【摘要】:通过“初步设计评审”,应当全面定义CI和接口,提交CI和接口的安全需求以及相关联的验证条款,这是“系统配置基线”的一部分。信息安全工程小组应当仔细地研究CI规范和接口规范,保证整体系统在被集成进子系统和系统配置中时符合总的系统安全需求,并且协调纠纷和相互之间的依赖关系。信息安全工程小组在这些阶段通过CI和组件设计过程,跟踪这些需求,参与或密切地监控验证活动,以保证系统在总体上符合它的安全需求。
3.3.7 从初步设计到配置审计阶段——信息安全工程的需求活动
通过“初步设计评审”,应当全面定义CI和接口,提交CI和接口的安全需求以及相关联的验证条款,这是“系统配置基线”的一部分。信息安全工程小组应当仔细地研究CI规范和接口规范,保证整体系统在被集成进子系统和系统配置中时符合总的系统安全需求,并且协调纠纷和相互之间的依赖关系。其中的部分活动是对CI和接口规范中的安全需求回溯到系统级的需求。信息安全工程小组应当保证系统中的接口和协议满足它们的安全需求。信息安全工程小组在这些阶段通过CI和组件设计过程,跟踪这些需求,参与或密切地监控验证活动(比如设计论证和试验),以保证系统在总体上符合它的安全需求。在最后阶段(“配置审计”),信息安全工程小组应当把实现后的系统设计与系统文档进行比较,保证开发过程是成功的。
为了评估系统组件的恰当性,必须证明分配给这些功能组件和物理组件的安全需求都被满足。通过人工维护的RVTM(需求验证可跟踪性模板)或使用自动化的需求处理工具,信息安全工程小组应能够确定分配给每个系统组件的安全需求,并仔细地研究决策线索以帮助判断在这些阶段中可能提出或需要的需求变动。这些阶段以公告系统及其CI的“产品基线”而宣告结束,公告应当包含每个CI在其被建设、试验和审计时对它的初始功能、性能和物理的需求。也可以认为“产品基线”包含基准的设计需求,即按照对产品的要求进行“建设”、“编码”和“购买”,以及“如何实施”对过程的需求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
