1、【精品文檔】如有侵權，請聯系網站刪除，僅供學習與交流信息安全技術 信息系統安全工程管理要求.精品文檔.信息安全技術 信息系統安全工程管理要求1 范圍本標準規定了信息安全工程（以下簡稱安全工程）的管理要求，是對信息安全工程中所涉及到的需求方、實施方與第三方工程實施的指導性文件，各方可以此為依據建立安全工程管理體系。 本標準按照GB17859-1999劃分的五個安全保護等級，規定了信息安全工程的不同要求。 本標準適用于該系統的需求方和實施方的工程管理，其他有關各方也可參照使用。2 規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件，其隨后所

2、有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準。使用本標準的各方應探討使用下列標準最新版本的可能性。凡是不注明日期的引用文件，其最新版本適用于本標準。 GB 17859-1999 計算機信息系統安全保護等級劃分準則 GB/T 20269-2006 信息安全等級保護 信息系統安全通用技術要求 GB/T 20271-2006 信息安全等級保護 信息系統安全管理要求3 術語和定義下列術語和定義適用于本標準。3.1安全工程 security engineering為確保信息系統的保密性、完整性、可用性等目標而進行的系統工程過程。3.2安全工程的生存周期 secur

3、ity engineering lifecycle在整個信息系統生存周期中執行的安全工程活動包括：概念形成、概念開發和定義、驗證與確認、工程實施開發與制造、生產與部署、運行與支持和終止。3.3安全工程指南 security engineering guide由工程組做出的有關如何選擇工程體系結構、設計與實現的指導性信息。3.4脆弱性 vulnerability能夠被某種威脅利用的某個或某組資產的弱點。3.5風險 risk某種威脅會利用一種資產或若干資產的脆弱性使這些資產損失或破壞的可能性。3.6需求方 owner信息系統安全工程建設的擁有者或組織者。3.7實施方 developer信息系統安全

4、工程的建設與服務的提供方。3.8第三方 third party獨立于需求方、實施方，從事信息系統安全工程建設相關活動的中立組織或機構。3.9項目 project項目是各種相關實施活動和資源的總和，這些實施活動和資源用于開發或維護信息安全工程。一個項目往往有相關的資金，成本賬目和交付時間表。3.10過程 process把輸入轉化為輸出的一組相關活動。3.11過程管理 process management一系列用于預見、評價和控制過程執行的活動和體系結構。4 安全工程體系4.1 概述在整個工程范圍內確定了不同等級工程的具體要求構成了安全工程管理要求體系。通過這個體系從安全工程中分離出實施和保證的基

5、本特征，立信息系統安全分級保護要求與工程管理的關系。4.2 安全工程目標理解需求方的安全風險，根據已標識的安全風險建立合理的安全要求，將安全要求轉換成安全指南，這些安全指南指導項目實施的其它活動，在正確有效的安全機制下建立對信息安全的信心和保證；判斷系統中和系統運行時殘留的安全脆弱性，及其對運行的影響是否可容忍（即可接受的風險），使安全工程成為一個可信的工程活動，能夠滿足相應等級信息系統設計的要求。4.3 基本關系安全工程由安全等級、保證與實施要求兩個維度組成，不同等級要求的安全工程對應不同的保證與實施要求。其中保證是由資格保證要求和組織保證要求構成，實施是由工程實施要求和項目實施要求構成。資

6、格保證要求表示信息安全工程中對應具備一定能力級別的實施方或與工程相關第三方資質的要求；組織保證要求表示信息安全工程過程要求中對需求方組織保證的要求；工程實施要求表示信息安全工程中對安全實施過程的要求；項目實施要求表示信息安全工程中對項目實施過程的要求。5 資格保證要求5.1 系統集成資質要求國家主管部門認可的系統集成資質。5.2 人員資質要求國家主管部門認可的安全服務人員資質。5.3 第三方服務要求國家主管部門認可的服務單位資質。5.4 安全產品要求信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級。5.5 工程監理要求5.5.1 應具備信息安全系統建設工程實施監理管理制度。5

7、.5.2 系統聘請專業監理公司，且監理公司具有國家主管部門認可監理資質證書。5.6 法律、法規、政策符合性要求系統應符合國家相關的法律、法規和政策。6 組織保證要求6.1 定義組織的系統工程過程6.1.1 基本要求應為系統工程定義一套標準有明確目標的過程，這套標準的過程可以通過裁剪應用于定義新工程項目的過程。6.1.2 制定過程目標6.1.2.1 從組織的應用目標出發為組織的系統工程過程制定目標。6.1.2.2 系統工程過程在業務環境中運行，為了使組織的標準實現制度化，該目標應得到明確的認可；這個過程的目標應考慮財力、質量、人力資源和對業務成功起重要作用的問題。6.1.3 收集過程資產6.1.

8、3.1 收集和維護系統工程過程資產。6.1.3.2 在組織和項目層次中，由過程定義活動所產生的信息都需要存儲（在過程資產庫中），使得那些剪裁、過程設計活動中的資產能被使用人理解，并得到維護與保持。6.1.4 開發組織的系統工程過程6.1.4.1 為組織開發一個充分定義的標準系統工程過程。6.1.4.2 在開發組織的標準系統工程過程中，可能使用到過程資產庫中的設備；在開發任務時，可能需要一些新的過程資產，應該將這些資產添加到過程資產庫中；應該將組織的標準系統工程過程置于過程資產庫中。6.1.5 定義剪裁指南定義剪裁組織的標準系統工程過程的指南，該指南在開發項目的定義過程中使用。6.2 改進組織的

9、系統工程過程6.2.1 基本要求應實施測量和改進系統工程過程的連續活動，以標準系統工程過程定義為基礎，通過不斷改進活動提高組織系統工程過程的效益和效率。6.2.2 評定過程6.2.2.1 評定組織中現有的執行過程以便了解它們的強項和弱項，了解組織現有的執行過程的強項和弱項是建立改進活動基線的關鍵；6.2.2.2 評定時應考慮過程執行的測量與課程學習過程；評定可以多種形式進行，評定方法的選擇應與文化和組織需求相匹配。6.2.3 規劃過程改進應基于對潛在改進所產生影響的分析，為組織制訂過程改進計劃，以達到過程的目標。6.2.4 改變標準過程改變組織的標準系統工程過程以便反映目標的改進。6.2.5

10、溝通過程改進適當地同現有項目和其它有相關團體共同溝通過程的改進。6.3 管理系列產品演化6.3.1 基本要求應通過引進服務、設備和新技術實現產品更新與工程費用降低，獲取工程進度和執行的最佳收益。6.3.2 定義產品演化6.3.2.1 定義要提供產品的類型。6.3.2.2 定義支持組織戰略目標的系列產品。6.3.2.3 考慮組織的強項和弱項、競爭力、潛在的市場份額和可利用的技術。6.3.3 標識新生產技術6.3.3.1 標識新生產技術或加強基礎設施建設，將有助于組織獲取、開發和應用新生產技術來提高競爭優勢。6.3.3.2 確定可能引入到系列產品的新生產技術，為確定新技術和基礎設施改進而建立并能維

11、護的原始資料和方法。6.3.4 適應開發過程6.3.4.1 在產品開發周期中采取必要的變動以支持新產品的開發。6.3.4.2 適應組織的產品開發過程，熟悉并利用準備在將來使用的組件。6.3.5 確保關鍵組件的可用性6.3.5.1 確保關鍵組件都可利用，并可以支持有計劃的產品改進。6.3.5.2 組織應確定產品系列的關鍵組件及其可用性的計劃。6.3.6 插入產品技術6.3.6.1 將新的技術插入到產品開發、市場營銷和制造過程中。6.3.6.2 管理將新技術引入到系列產品的工作（包括現有產品系列組件的改進、新組件的引進）；標識和管理與產品設計變化有關的風險。6.4 管理系統工程支持環境6.4.1

12、基本要求應能夠為不同需求的系統工程提供支持環境，并可以通過剪裁適應不同的項目。根據技術、環境狀態的變化對支持環境進行改進。6.4.2 維持技術認識6.4.2.1 維持對支持實現組織目標的那些技術的認識。6.4.2.2 對工藝現狀或實施現狀應該插入新的技術，組織應具有對新技術的充分認識。6.4.3 確定支持需求根據組織的需要確定組織的系統工程支持環境的需求。6.4.4 獲得系統工程支持環境6.4.4.1 獲得一個系統工程支持環境，該環境要滿足在確定支持需求中通過利用分析候選解決要求項的實施而建立的要求。6.4.4.2 針對所需的系統工程支持環境，確定其評價標準和潛在的候選解決方案；利用分析候選解

13、決要求項選擇一個解決方案；得到并實現所選的系統工程支持環境。6.4.5 剪裁系統工程支持環境剪裁系統工程支持環境，以滿足單個項目的要求。6.4.6 插入新技術6.4.6.1 根據組織的應用目標和項目需要將新技術插入到系統工程支持環境中。6.4.6.2 組織的系統工程支持環境應用新技術更新，并要支持組織的應用目標及工程需要；在系統工程支持環境中，應提供使用新技術的培訓。6.4.7 維護環境6.4.7.1 維護系統工程支持環境以持續支持依賴該環境的項目。6.4.7.2 維護活動包括計算機系統管理、培訓、熱線支持、專家的作用、發展或者擴充一個技術庫等。6.4.8 監視系統工程支持環境6.4.8.1

14、監視系統工程支持環境以發現改進的機會。6.4.8.2 確定影響系統工程支持環境有用性的因素，包括任何新插入的技術；監視新技術和整個系統工程支持環境的接受情況。6.5 培訓6.5.1 基本要求應建立一套完整的培訓體系，能夠為員工提供滿足組織需求并適用于系統工程活動的，及時有效的知識與技能培訓。6.5.2 確定培訓要求6.5.2.1 以項目的要求、組織的戰略計劃和現有的員工技能情況為指導，確定組織在技能與知識方面所需的改進。6.5.2.2 綜合現有的程序、組織的戰略計劃和現有員工的技能等各方面信息確定這些要求。6.5.3 選擇知識或技能的獲取模式6.5.3.1 評價和選擇通過培訓或其它資源獲取知識

15、或技能的適當模式。6.5.3.2 應確保所選擇的方法是最佳的，以使得所需技能和知識對項目及時有效。6.5.4 確保技能和知識的可用性確保技能和知識對系統工程活動是適用的。6.5.5 準備培訓材料6.5.5.1 根據確定的培訓要求準備培訓材料。6.5.5.2 為每一個由組織內部人員建成的班編制培訓材料，或為每一個已存在的班準備培訓材料。6.5.6 培訓人員6.5.6.1 培訓教員要具備執行賦予他們的角色的技能與知識。6.5.6.2 要根據培訓計劃和編制的材料進行人員培訓。6.5.7 評估培訓的有效性6.5.7.1 評估培訓的有效性以滿足所確定的培訓要求。6.5.7.2 評估有效性的方法應與培訓計

16、劃編制和培訓材料的擬定同時列出；應及時獲取有效性評估的結果，以便對培訓做出相應調整。6.5.8 維護培訓記錄6.5.8.1 維護培訓與取得經驗的記錄。6.5.8.2 維護記錄以追蹤每個人員接受培訓的情況，以及受訓后的技能和能力。6.5.9 維護培訓材料6.5.9.1 維護知識庫中的培訓材料。6.5.9.2 維護知識庫中的課件材料以供員工今后訪問，并且在課程材料變動時可供跟蹤。6.6 與供應商協調6.6.1 基本要求應能夠根據工程的需求建立與維護供應商的關系，確保供應商能夠為系統工程提供滿足要求的產品或服務。6.6.2 確定系統的組件或服務確定應由其它外部組織提供的系統組件或服務。6.6.3 確

17、定勝任的供應商或銷售商6.6.3.1 標識在特定領域中具有專門技術的供應商。6.6.3.2 供應商的能力包括勝任開發過程、制造過程、驗證責任、及時交付、生存周期支持過程及遠程有效通信能力，上述能力應符合本組織的各項要求。6.6.4 選擇供應商或銷售商6.6.4.1 依照7.1選擇供應商。6.6.4.2 以合乎邏輯和公平的方式選擇供應商以滿足產品的目標；提供最能彌補本組織能力的供應商特征，標識合格的候選者；通過要求項7.1“管理安全控制”的實施來選擇出合適的供應商。6.6.5 提出要求6.6.5.1 對供應商提出組織對系統組件或服務的要求、期望和效果指標。6.6.5.2 在合同簽署時組織應將它的

18、要求和期望清楚地指明并排出優先順序，并且要指明對供應商方面的所有限制；組織要與供應商密切合作，使其充分了解產品達到的要求和自己要承擔的責任，并達成相互理解。6.6.6 維持溝通6.6.6.1 與供應商維持及時的雙向溝通。6.6.6.2 組織與供應商要對期望的和所需的溝通建立相互諒解。所建立的溝通的特點包括：雙方公認的公開的沒有任何限制的信息類型，受限的信息類型（如策略或合同關系），所期望的信息請求與回應的及時性，用于溝通的工具和方法，安全，保密以及期望的分布情況。7 工程實施要求7.1 管理安全控制7.1.1 基本要求應保證系統在運行狀態下達到設計預期的安全特性，安全控制措施被配置且能正常使用

19、。7.1.2 建立安全職責7.1.2.1 建立安全控制措施的職責和責任并通知到組織中的每一個人。7.1.2.2 本項目應該保證承擔相應安全責任的人員是負責的，并獲得相應的授權；應該保證采用的所有安全控制措施是明確的，并被廣泛和一致地應用。7.1.3 管理安全措施的配置7.1.3.1 所有設備的安全配置都需要管理。7.1.3.2 管理系統安全控制措施的配置。7.1.4 管理安全意識、培訓和教育大綱7.1.4.1 組織和管理對所有員工進行安全意識的培訓和教育。7.1.4.2 管理所有的需求方和管理員的安全意識、培訓和教育大綱。7.1.5 管理安全服務及控制機制7.1.5.1 安全服務及控制機制的一

20、般管理類似于其它服務及機制的管理，包括保護它們避免損傷、偶然事故和人為故障，并根據法律和政策要求進行整理并歸檔。7.1.5.2 對安全服務及控制機制進行定期的維護和管理。7.2 評估影響7.2.1 基本要求應標識對該系統有關系的影響，并對發生影響的可能性進行評估。7.2.2 對影響進行優先級排列對在系統中起關鍵作用的運行、業務或任務的能力進行標識、分析和按優先級排列。7.2.3 標識系統資產7.2.3.1 對支持系統的安全目標或關鍵性能力（運行，業務或任務功能）進行標識。7.2.3.2 對必需的系統資源和數據進行標識；通過對給定環境中提供這種支持的每項資產的意義進行評估，來對每項資產進行定義。

21、7.2.3.3 對支持系統的關鍵性運行能力或安全目標的系統資產進行標識和特征化。7.2.4 選擇影響的度量應預先確定適合的度量用于評估影響。7.2.5 標識度量關系標識所選影響的評估度量與度量轉換因子之間的關系。7.2.6 標識和特征化影響利用多重度量或統一度量的方法對意外事件的意外影響進行標識和特征化。7.2.7 監視影響監視影響中的變化，本條與7.8.3中的通用性監視活動緊密相連。7.3 評估安全風險7.3.1 基本要求應對在特定環境中運行該系統相關的安全風險進行標識與評價，并按照一定的方法對風險問題進行優先級排序。7.3.2 選擇風險分析方法7.3.2.1 本要求項包括定義用于標識給定環

22、境中的系統安全風險的方法，該方法是對安全風險進行分析、評估和比較；應該包括一個對風險進行分類和分級的方案，其依據是威脅、運行功能、已建立的系統脆弱性、潛在損失、安全需求等相關問題。7.3.2.2 選擇用于分析、評估和比較給定環境中系統安全風險所依據的方法、技術和準則。7.3.3 標識安全風險7.3.3.1 標識該風險，認識這些威脅和脆弱性的利害關系，進而標識出威脅和脆弱性造成的影響；這些風險在選擇系統保護措施中應予以考慮。7.3.3.2 標識威脅/脆弱性/影響三組合（風險）。7.3.4 評估安全風險7.3.4.1 標識每個風險出現的可能性。7.3.4.2 評估與每個風險有關的風險。7.3.5

23、評估總體不確定性7.3.5.1 每種風險都有與之相關的不確定性；總體風險不確定性是在7.4.6“評估威脅的可能性”中已被標識的威脅、脆弱性和影響及其特征不確定性的積累、7.4.6“評估威脅的可能性”、7.5.4“收集脆弱性數據”以及7.3.6“安全風險優先級排列”。本要求項與7.6“建立保證論據”密切相關，因為證據能用于追蹤修改，從而在某種輸入下降低不確定性。7.3.5.2 評估與該風險有關的總體不確定性。7.3.6 安全風險優先級排列7.3.6.1 已經被標識的風險應以組織優先權、風險出現的可能性與這些因素相關的不確定性和可用財力為依據進行排序；風險可以被減輕、避免、轉移或接受，也可以使用這

24、些措施的組合。“減輕”這一措施能夠對付威脅、脆弱性、影響或風險本身；安全措施的選擇要適當考慮到.10“指定安全要求”中的要求，業務優先級和整個系統體系結構。7.3.6.2 按優先級對風險進行排列。7.3.7 監視安全風險及其特征7.3.7.1 定期地檢查新的風險，本條與7.8.3“監視變化”中一般性監視活動緊密相聯。7.3.7.2 監視安全風險頻度變化和風險特征的變化。7.4 評估威脅7.4.1 基本要求應標識安全威脅及其性質和特征，對系統安全的威脅進行標識和特征化；應定期地對威脅進行監視，以保證由本要求項所產生的安全理解始終得到維持。7.4.2 標識自然威脅標識由自然原因引起的相應威脅。7.

25、4.3 標識人為威脅標識由人為偶然原因引起的威脅與故意行為引起的威脅。7.4.4 標識威脅的測量尺度7.4.4.1 對可能在特定位置中出現的預料事件，應根據具體情況建立最大和最小測量單位范圍。7.4.4.2 標識特定環境中相應的測量尺度和適用范圍。7.4.5 評估威脅影響的效果7.4.5.1 確定對系統進行成功攻擊的黑客潛在的能力。7.4.5.2 評估由人為原因引起的威脅影響的動因和結果。7.4.6 評估威脅的可能性對威脅事件如何發生的可能性進行評估，評估出現威脅事件的可能性。7.4.7 監視威脅及其特征7.4.7.1 有規律地對現有威脅及其特征進行監視，并檢查新的威脅；本條與7.7.2“定義

26、協調目標”的一般化監視活動緊密相連。7.4.7.2 監視威脅范圍中不斷的變化以及相應特征的變化。7.5 評估脆弱性7.5.1 基本要求應標識和特征化系統的安全脆弱性。實施系統資產分析、定義特殊的脆弱性以及提供對整個系統脆弱性的評估，并獲得對一確定環境中系統安全脆弱性的理解。7.5.2 選擇脆弱性分析方法7.5.2.1 所有分析應在預先安排和指定時間內，在一個已知的并記錄有配置的框架內進行；分析的方法論應包括預期結果；分析的特定目標應陳述清楚。7.5.2.2 選擇對一確定環境中系統安全脆弱性進行標識和特征化的方法、技術和標準。7.5.3 標識脆弱性7.5.2中研究過的脆弱性分析方法論應延伸到對脆

27、弱性的證實；所有發現的系統安全脆弱性應予以記錄、標識。7.5.4 收集脆弱性數據收集與脆弱性相關的數據。7.5.5 綜合系統脆弱性分析哪些脆弱性或脆弱性的組合會對系統造成問題，所有分析應標識出該脆弱性的特征；評估由特定脆弱性和特定脆弱性組合所產生的系統脆弱性與總體脆弱性。7.5.6 監視脆弱性及其特征7.5.6.1 本項要求與7.8.3“監視變化”中變化的一般性監視活動緊密相連。7.5.6.2 監視脆弱性及其特征的連續變化。7.6 建立保證論據7.6.1 基本要求應對需求相關的保證證據進行標識和定義，包括證據的產生和分析的活動，包括支持保證需求所需的附加證據、文檔清單和過程以及那些能清晰地向需

28、求方提供已滿足其安全需求的證據。本項目要求建立保證證據有關的活動記錄，包括管理、標識、計劃、封裝和提交安全保證證據。7.6.2 標識保證目標7.6.2.1 標識安全保證目標。7.6.2.2 系統安全保證目標應規定強制性系統安全策略的保密性等級；目標的充分性由開發者、集成者、需求方和簽名授權者確定。7.6.2.3 新的和修改過的安全保證目標的標識應與所有內部和外部工程組織等安全相關性團體保持協調一致。7.6.2.4 對安全保證目標進行修改的內容需及時解釋其中變化。7.6.2.5 安全保證目標應清晰地溝通。7.6.3 定義保證策略7.6.3.1 規劃并確保正確地實現強制性安全目標；通過實現安全保證

29、策略所產生的證據應（向系統簽名授權者）提供一個可接受的保密性等級，此等級安全的測量足以管理安全風險。通過開發并頒布安全保證策略，獲得對保證的相關活動進行有效管理；工程早期應對需求相關的保證進行的標識和定義產生必要的支持證據；通過不斷外部協調，對保證需求方需求的滿意程度進行理解和監視，確保高質量組合保證要求。7.6.3.2 為所有保證目標定義一個安全保證策略。7.6.4 控制保證證據安全保證證據通過與所有工程實施要求項相互配合，在安全保證策略內標識出的不同層面抽象的證據的方法進行收集；證據應受到控制。7.6.5 分析證據對安全保證證據進行分析，保證工程產品相對于基線系統是完善和正確的。7.6.6

30、 提供保證論據7.6.6.1 開發出一個完整的證明與安全目標一致的安全保證論據，并提供給需求方；保證論據是由多層抽象中獲得的保證證據的組合所支持的一系列聲明性保證目標；應對提交證據中的缺陷和安全保證目標中的缺陷進行評審。7.6.6.2 提供證明需求方安全需求得到滿足的安全保證性論據。7.7 協調安全7.7.1 基本要求應協調并保持安全工程所涉及到安全組織、其他工程組織和外部組織之間的關系；以保證所有部門都有一種參與安全工程的意識。7.7.2 定義協調目標定義和建立與其他組織之間的聯系和義務關系；這些關系應被全體參與部門所接受。7.7.3 標識協調機制標識安全工程的協調機制，明確協調機制實現的方

31、法。7.7.4 促進協調7.7.4.1 確保不同優先級的不同組織間進行溝通有可能發生的一些沖突和爭端以合適的、富有成果的方式得到解決。7.7.4.2 促進安全工程的協調。7.7.5 協調安全確定和建議在各種安全工程組織、其他工程組織、外部實體及其他合適的部門中溝通安全確定和建議，用標識出的機制去協調有關安全的確定和建議。7.8 監視安全態勢7.8.1 基本要求應標識并報告所有的安全違規行為；監視外部和內部環境中可能影響系統安全的所有因素；探測和跟蹤內部和外部與安全有關的事件。根據策略制定響應突發事件的措施；根據安全目標標識并處理運行安全態勢的變化。7.8.2 分析事件記錄檢測安全相關性信息的歷

32、史和事件記錄，通過多條記錄中的事件相關元素，標識出安全事件；分析事件記錄，以確定事件的原因、預測可能發生的事件。7.8.3 監視變化監視威脅、脆弱性、影響、風險和環境方面的變化，查找可能影響當前安全狀態有效性的任何變化；監視所有因素的變化并分析這些變化以評估它們對安全有效性的意義。7.8.4 標識安全突發事件7.8.4.1 確定是否發生了一個有關安全的突發事件，標識出事件詳細情況并且在必要時提出報告；有關安全的突發事件可利用歷史事件的數據、系統配置數據、完整性工具和其它系統信息診斷。7.8.4.2 標識與安全相關的突發事件。7.8.5 監視安全防護措施7.8.5.1 檢測安全防護措施的執行情況

33、，標識出安全防護措施執行中的變化。7.8.5.2 監視安全防護措施的性能和有效性。7.8.6 檢查安全態勢檢查系統安全態勢以標識出必要的更正，評審實施安全的理由并根據其它的規則檢查需要安全的地方。7.8.7 管理安全突發事件響應應急計劃要求標識出系統失效的最長時間、系統正常工作的基本元素；開發一個可恢復策略和計劃，測試并維護該計劃。7.8.8 保護安全監視的記錄數據保證與安全監視有關的設備得到相應的保護，監視活動包括封存和歸檔相關的日志、審計報告和相關分析結果。7.9 提供安全輸入7.9.1 基本要求應為系統的規劃者、設計者、實施者或需求方提供他們所需的安全信息，信息應包括安全體系結構、設計或

34、實施選擇以及安全指南；開發、分析并提供安全輸入并與基于7.10“指定安全要求”中定義的安全需求中的適當組織機構成員協調一致；要求所有具有安全意義的系統問題都應受到檢查并按照安全目標的要求予以解決；所有項目組成員都要理解安全問題，解決方法應反映出所提供的安全輸入。本要求項適用于標定開發（設計者和實現者）和運行（用戶和管理員）的安全輸入。7.9.2 理解安全輸入要求7.9.2.1 安全輸入包括任何種類的、應被其它項目所考慮的、與安全相關的指南、設計、文檔或思想；輸入可以為多種形式包括文檔、備忘錄、電子郵件、培訓和咨詢。7.9.2.2 安全輸入要求可基于7.10“指定安全要求”中確定的需求。7.9.

35、2.3 設計者、開發者和需求方應一起確保相應部門對安全輸入有一個共同的理解。7.9.3 確定安全約束和考慮因素確定做出有科學依據的工程決策所需的所有安全約束和考慮因素。安全工程組進行分析以確定在需求、設計、實現、配置和文檔方面的任何安全限制和考慮；約束可在系統生存周期內的所有時間進行標識，可在許多不同的抽象層上進行標識。7.9.4 標識安全選項標識出與安全相關的工程問題的解決辦法選項；解決辦法可以多種形式提供。7.9.5 分析工程選項的安全性7.9.5.1 分析和區分工程選項的優先級；確定安全約束與考慮因素（見7.9.3確定安全約束和考慮因素），根據標識的安全約束和考慮因素，設計組可以評估每個

36、工程選項并提出對工程組的建議；安全工程組應考慮其它工程組的工程指南。7.9.5.2 這些工程選項不受所標識的安全選項的限制（見7.9.4標識安全選項），還應包括來自其它項目的選項。7.9.5.3 利用安全約束和考慮因素來分析和區分工程選項的優先級。7.9.6 提供安全工程指南制定出與安全相關的指南，并將它提供給工程組。7.9.7 提供運行安全指南7.9.7.1 制定出與安全相關的指南并提供給系統用戶和管理員；運行安全指南的制定應在生存周期內提早開始。7.9.7.2 運行安全指南包含用戶和管理員在以安全模式進行安裝、配置、運行和終止系統時應做的內容。7.10 指定安全要求7.10.1 基本要求應

37、明確地為系統標識出與安全相關的要求；指定安全要求涉及到系統安全定義的基本原則，遵循有關安全的所有法律、策略和組織需求；定義與安全相關的要求集合成系統安全的基線。所有部門，包括用戶之間應達成對安全要求的共識；應定義整個信息系統中所有安全方面的活動，通過在整個項目中收集、提煉、使用和更新（見7.9提供安全輸入）這一要求項所獲得和產生的信息，提出安全要求。7.10.2 獲得對安全要求的理解通過收集所有用于全面理解需求方安全要求所需的信息，獲得對安全要求的理解。7.10.3 標識可用的法律、策略和約束為給定系統確定法律、策略、標準、外部影響和約束；收集所有對系統安全產生影響的外部影響；標識出支配系統目

38、標環境的法律、規則、策略和業務標準；應進行全局和局部間優先級的決策；系統需求方提出的系統安全需求應被標識并說明安全意義。7.10.4 標識系統安全關聯性7.10.4.1 標識出系統間的關系是如何影響安全的，任務的處理和運行概要應作為安全因素加以評估；標識對系統遭受到的或可能遭受到的威脅，評估性能和功能需求對安全可能產生的影響。7.10.4.2 定義系統的安全邊界；組織的許多外部因素也影響組織安全要求的變化程度，監視和定期地評估策略上的傾向性和策略重點的改變、技術開發、經濟影響、全局性事件以及信息戰等變化帶來的潛在影響。7.10.4.3 標識系統的用途以確定其安全的關聯性。7.10.5 獲取系統

39、運行的安全思想7.10.5.1 應明確總體的、面向安全的指導思想，包括任務、職責信息流、資產、資源、人員保護以及物理保護的指導思想。7.10.5.2 明確系統運行的面向安全的總體指導思想。7.10.6 獲取安全的高層目標確定在運行環境中對系統安全性是足夠的安全目標；獲取高層安全目標就是定義系統的安全性。7.10.7 定義安全相關需求7.10.7.1 定義與系統安全相關的需求，應保證需求的完備性和一致性，為系統安全的評價提供基礎。7.10.7.2 定義一套一致性需求，該需求定義了在系統中將實現的保護。7.10.8 達成安全協議應在系統的安全需求中將所有的適用部分與特定安全之間達成協議；對于未被標

40、識的特殊用戶而不是一個通用用戶組的情況下，特定安全要滿足目標設置；特定的安全應該完整地、一致地反映出對策略、法律和用戶需求的管理；應標識并修改所發現的問題，直到達成滿足需求方要求的協議。7.11 驗證和確認安全性7.11.1 基本要求應確保解決安全問題的辦法已經被驗證與證實。通過觀察、示范、分析和測試，依照安全需求、體系結構和設計確認解決辦法；依照需求方的運行安全需求證實解決辦法；解決辦法應滿足需求方安全需求與運行安全要求。7.11.2 確定驗證和確認的目標確定驗證和確認的目標；確定驗證和確認的解決辦法。7.11.3 定義驗證和確認方法7.11.3.1 應定義驗證和確認每種解決方案的方法和嚴格

41、等級；7.11.3.2 嚴密等級應表明驗證和確認的審查到底應有多嚴格；該要求項要受到7.6“建立保證論據”中保證策略輸出的影響。7.11.4 執行驗證7.11.4.1 應通過顯示解決辦法實現與上一抽象層相關的要求，包括確定的保證需求正是作為7.6“建立保證論據”的結果所標識的保證需要；所用的方法在7.11.3“定義驗證和確認方法”中有標識；個人需求和整個系統都要受到檢測。7.11.4.2 驗證解決辦法實現了與上一抽象層相關的要求。7.11.5 執行證實7.11.5.1 通過顯示能滿足與上一抽象層相關的要求，最終滿足需求方的運行安全要求，實現對解決辦法的證實。7.11.5.2 證實解決辦法滿足與

42、上一抽象層關聯的需要；所使用的方法應在7.11.3“定義驗證和確認方法”中確定。7.11.6 提供驗證和確認的結果為其它工程組收集并提供驗證和確認的結果；驗證和確認的結果應以某種易被理解和使用的方式所提供；所有結果應被跟蹤。8 項目實施要求8.1 質量保證8.1.1 基本要求應通過對過程的測量與監視，工作產品的測量發現其中的偏離；應通過質量分析、改進活動，以及質量修正監測活動確保工程質量目標的實現。 本要求項與7.6“建立保證論據”有關。保證可以認為是安全相關質量的特殊類型。8.1.2 監視所定義過程的一致性8.1.2.1 確保項目是按照所定義的系統工程過程來執行的；應按相應的時間間隔來檢查一

43、致情況；應將與所定義的過程相偏離以及該偏離所帶來的影響記錄下來。8.1.2.2 確保所定義的系統工程過程在系統生存周期中是穩定的。8.1.3 測量工作產品的質量8.1.3.1 應當運用所設計的測量工作產品的方法來評估工作產品是否能符合需求方或工程的要求；產品測量還有助于解決隔離系統開發過程中的問題。8.1.3.2 根據工作產品的質量要求對工作產品的測量進行評價。8.1.4 測量過程質量對項目所使用的系統工程過程的質量進行測量。8.1.5 分析質量測量8.1.5.1 分析質量測量以對質量改進或操作改進方面提出相應的開發性建議。8.1.5.2 繪制因果圖。8.1.6 參與質量活動在確定和報告質量問

44、題時，有關員工應參與其中。8.1.7 發起改進質量的活動應發起以質量問題或質量改進問題為主題的有關活動。8.1.8 檢測修正行為要求8.1.8.1 建立一種或一套機制來檢測過程或產品中修正行為的要求。8.1.8.2 故障報告。8.2 管理配置8.2.1 基本要求應維持系統中已確定的配置單元的數據和狀況，并對系統及其配置單元的變化進行分析和控制；管理系統配置包括為開發者和需求方提供準確的當前配置數據和狀況；該要求項對置于配置管理之下的所有工作產品都是適用的。在8.3“管理配置”中對一個系統/項目而標識的配置單元級別的確定應當考慮7.6“建立保證論據”的保證目標所詳細要求的級別。管理配置提供了7.

45、6“建立保證論據”的證據；選擇的配置管理（CM）系統自身管理也應當通過7.1“管理安全控制”來管理。配置管理功能應允許在生存周期的任一點上通過系統要求的層次來對配置進行跟蹤，從而支持可追溯性；可追溯性作為要求項8.3“管理配置”中實施的一部分應建立起來。8.2.2 建立配置管理方法8.2.2.1 應有配置管理方法；8.2.2.2 應將要求項8.2“質量保證”作為實現業務研究的指南。8.2.2.3 配置管理過程的描述。8.2.3 確定配置單元8.2.3.1 確定構成基線的配置單元。8.2.3.2 配置管理所選擇的工作產品應基于所選配置管理策略建立的準則上；配置單元應當在有利于開發者和需求方的層面

46、之上進行選擇，但不應將不合理的管理負擔加在開發者的上。8.2.4 維護工作產品基線維護工作產品基線庫，建立和維護一個關于工作產品配置的信息庫；維護配置數據，為審計跟蹤提供在系統生存周期任一點上的原始資料。8.2.5 控制變化8.2.5.1 對已建立的配置項的變化進行控制，包括跟蹤每個配置項的配置；如需要批準新的配置，應更新系統的基線。8.2.5.2 應對工作產品的標識問題或改變工作產品的需求進行分析，以便確定此變化對工作產品、項目進度和費用、以及其它工作產品產生的影響。8.2.6 溝通配置狀況在狀況發生變化時，應將配置數據狀況告訴相關的部門或人員。狀況報告應當包含何時處理、已接受的配置單元變化

47、和受變化影響的有關工作產品等信息；應為開發者、需求方和其它受影響的團體提供配置數據和狀況的訪問權利。8.3 管理項目風險8.3.1 基本要求應標識、評估、監視和降低風險以使系統工程活動和全部技術活動均取得成功；這個要求項要持續整個工程生存周期。與8.6“監視技術活動”和8.5“管理項目風險”要求項相類似，本要求項的范圍包括系統工程活動和全部技術項目活動。 “項目風險”指與項目成功完成有關的風險，與費用和進度有關的一系列問題。工程實施要求項列出 “安全風險”活動，這些活動是用來確定是否可容忍殘余安全脆弱性對運行的影響。應當考慮到7.7“協調安全”，以確保安全問題都已列出。8.3.2 制

48、定項目風險管理方法8.3.2.1 為項目風險管理活動制定出一個計劃，對于整個項目生存周期來說，該計劃是標識、評估、降低和監視安全風險的基礎。8.3.2.2 本要求實施的目的是制定一個有效的計劃以指導項目的風險管理活動；計劃元素應當包括風險管理隊伍成員的標識及其責任；應有用于標識和降低風險的常規風險管理活動、方法和工具列表以及風險降低活動的跟蹤和控制方法；計劃也應當為風險管理結果的評估提供幫助。8.3.3 標識項目風險8.3.3.1 通過檢查項目目標（并考慮到選擇和限制）確定可能出現哪些差錯并以這兩種方法來標識項目的風險。8.3.3.2 有條理地審查項目目標、項目計劃（包括活動或事件依賴性）以及

49、系統需求，確定可能的困難區以及在這些區中會出現哪些差錯；上述活動在要求項8.6“計劃技術活動”中制訂；建立關鍵的發展依賴性和提供跟蹤和修正行為將在要求項8.5“監視技術活動”中完成。8.3.4 評估項目風險評估項目風險，確定風險發生的可能性與可能造成的后果。8.3.5 評審項目風險評估8.3.5.1 獲得項目風險評估的正式認可。8.3.5.2 評審項目風險評估的充分性，以確定是否需要修改或取消基于風險的承諾。8.3.6 執行項目風險降低活動8.3.6.1 實施項目風險降低活動。8.3.6.2 可列出風險降低活動減少風險發生的可能性或減少風險發生時所造成損失程度的列表；對需要特別關注的風險，可以

50、同時實施幾種降低風險的活動。8.3.7 跟蹤項目風險降低活動8.3.7.1 監視項目安全風險降低活動以確保得到預期結果。8.3.7.2 定期檢查已經有效實施的降低項目風險活動，測量結果并確定該活動是否成功。8.4 監視技術活動8.4.1 基本要求應為實際進步和風險提供充分的可見性；可見性是在執行計劃發生嚴重偏差時及時促進修正的行為。“監視技術活動”將根據項目估計、承諾和計劃的文檔來指導、跟蹤和評審項目的完成情況、結果和風險；一個計劃的文檔是用來作為跟蹤活動和風險，交流情況和修改方案的基礎。類似于要求項8.6“監視技術活動”，此要求項適用于項目技術性行為以及系統工程活動。在開發和系統運行時，需要

51、考慮到7.8“監視安全態勢”和7.1“管理安全控制”。需要考慮到要求項7.7“協調安全”以確保安全問題都已經列出。8.4.2 指導技術活動8.4.2.1 根據技術性管理計劃指導技術性活動。8.4.2.2 貫徹落實在“計劃技術活動”要求項中創建的技術管理計劃；這一實施涉及到項目中所有工程活動的技術指導。8.4.3 跟蹤項目資源8.4.3.1 根據技術性管理計劃跟蹤資源的實際利用情況。8.4.3.2 提供在項目中資源使用的當前信息，在需要時及時調整活動和計劃。8.4.4 跟蹤技術參數8.4.4.1 根據已建立的技術性參數跟蹤執行。8.4.4.2 通過測量在技術管理計劃中建立的技術性參數來跟蹤項目和

52、它的產品的實際執行；將測量結果與技術管理方案中建立的閾值進行比較，將問題通知給管理人員。8.4.5 評審項目執行8.4.5.1 根據技術性管理計劃執行評審。8.4.5.2 應定期對項目和其產品的執行情況進行評審，當超出正常技術參數的閾值時也要進行評審；評審技術執行的測量分析結果和技術執行的其它指標，批準修正行動計劃。8.4.6 分析項目問題8.4.6.1 分析跟蹤和評審技術性參數的結果，確定修正行動。8.4.6.2 及時標識、分析和跟蹤項目問題控制項目的執行。8.4.7 采取修正行動8.4.7.1 當實際結果偏離計劃時或技術參數預示著將有問題時，應采取修正行動。8.4.7.2 當修正行動批準后

53、，通過再分配資源，改變方法和步驟或加強對原計劃的支持來執行修正行動；當需要改變技術管理計劃時，采用8.6“計劃技術活動”以修改該計劃。8.5 計劃技術活動8.5.1 基本要求應建立計劃，這些計劃能為在系統開發、制造、使用和配置過程中涉及到的技術性工作的進度、費用、控制、跟蹤與商議的性質和范圍提供基礎；應將系統工程行為集成到整個項目的綜合性技術計劃中。“計劃技術活動”涉及對所要執行工作量的估算，從有相關的部門或人員中獲得必要的承諾，并對要進行的工作計劃進行定義。特別是在執行8.5.6“分析項目問題”和8.5.7“采取修正行動”時應考慮到7.7“協調安全”。計劃應從對要進行的工作范圍的理解開始，然

54、后定義項目的限制和約束、風險和目標；計劃過程應包括估算工作產品的規格，估算所需資源，制定時間安排表，考慮風險和協商承諾等步驟。8.5.2 標識關鍵資源標識對項目技術上的成功起關鍵作用的資源。8.5.3 估計項目范圍8.5.3.1 對影響項目的規模和技術可行性的因素進行估計。8.5.3.2 應通過將系統分解成與其它項目相似的組成單元的辦法來對項目范圍和規模進行估計；對規模的估計可以調整為如復雜性差異或其它參數等因素。8.5.3.3 歷史原始資料可為初始規模估計提供最有用的信息。8.5.4 估算項目費用針對項目實施要求的所有技術資源建立費用估算。8.5.5 確定工程過程8.5.5.1 確定項目使用

55、的技術過程。8.5.5.2 在最高層的技術過程應遵循基于工程特征、組織特征和組織的標準過程的生存周期模型。8.5.6 確定技術活動8.5.6.1 為項目的整個生存周期確定技術活動。8.5.6.2 參照組織的歷史經驗，從可適用的標準與業界最佳實踐中選擇項目和系統工程活動。8.5.7 定義項目界面定義支持與需求方和供應商進行有效交互作用的特定過程。8.5.8 開發項目進度表8.5.8.1 為項目的整個生存周期制定技術進度表。8.5.8.2 項目進度表包括系統和組件的開發與采購，相關人員的培訓以及工程所需支持環境的準備；進度表是基于可驗證模型或已確定任務的數據，以及它們任務相互依賴性和采購項的可用性

56、；進度表應當包括為已標識的風險留有余地；所有受影響的部門或個人應復審并提交該進度表。8.5.9 設立技術參數8.5.9.1 為項目和系統設立有閾值的技術參數。8.5.9.2 設立可在工程整個生存周期中都需要跟蹤的關鍵技術參數，這些參數作為進度指示，以便滿足最后的技術目標；通過交互用戶、用戶需求、市場調查、原型、已標識項目風險或類似項目的歷史經驗來確定這些關鍵技術參數。每個可跟蹤的技術參數應該有一個期望的校正閾值或公差；在項目進度表中的重要時間點關鍵技術參數應進行事先估算。8.5.10 開發技術管理計劃8.5.10.1 利用在計劃活動中收集到的信息開發技術管理計劃，這種計劃可以作為跟蹤項目和系統

57、工程的基礎。8.5.10.2 制定并維護所有技術活動需要的內部、外部組織項目活動的完整計劃。8.5.11 評審并認可工程計劃8.5.11.1 與所有有關團體和個人一同評審技術管理計劃并需得到團體認可。8.5.11.2 應確保在整個工程中通過有影響的團體和個人，對過程、資源、進度表和信息需求有自上而下的共同理解。9 安全工程管理分等級要求9.1 第一級 用戶自主保護級9.1.1 工程目標和范圍目標：在這一級別，要求滿足資格保證的基本要求項，應基本達到組織保證、工程實施和項目實施的基本要求項。此級別組織內的個人可標識出一個行動應被執行，并同意這個行動會在需要時執行。 范圍：這個級別應該制定安全工程計劃，明確計算機信息系統的安全目標和安全范圍并經組