的信息安全工程输入规划

3.2.3　对认证和认可（C&A）的信息安全工程输入规划

信息安全工程小组应当同客户一起工作，以便在尽可能早的最初阶段确认系统的指定批准机构（DAA，Designated Approving Authority）和其他的安全C&A小组参与者，然后再同C&A小组一起工作以便定义和规划信息安全工程对C&A的支持内容。虽然主要是SPO同C&A小组联系，但信息安全工程小组也将同他们直接接触。

安全认证（Security Certification）是对一个系统在技术上的和非技术上的安全特征，以及其他保护措施综合进行的独立评估，目的是确定特定系统在所处环境条件下的使用满足指定安全需求集合的程度。理想条件下，认证活动应分布在系统整个生命期的各个阶段。安全认证同安全验证和风险评估相互联系，应当在整个系统生命期内由C&A负责人员不断地评审和修正。C&A过程中的认证阶段应包括一份系统分析说明，以确认在特定环境下运行一个具有特定对抗措施的系统时可能出现的安全风险。

安全认可（Security Accreditation）的规划也应当在系统生命期的开始阶段完成。安全认可是由独立的DAA（Designated Approving Authority）给出的正式安全声明，即声明一个系统如果是在使用指定保护措施集合的特定环境内运行，那么是获得批准的，而且认可应强调以认证期间所识别的残留安全风险为基础。DAA对授权与安全相关的系统操作负有不可推卸的责任。由于系统的安全风险在系统的整个生命期都会有所变化，所以DAA必须在整个系统生命期保持积极介入。安全认可与安全证实和风险管理决策等都紧密相关。

如果C&A小组或SPO没有特别要求的话，信息安全工程小组应当努力提供C&A所必需的全部信息系统安全信息和产品，以成功地完成安全认证工作项目并取得有利的安全认可决策。信息安全工程小组应当意识到任何对策略驱动的安全需求的弃权或其他的“需求免除”可能造成的影响，这些需求可以是DAA先前同意的，或者是在合适情况下应SPO或系统用户的请求可以同意的。认识了独立C&A的作用后，信息安全工程小组应当设法同C&A小组一起工作，以最大限度地减少可能的重复工作，尤其是在认证分析和相关“证据”搜集方面的工作。

信息安全工程小组提供给C&A的东西包括：

①安全目标和需求陈述；

②安全保证规划；

③安全威胁分析结果；

④安全相关的设计信息，包括接口规范；

⑤与外部系统接口相互作用的信息（从对这些系统的功能、性能和安全情况的观察中得到）；

⑥需求验证可跟踪模板（Requirements Verification Traceability Matrix，RVTM）或别的相关决策数据库信息；

⑦系统安全运行计划、方案和其他分析；

⑧生命期安全支持计划；

⑨安全测试或其他验证计划和数据；

⑩安全风险评估/风险评审报告；

适用的产品安全特性文件和产品安全评估报告；

合适时，参与C&A相关的工作组；

系统安全评估和描述判决的轮廓（只有已完成时才做）。

既然安全C&A仅仅是系统总体过渡为运行和支持中的一部分，那么信息安全工程也应当注意了解其他形式的系统验收准备与决策，并提供恰当输入。例如，除了C&A的特定安全计划之外，许多用户还可能拥有系统过渡或验收计划，包括系统运行状态和可支持性等各个方面。这些计划中的过渡时期的决策者可能是也可能不是C&A的安全DAA人员。对于不采用正式C&A管理过程的任何用户，系统总体验收机构可能会充当安全认可者的角色，安全认证活动可能由信息安全工程小组来完成（如果安全危险程度需求达到额外的安全保证，则可能需要得到独立验证和证实（Independent Verification and Validation，IV&V）小组的帮助）。