【摘要】:信息安全工程小组或LCIE在计划和开发一般性修改时,必须和客户紧密合作。LCIE应该保证,所有需求包含任何合适的安全需求,设计满足安全需求,实现也考虑到设计。信息安全工程小组将参与到这些改变中,以保证当时判定为可接受安全风险等级的系统安全状况不能因修改而降低。对于被提议的系统修改,是否应该进行深层次的安全风险评估,或者重新进行正规的安全风险审核,信息安全工程小组应该基于需求的修改特性作出判断。
3.6.7 系统的修改
1.重大修改
有时可能需要对一个系统进行一处或多处修改,甚至完全替换一个系统。这种需求最通常是在重新请求全系统获取和工程过程时才被提出来。当需要大量新的资源、特殊或大规模采购或大规模工程人力资源时,需要改变系统的大部分或特别关键的部分时,可认为这些就是主要的或重大的修改。通常,主要修改的提议必须经适当的机构进行论证,并且要在可能引起可用资源竞争的其他系统获取的活动之前优先实施。重新计划的产品改进方案也有同样的属性。
2.一般修改
信息安全工程小组或LCIE在计划和开发一般性修改时,必须和客户紧密合作。一般性修改往往是那些特别规划给该系统运行和维护基金内可以处理的小修改,或者得到机构运行资金支持的小修改。它们通常是由端用户提出或其设计支持中心提出的,此类修改不必通知获取项目办事机构或系统工程小组。
对于一般性修改,信息安全工程过程仍然是可用的和有益的。由于修改的开发活动远比系统开发规模小,所以这种修改降低了复杂性、简化了手续和缩小了范围。LCIE应该保证,所有需求包含任何合适的安全需求,设计满足安全需求,实现也考虑到设计。通常,为了适应一般性修改,许多系统文件只要求少量的改变。信息安全工程小组将参与到这些改变中,以保证当时判定为可接受安全风险等级的系统安全状况不能因修改而降低。对于被提议的系统修改,是否应该进行深层次的安全风险评估,或者重新进行正规的安全风险审核,信息安全工程小组应该基于需求的修改特性作出判断。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
