需求阶段信息安全工程的需求活动

3.3.5　需求阶段——信息安全工程的需求活动

在这个阶段，系统工程师通过完成初步的正规化分析和规范来确定系统需求的基线，在“系统需求评审（SRR）”中这些需求将获得批准，并制定出系统规范草案。该需求将定义系统必须完成的功能和受到的约束。系统规范反映这些系统需求在一系列功能领域的配置，例如数据管理、安全、可靠性和可维护性、用户接口等。系统规范也可以包含这些需求在建议的子系统或组件配置项（CI）初始的顶层功能性配置。系统工程师将设置一个过程，以提供系统需求规范和早期系统运行需求及能力需求说明之间的可跟踪性。

在这个阶段期间，信息安全工程小组将为批准基线而设法准备好安全需求，并向系统规范草案提供信息系统安全相关的输入。信息安全工程小组应当评审和提炼包含在ORD中的安全需求，保证它们同其他的系统需求相一致和兼容。如果必要的话，信息安全工程小组应当能够审查和修正先前的分析（业务、威胁等）。完成这些活动是为SRR（安全需求评审）做准备。

在开发给系统规范的安全输入中，信息安全工程小组应当把安全需求分配给最初的系统体系结构，并为由系统体系结构确定的内部和外部的接口及协议建立安全需求。信息安全工程小组应当审查这些安全需求，并囊括适当场合可用的安全需求集、与技术参考模型相关的设计限制，以及与正在开发的系统有关或有利的标准轮廓。标准轮廓包括文本指南（准则）以及规定数据交换格式、连网协议和类似事情的各种技术标准。在多数情况下，为了互操作性或别的原因，各种正式的或事实上的单个系统标准，一个或多个完整的标准轮廓，将由客户组织强制执行。

信息安全工程小组应当保证安全需求有效地反映客户的安全需求，并且可直接地跟踪到先前的需求层次体系（即MNS和ORD）。至此，信息安全工程小组还应当识别出需要开发的新技术，开始监控新技术的开发进程，确保它们符合预期的目标，满足预期的安全需求。