5“管理项目风险”要求项相类似，本要求项的范围包括系统工程活动和全部技术项目活动。“项目风险”指与项目成功完成有关的风险，与费用和进度有关的一系列问题。工程实施要求项列出“安全风险”活动，这些活动是用来确定是否可容忍残余安全脆弱性对运行的影响。应当考虑到 7.7“协调安全”，以确保安全问题都已列出。8。3。2 制定项目风险管理方法8。3.2。1 为项目风险管理活动制定出一个计划，对于整个项目生存周期来说

48、，该计划是标识、评估、降低和监视安全风险的基础。8。3。2.2 本要求实施的目的是制定一个有效的计划以指导项目的风险管理活动；计划元素应当包括风险管理队伍成员的标识及其责任；应有用于标识和降低风险的常规风险管理活动、方法和工具列表以及风险降低活动的跟踪和控制方法；计划也应当为风险管理结果的评估提供帮助。8。3。3 标识项目风险8。3。3。1 通过检查项目目标（并考虑到选择和限制）确定可能出现哪些差错并以这两种方法来标识项目的风险。8.3.3.2 有条理地审查项目目标、项目计划（包括活动或事件依赖性）以及系统需求，确定可能的困难区以及在这些区中会出现哪些差错；上述活动在要求项 8。6“计划技术活

49、动”中制订；建立关键的发展依赖性和提供跟踪和修正行为将在要求项 8.5“监视技术活动”中完成。8.3。4 评估项目风险评估项目风险，确定风险发生的可能性与可能造成的后果。8。3.5 评审项目风险评估8。3.5。1 获得项目风险评估的正式认可.8。3.5.2 评审项目风险评估的充分性，以确定是否需要修改或取消基于风险的承诺.8.3.6 执行项目风险降低活动8。3.6.1 实施项目风险降低活动.8.3.6。2 可列出风险降低活动减少风险发生的可能性或减少风险发生时所造成损失程度的列表；对需要特别关注的风险，可以同时实施几种降低风险的活动。8.3。7 跟踪项目风险降低活动8。3.7。1 监视项目安全

50、风险降低活动以确保得到预期结果.8。3.7。2 定期检查已经有效实施的降低项目风险活动，测量结果并确定该活动是否成功。8.4 监视技术活动8.4。1 基本要求应为实际进步和风险提供充分的可见性；可见性是在执行计划发生严重偏差时及时促进修正的行为.“监视技术活动”将根据项目估计、承诺和计划的文档来指导、跟踪和评审项目的完成情况、结果和风险;一个计划的文档是用来作为跟踪活动和风险,交流情况和修改方案的基础.类似于要求项 8.6“监视技术活动，此要求项适用于项目技术性行为以及系统工程活动。在开发和系统运行时，需要考虑到 7。8“监视安全态势”和 7.1“管理安全控制”。需要考虑到要求项 7。7“协调