与获取签约有关的规划

3.2.6　与获取/签约有关的规划

1.获取/采购策略

开始建立新系统和改进现用系统必然遇到的普遍性问题，是选择一个最适合的获取策略和运行环境。基本的问题包括：组织机构是自己组织购买要获取的项目，还是通过诸如新合同、修订合同或者雇请承包商按照现有“一揽子”合同订单间接购买。各种约束条件适用于下列情况：

①在一般领域内或针对具体项目的专业技能技术支援，对组织的工作人员提供必要支持。

②独立的验证和证实（IV&V）。

③系统、子系统或组件的开发/集成。

规划工作应当仔细地检查信息安全工程小组同SPO所雇用的任何承包商之间的关系，以及信息安全工程小组自身可能需要承包商支持的程度。需要考虑的问题包括：

①支持SPO所需的技术任务，参与信息安全工程小组以及组织和承包商团队之间的折中方案。

②最合适的承包合同类型。

③信息安全工程小组在恰当的时候参与对承包合同的监控（例如，信息安全工程小组的人充当项目招标官员的代表（Contracting Officer’s Representatives，COR），信息安全工程小组的人在合适时参与奖金的评估）。

④信息安全工程小组为支持承包合同相关活动所必需的差旅需求。

⑤对合同的作业陈述（Statement of Work，SOW）提供信息安全工程输入和注释的进度和方式，包括必要的信息系统安全折中方案研究、IV&V活动或设计评审内容等方面的输入。

⑥把信息系统安全的输入提炼成合同上的系统技术规范，提供系统技术规范或SOW所包含的适当参考资料（例如指南、标准、准则、保证的分类定义等）。

⑦对每个相关合同或业务订单的合同数据需求的输入，包括对数据项说明和SOW语言的恰当补充。

⑧源识别和选择的制约。例如：

●将信息安全工程需求导入源识别的市场调查中，因为合同活动并不受全面竞争的影响。

●（技术）“白皮书”的审核。

●将信息安全工程需求导入到建议的准备指令中，包括对任何信息系统安全建议内容的指令，例如对支持该建议的安全设计中的安全基本原理进行展示。

●将信息安全工程需求导入到源选择规划中，包括在信息系统安全和信息安全工程领域筛选提议者的准则（即人员资格和其他合作能力），以及评估提议者技术建议的安全方面问题的准则。

●信息安全工程小组作为源选择委员会的成员参与工作（至少参与评估上述面向技术和协作能力的方案选择）。

⑨将信息系统安全需求输入到技术性能的度量集合中。

⑩合同的安全技术规范需求——供承包商使用的安全分类指南，承包商个人许可证需求，保密电话和传真的能力，提供的保密存储，会议场所，系统测试或分阶段实现的实验室空间以及分类文档的生产能力等。

2.预规划的产品改进（P³I）策略

预规划的产品改进策略（Pre-planned Product Improvement Strategy），是对已完成系统所作的已规划的改进策略。它把具有重大风险或延误（或当时无法负担的支出）的因素推后。虽然被推迟的因素在并行或其后的工作项目中才能进行开发，但是该系统还是可以投入使用。一些预备措施、接口和可访问能力要被预先集成到基础系统的设计中去。这样，当被推迟的因素在后来变得可实现时，就可以把它非常方便地结合进来。

信息安全工程小组和LCIE有时需要支持用户去准备P³I策略。这可能包括找到可作出若干变更以降低安全风险的情况，而降低这些安全风险的措施由于费用、进度，技术或其他限制在当前开发周期内无法使其实现。信息安全工程小组也应帮助保证实施用户P³I策略项的系统，仍能符合系统安全需求能力的需要，也就是说增加的或改进的功能不会无意中使安全风险变得不可接受。