信息安全技术信息系统安全工程管理要求

1、信息安全技术 信息系统安全工程管理要求1 范围本标准规定了信信息安全工程程（以下简称称安全工程）的的管理要求，是是对信息安全全工程中所涉涉及到的需求求方、实施方方与第三方工工程实施的指指导性文件，各各方可以此为为依据建立安安全工程管理理体系。本本标准按照GGB178559-19999划分的五五个安全保护护等级，规定定了信息安全全工程的不同同要求。本本标准适用于于该系统的需需求方和实施施方的工程管管理，其他有有关各方也可可参照使用。2 规范性引用用文件下列文件中的条条款通过本标标准的引用而而成为本标准准的条款。凡凡是注明日期期的引用文件件，其随后所所有的修改单单（不包括勘勘误的内容）或或修订版均

2、不不适用于本标标准。使用本本标准的各方方应探讨使用用下列标准最最新版本的可可能性。凡是是不注明日期期的引用文件件，其最新版版本适用于本本标准。GGB 178859-19999 计算算机信息系统统安全保护等等级划分准则则GB/TT 202669-20006 信息安安全等级保护护 信息系统统安全通用技技术要求GGB/T 220271-2006 信息安全等等级保护 信信息系统安全全管理要求3 术语和定义义下列术语和定义义适用于本标标准。3.1安全工程 seecuritty enggineerring为确保信息系统统的保密性、完完整性、可用用性等目标而而进行的系统统工程过程。3.2安全工程的生存存周期

3、 seecuritty enggineerring llifecyycle在整个信息系统统生存周期中中执行的安全全工程活动包包括：概念形形成、概念开开发和定义、验验证与确认、工工程实施开发发与制造、生生产与部署、运运行与支持和和终止。3.3安全工程指南 securrity eengineeeringg guidde由工程组做出的的有关如何选选择工程体系系结构、设计计与实现的指指导性信息。3.4脆弱性 vullnerabbilityy能够被某种威胁胁利用的某个个或某组资产产的弱点。3.5风险 riskk某种威胁会利用用一种资产或或若干资产的的脆弱性使这这些资产损失失或破坏的可可能性。3.6需求方

4、 ownner信息系统安全工工程建设的拥拥有者或组织织者。3.7实施方 devvelopeer信息系统安全工工程的建设与与服务的提供供方。3.8第三方 thiird paarty独立于需求方、实实施方，从事事信息系统安安全工程建设设相关活动的的中立组织或或机构。3.9项目 projject项目是各种相关关实施活动和和资源的总和和，这些实施施活动和资源源用于开发或或维护信息安安全工程。一一个项目往往往有相关的资资金，成本账账目和交付时时间表。3.10过程 proccess把输入转化为输输出的一组相相关活动。3.11过程管理 prrocesss manaagemennt一系列用于预见见、评价和控控

5、制过程执行行的活动和体体系结构。4 安全工程体体系4.1 概述在整个工程范围围内确定了不不同等级工程程的具体要求求构成了安全全工程管理要要求体系。通通过这个体系系从安全工程程中分离出实实施和保证的的基本特征，立立信息系统安安全分级保护护要求与工程程管理的关系系。4.2 安全工工程目标理解需求方的安安全风险，根根据已标识的的安全风险建建立合理的安安全要求，将将安全要求转转换成安全指指南，这些安安全指南指导导项目实施的的其它活动，在在正确有效的的安全机制下下建立对信息息安全的信心心和保证；判判断系统中和和系统运行时时残留的安全全脆弱性，及及其对运行的的影响是否可可容忍（即可可接受的风险险），使安全

6、全工程成为一一个可信的工工程活动，能能够满足相应应等级信息系系统设计的要要求。4.3 基本关关系安全工程由安全全等级、保证证与实施要求求两个维度组组成，不同等等级要求的安安全工程对应应不同的保证证与实施要求求。其中保证证是由资格保保证要求和组组织保证要求求构成，实施施是由工程实实施要求和项项目实施要求求构成。资格格保证要求表表示信息安全全工程中对应应具备一定能能力级别的实实施方或与工工程相关第三三方资质的要要求；组织保保证要求表示示信息安全工工程过程要求求中对需求方方组织保证的的要求；工程程实施要求表表示信息安全全工程中对安安全实施过程程的要求；项项目实施要求求表示信息安安全工程中对对项目实施

7、过过程的要求。5 资格保证要要求5.1 系统集集成资质要求求国家主管部门认认可的系统集集成资质。5.2 人员资资质要求国家主管部门认认可的安全服服务人员资质质。5.3 第三方方服务要求国家主管部门认认可的服务单单位资质。5.4 安全产产品要求信息安全产品应应具有在国内内生产、经营营、销售的许许可证，并符符合相应的等等级。5.5 工程监监理要求5.5.1 应应具备信息安安全系统建设设工程实施监监理管理制度度。5.5.2 系系统聘请专业业监理公司，且且监理公司具具有国家主管管部门认可监监理资质证书书。5.6 法律、法法规、政策符符合性要求系统应符合国家家相关的法律律、法规和政政策。6 组织保证要要

8、求6.1 定义组组织的系统工工程过程6.1.1 基基本要求应为系统工程定定义一套标准准有明确目标标的过程，这这套标准的过过程可以通过过裁剪应用于于定义新工程程项目的过程程。6.1.2 制制定过程目标标6.1.2.11 从组织的的应用目标出出发为组织的的系统工程过过程制定目标标。6.1.2.22 系统工程程过程在业务务环境中运行行，为了使组组织的标准实实现制度化，该该目标应得到到明确的认可可；这个过程程的目标应考考虑财力、质质量、人力资资源和对业务务成功起重要要作用的问题题。6.1.3 收收集过程资产产6.1.3.11 收集和维维护系统工程程过程资产。6.1.3.22 在组织和和项目层次中中，由

9、过程定定义活动所产产生的信息都都需要存储（在在过程资产库库中），使得得那些剪裁、过过程设计活动动中的资产能能被使用人理理解，并得到到维护与保持持。6.1.4 开开发组织的系系统工程过程程6.1.4.11 为组织开开发一个充分分定义的标准准系统工程过过程。6.1.4.22 在开发组组织的标准系系统工程过程程中，可能使使用到过程资资产库中的设设备；在开发发任务时，可可能需要一些些新的过程资资产，应该将将这些资产添添加到过程资资产库中；应应该将组织的的标准系统工工程过程置于于过程资产库库中。6.1.5 定定义剪裁指南南定义剪裁组织的的标准系统工工程过程的指指南，该指南南在开发项目目的定义过程程中使用

10、。6.2 改进组组织的系统工工程过程6.2.1 基基本要求应实施测量和改改进系统工程程过程的连续续活动，以标标准系统工程程过程定义为为基础，通过过不断改进活活动提高组织织系统工程过过程的效益和和效率。6.2.2 评评定过程6.2.2.11 评定组织织中现有的执执行过程以便便了解它们的的强项和弱项项，了解组织织现有的执行行过程的强项项和弱项是建建立改进活动动基线的关键键；6.2.2.22 评定时应应考虑过程执执行的测量与与课程学习过过程；评定可可以多种形式式进行，评定定方法的选择择应与文化和和组织需求相相匹配。6.2.3 规规划过程改进进应基于对潜在改改进所产生影影响的分析，为为组织制订过过程改

11、进计划划，以达到过过程的目标。6.2.4 改改变标准过程程改变组织的标准准系统工程过过程以便反映映目标的改进进。6.2.5 沟沟通过程改进进适当地同现有项项目和其它有有相关团体共共同沟通过程程的改进。6.3 管理系系列产品演化化6.3.1 基基本要求应通过引进服务务、设备和新新技术实现产产品更新与工工程费用降低低，获取工程程进度和执行行的最佳收益益。6.3.2 定定义产品演化化6.3.2.11 定义要提提供产品的类类型。6.3.2.22 定义支持持组织战略目目标的系列产产品。6.3.2.33 考虑组织织的强项和弱弱项、竞争力力、潜在的市市场份额和可可利用的技术术。6.3.3 标标识新生产技技术

12、6.3.3.11 标识新生生产技术或加加强基础设施施建设，将有有助于组织获获取、开发和和应用新生产产技术来提高高竞争优势。6.3.3.22 确定可能能引入到系列列产品的新生生产技术，为为确定新技术术和基础设施施改进而建立立并能维护的的原始资料和和方法。6.3.4 适适应开发过程程6.3.4.11 在产品开开发周期中采采取必要的变变动以支持新新产品的开发发。6.3.4.22 适应组织织的产品开发发过程，熟悉悉并利用准备备在将来使用用的组件。6.3.5 确确保关键组件件的可用性6.3.5.11 确保关键键组件都可利利用，并可以以支持有计划划的产品改进进。6.3.5.22 组织应确确定产品系列列的关

13、键组件件及其可用性性的计划。6.3.6 插插入产品技术术6.3.6.11 将新的技技术插入到产产品开发、市市场营销和制制造过程中。6.3.6.22 管理将新新技术引入到到系列产品的的工作（包括括现有产品系系列组件的改改进、新组件件的引进）；标识和管理理与产品设计计变化有关的的风险。6.4 管理系系统工程支持持环境6.4.1 基基本要求应能够为不同需需求的系统工工程提供支持持环境，并可可以通过剪裁裁适应不同的的项目。根据据技术、环境境状态的变化化对支持环境境进行改进。6.4.2 维维持技术认识识6.4.2.11 维持对支支持实现组织织目标的那些些技术的认识识。6.4.2.22 对工艺现现状或实施

14、现现状应该插入入新的技术，组组织应具有对对新技术的充充分认识。6.4.3 确确定支持需求求根据组织的需要要确定组织的的系统工程支支持环境的需需求。6.4.4 获获得系统工程程支持环境6.4.4.11 获得一个个系统工程支支持环境，该该环境要满足足在确定支持持需求中通过过利用分析候候选解决要求求项的实施而而建立的要求求。6.4.4.22 针对所需需的系统工程程支持环境，确确定其评价标标准和潜在的的候选解决方方案；利用分分析候选解决决要求项选择择一个解决方方案；得到并并实现所选的的系统工程支支持环境。6.4.5 剪剪裁系统工程程支持环境剪裁系统工程支支持环境，以以满足单个项项目的要求。6.4.6

15、插插入新技术6.4.6.11 根据组织织的应用目标标和项目需要要将新技术插插入到系统工工程支持环境境中。6.4.6.22 组织的系系统工程支持持环境应用新新技术更新，并并要支持组织织的应用目标标及工程需要要；在系统工工程支持环境境中，应提供供使用新技术术的培训。6.4.7 维维护环境6.4.7.11 维护系统统工程支持环环境以持续支支持依赖该环环境的项目。6.4.7.22 维护活动动包括计算机机系统管理、培培训、热线支支持、专家的的作用、发展展或者扩充一一个技术库等等。6.4.8 监监视系统工程程支持环境6.4.8.11 监视系统统工程支持环环境以发现改改进的机会。6.4.8.22 确定影响响

16、系统工程支支持环境有用用性的因素，包包括任何新插插入的技术；监视新技术术和整个系统统工程支持环环境的接受情情况。6.5 培训6.5.1 基基本要求应建立一套完整整的培训体系系，能够为员员工提供满足足组织需求并并适用于系统统工程活动的的，及时有效效的知识与技技能培训。6.5.2 确确定培训要求求6.5.2.11 以项目的的要求、组织织的战略计划划和现有的员员工技能情况况为指导，确确定组织在技技能与知识方方面所需的改改进。6.5.2.22 综合现有有的程序、组组织的战略计计划和现有员员工的技能等等各方面信息息确定这些要要求。6.5.3 选选择知识或技技能的获取模模式6.5.3.11 评价和选选择通

17、过培训训或其它资源源获取知识或或技能的适当当模式。6.5.3.22 应确保所所选择的方法法是最佳的，以以使得所需技技能和知识对对项目及时有有效。6.5.4 确确保技能和知知识的可用性性确保技能和知识识对系统工程程活动是适用用的。6.5.5 准准备培训材料料6.5.5.11 根据确定定的培训要求求准备培训材材料。6.5.5.22 为每一个个由组织内部部人员建成的的班编制培训训材料，或为为每一个已存存在的班准备备培训材料。6.5.6 培培训人员6.5.6.11 培训教员员要具备执行行赋予他们的的角色的技能能与知识。6.5.6.22 要根据培培训计划和编编制的材料进进行人员培训训。6.5.7 评评估

18、培训的有有效性6.5.7.11 评估培训训的有效性以以满足所确定定的培训要求求。6.5.7.22 评估有效效性的方法应应与培训计划划编制和培训训材料的拟定定同时列出；应及时获取取有效性评估估的结果，以以便对培训做做出相应调整整。6.5.8 维维护培训记录录6.5.8.11 维护培训训与取得经验验的记录。6.5.8.22 维护记录录以追踪每个个人员接受培培训的情况，以以及受训后的的技能和能力力。6.5.9 维维护培训材料料6.5.9.11 维护知识识库中的培训训材料。6.5.9.22 维护知识识库中的课件件材料以供员员工今后访问问，并且在课课程材料变动动时可供跟踪踪。6.6 与供应应商协调6.6

19、.1 基基本要求应能够根据工程程的需求建立立与维护供应应商的关系，确确保供应商能能够为系统工工程提供满足足要求的产品品或服务。6.6.2 确确定系统的组组件或服务确定应由其它外外部组织提供供的系统组件件或服务。6.6.3 确确定胜任的供供应商或销售售商6.6.3.11 标识在特特定领域中具具有专门技术术的供应商。6.6.3.22 供应商的的能力包括胜胜任开发过程程、制造过程程、验证责任任、及时交付付、生存周期期支持过程及及远程有效通通信能力，上上述能力应符符合本组织的的各项要求。6.6.4 选选择供应商或或销售商6.6.4.11 依照7.1选择供应应商。6.6.4.22 以合乎逻逻辑和公平的的

20、方式选择供供应商以满足足产品的目标标；提供最能能弥补本组织织能力的供应应商特征，标标识合格的候候选者；通过过要求项7.1“管理安安全控制”的的实施来选择择出合适的供供应商。6.6.5 提提出要求6.6.5.11 对供应商商提出组织对对系统组件或或服务的要求求、期望和效效果指标。6.6.5.22 在合同签签署时组织应应将它的要求求和期望清楚楚地指明并排排出优先顺序序，并且要指指明对供应商商方面的所有有限制；组织织要与供应商商密切合作，使使其充分了解解产品达到的的要求和自己己要承担的责责任，并达成成相互理解。6.6.6 维维持沟通6.6.6.11 与供应商商维持及时的的双向沟通。6.6.6.22

21、组织与供供应商要对期期望的和所需需的沟通建立立相互谅解。所所建立的沟通通的特点包括括：双方公认认的公开的没没有任何限制制的信息类型型，受限的信信息类型（如如策略或合同同关系），所所期望的信息息请求与回应应的及时性，用用于沟通的工工具和方法，安安全，保密以以及期望的分分布情况。7 工程实施要要求7.1 管理安安全控制7.1.1 基基本要求应保证系统在运运行状态下达达到设计预期期的安全特性性，安全控制制措施被配置置且能正常使使用。7.1.2 建建立安全职责责7.1.2.11 建立安全全控制措施的的职责和责任任并通知到组组织中的每一一个人。7.1.2.22 本项目应应该保证承担担相应安全责责任的人员

22、是是负责的，并并获得相应的的授权；应该该保证采用的的所有安全控控制措施是明明确的，并被被广泛和一致致地应用。7.1.3 管管理安全措施施的配置7.1.3.11 所有设备备的安全配置置都需要管理理。7.1.3.22 管理系统统安全控制措措施的配置。7.1.4 管管理安全意识识、培训和教教育大纲7.1.4.11 组织和管管理对所有员员工进行安全全意识的培训训和教育。7.1.4.22 管理所有有的需求方和和管理员的安安全意识、培培训和教育大大纲。7.1.5 管管理安全服务务及控制机制制7.1.5.11 安全服务务及控制机制制的一般管理理类似于其它它服务及机制制的管理，包包括保护它们们避免损伤、偶偶然

23、事故和人人为故障，并并根据法律和和政策要求进进行整理并归归档。7.1.5.22 对安全服服务及控制机机制进行定期期的维护和管管理。7.2 评估影影响7.2.1 基基本要求应标识对该系统统有关系的影影响，并对发发生影响的可可能性进行评评估。7.2.2 对对影响进行优优先级排列对在系统中起关关键作用的运运行、业务或或任务的能力力进行标识、分分析和按优先先级排列。7.2.3 标标识系统资产产7.2.3.11 对支持系系统的安全目目标或关键性性能力（运行行，业务或任任务功能）进进行标识。7.2.3.22 对必需的的系统资源和和数据进行标标识；通过对对给定环境中中提供这种支支持的每项资资产的意义进进行评

24、估，来来对每项资产产进行定义。7.2.3.33 对支持系系统的关键性性运行能力或或安全目标的的系统资产进进行标识和特特征化。7.2.4 选选择影响的度度量应预先确定适合合的度量用于于评估影响。7.2.5 标标识度量关系系标识所选影响的的评估度量与与度量转换因因子之间的关关系。7.2.6 标标识和特征化化影响利用多重度量或或统一度量的的方法对意外外事件的意外外影响进行标标识和特征化化。7.2.7 监监视影响监视影响中的变变化，本条与与7.8.33中的通用性性监视活动紧紧密相连。7.3 评估安安全风险7.3.1 基基本要求应对在特定环境境中运行该系系统相关的安安全风险进行行标识与评价价，并按照一一

25、定的方法对对风险问题进进行优先级排排序。7.3.2 选选择风险分析析方法7.3.2.11 本要求项项包括定义用用于标识给定定环境中的系系统安全风险险的方法，该该方法是对安安全风险进行行分析、评估估和比较；应应该包括一个个对风险进行行分类和分级级的方案，其其依据是威胁胁、运行功能能、已建立的的系统脆弱性性、潜在损失失、安全需求求等相关问题题。7.3.2.22 选择用于于分析、评估估和比较给定定环境中系统统安全风险所所依据的方法法、技术和准准则。7.3.3 标标识安全风险险7.3.3.11 标识该风风险，认识这这些威胁和脆脆弱性的利害害关系，进而而标识出威胁胁和脆弱性造造成的影响；这些风险在在选择

26、系统保保护措施中应应予以考虑。7.3.3.22 标识威胁胁/脆弱性/影响三组合合（风险）。7.3.4 评评估安全风险险7.3.4.11 标识每个个风险出现的的可能性。7.3.4.22 评估与每每个风险有关关的风险。7.3.5 评评估总体不确确定性7.3.5.11 每种风险险都有与之相相关的不确定定性；总体风风险不确定性性是在7.44.6“评估估威胁的可能能性”中已被被标识的威胁胁、脆弱性和和影响及其特特征不确定性性的积累、77.4.6“评评估威胁的可可能性”、77.5.4“收收集脆弱性数数据”以及77.3.6“安安全风险优先先级排列”。本本要求项与77.6“建立立保证论据”密密切相关，因因为证

27、据能用用于追踪修改改，从而在某某种输入下降降低不确定性性。7.3.5.22 评估与该该风险有关的的总体不确定定性。7.3.6 安安全风险优先先级排列7.3.6.11 已经被标标识的风险应应以组织优先先权、风险出出现的可能性性与这些因素素相关的不确确定性和可用用财力为依据据进行排序；风险可以被被减轻、避免免、转移或接接受，也可以以使用这些措措施的组合。“减减轻”这一措措施能够对付付威胁、脆弱弱性、影响或或风险本身；安全措施的的选择要适当当考虑到.110“指定安安全要求”中中的要求，业业务优先级和和整个系统体体系结构。7.3.6.22 按优先级级对风险进行行排列。7.3.7 监监视安全风险险及其特

28、征7.3.7.11 定期地检检查新的风险险，本条与77.8.3“监监视变化”中中一般性监视视活动紧密相相联。7.3.7.22 监视安全全风险频度变变化和风险特特征的变化。7.4 评估威威胁7.4.1 基基本要求应标识安全威胁胁及其性质和和特征，对系系统安全的威威胁进行标识识和特征化；应定期地对对威胁进行监监视，以保证证由本要求项项所产生的安安全理解始终终得到维持。7.4.2 标标识自然威胁胁标识由自然原因因引起的相应应威胁。7.4.3 标标识人为威胁胁标识由人为偶然然原因引起的的威胁与故意意行为引起的的威胁。7.4.4 标标识威胁的测测量尺度7.4.4.11 对可能在在特定位置中中出现的预料料

29、事件，应根根据具体情况况建立最大和和最小测量单单位范围。7.4.4.22 标识特定定环境中相应应的测量尺度度和适用范围围。7.4.5 评评估威胁影响响的效果7.4.5.11 确定对系系统进行成功功攻击的黑客客潜在的能力力。7.4.5.22 评估由人人为原因引起起的威胁影响响的动因和结结果。7.4.6 评评估威胁的可可能性对威胁事件如何何发生的可能能性进行评估估，评估出现现威胁事件的的可能性。7.4.7 监监视威胁及其其特征7.4.7.11 有规律地地对现有威胁胁及其特征进进行监视，并并检查新的威威胁；本条与与7.7.22“定义协调调目标”的一一般化监视活活动紧密相连连。7.4.7.22 监视威

30、胁胁范围中不断断的变化以及及相应特征的的变化。7.5 评估脆脆弱性7.5.1 基基本要求应标识和特征化化系统的安全全脆弱性。实实施系统资产产分析、定义义特殊的脆弱弱性以及提供供对整个系统统脆弱性的评评估，并获得得对一确定环环境中系统安安全脆弱性的的理解。7.5.2 选选择脆弱性分分析方法7.5.2.11 所有分析析应在预先安安排和指定时时间内，在一一个已知的并并记录有配置置的框架内进进行；分析的的方法论应包包括预期结果果；分析的特特定目标应陈陈述清楚。7.5.2.22 选择对一一确定环境中中系统安全脆脆弱性进行标标识和特征化化的方法、技技术和标准。7.5.3 标标识脆弱性7.5.2中研研究过的

31、脆弱弱性分析方法法论应延伸到到对脆弱性的的证实；所有有发现的系统统安全脆弱性性应予以记录录、标识。7.5.4 收收集脆弱性数数据收集与脆弱性相相关的数据。7.5.5 综综合系统脆弱弱性分析哪些脆弱性性或脆弱性的的组合会对系系统造成问题题，所有分析析应标识出该该脆弱性的特特征；评估由由特定脆弱性性和特定脆弱弱性组合所产产生的系统脆脆弱性与总体体脆弱性。7.5.6 监监视脆弱性及及其特征7.5.6.11 本项要求求与7.8.3“监视变变化”中变化化的一般性监监视活动紧密密相连。7.5.6.22 监视脆弱弱性及其特征征的连续变化化。7.6 建立保保证论据7.6.1 基基本要求应对需求相关的的保证证据

32、进进行标识和定定义，包括证证据的产生和和分析的活动动，包括支持持保证需求所所需的附加证证据、文档清清单和过程以以及那些能清清晰地向需求求方提供已满满足其安全需需求的证据。本项目要求建立立保证证据有有关的活动记记录，包括管管理、标识、计计划、封装和和提交安全保保证证据。7.6.2 标标识保证目标标7.6.2.11 标识安全全保证目标。7.6.2.22 系统安全全保证目标应应规定强制性性系统安全策策略的保密性性等级；目标标的充分性由由开发者、集集成者、需求求方和签名授授权者确定。7.6.2.33 新的和修修改过的安全全保证目标的的标识应与所所有内部和外外部工程组织织等安全相关关性团体保持持协调一致

33、。7.6.2.44 对安全保保证目标进行行修改的内容容需及时解释释其中变化。7.6.2.55 安全保证证目标应清晰晰地沟通。7.6.3 定定义保证策略略7.6.3.11 规划并确确保正确地实实现强制性安安全目标；通通过实现安全全保证策略所所产生的证据据应（向系统统签名授权者者）提供一个个可接受的保保密性等级，此此等级安全的的测量足以管管理安全风险险。通过开发发并颁布安全全保证策略，获获得对保证的的相关活动进进行有效管理理；工程早期期应对需求相相关的保证进进行的标识和和定义产生必必要的支持证证据；通过不不断外部协调调，对保证需需求方需求的的满意程度进进行理解和监监视，确保高高质量组合保保证要求。

34、7.6.3.22 为所有保保证目标定义义一个安全保保证策略。7.6.4 控控制保证证据据安全保证证据通通过与所有工工程实施要求求项相互配合合，在安全保保证策略内标标识出的不同同层面抽象的的证据的方法法进行收集；证据应受到到控制。7.6.5 分分析证据对安全保证证据据进行分析，保保证工程产品品相对于基线线系统是完善善和正确的。7.6.6 提提供保证论据据7.6.6.11 开发出一一个完整的证证明与安全目目标一致的安安全保证论据据，并提供给给需求方；保保证论据是由由多层抽象中中获得的保证证证据的组合合所支持的一一系列声明性性保证目标；应对提交证证据中的缺陷陷和安全保证证目标中的缺缺陷进行评审审。7

35、.6.6.22 提供证明明需求方安全全需求得到满满足的安全保保证性论据。7.7 协调安安全7.7.1 基基本要求应协调并保持安安全工程所涉涉及到安全组组织、其他工工程组织和外外部组织之间间的关系；以以保证所有部部门都有一种种参与安全工工程的意识。7.7.2 定定义协调目标标定义和建立与其其他组织之间间的联系和义义务关系；这这些关系应被被全体参与部部门所接受。7.7.3 标标识协调机制制标识安全工程的的协调机制，明明确协调机制制实现的方法法。7.7.4 促促进协调7.7.4.11 确保不同同优先级的不不同组织间进进行沟通有可可能发生的一一些冲突和争争端以合适的的、富有成果果的方式得到到解决。7.

36、7.4.22 促进安全全工程的协调调。7.7.5 协协调安全确定定和建议在各种安全工程程组织、其他他工程组织、外外部实体及其其他合适的部部门中沟通安安全确定和建建议，用标识识出的机制去去协调有关安安全的确定和和建议。7.8 监视安安全态势7.8.1 基基本要求应标识并报告所所有的安全违违规行为；监监视外部和内内部环境中可可能影响系统统安全的所有有因素；探测测和跟踪内部部和外部与安安全有关的事事件。根据策策略制定响应应突发事件的的措施；根据据安全目标标标识并处理运运行安全态势势的变化。7.8.2 分分析事件记录录检测安全相关性性信息的历史史和事件记录录，通过多条条记录中的事事件相关元素素，标识出

37、安安全事件；分分析事件记录录，以确定事事件的原因、预预测可能发生生的事件。7.8.3 监监视变化监视威胁、脆弱弱性、影响、风风险和环境方方面的变化，查查找可能影响响当前安全状状态有效性的的任何变化；监视所有因因素的变化并并分析这些变变化以评估它它们对安全有有效性的意义义。7.8.4 标标识安全突发发事件7.8.4.11 确定是否否发生了一个个有关安全的的突发事件，标标识出事件详详细情况并且且在必要时提提出报告；有有关安全的突突发事件可利利用历史事件件的数据、系系统配置数据据、完整性工工具和其它系系统信息诊断断。7.8.4.22 标识与安安全相关的突突发事件。7.8.5 监监视安全防护护措施7.

38、8.5.11 检测安全全防护措施的的执行情况，标标识出安全防防护措施执行行中的变化。7.8.5.22 监视安全全防护措施的的性能和有效效性。7.8.6 检检查安全态势势检查系统安全态态势以标识出出必要的更正正，评审实施施安全的理由由并根据其它它的规则检查查需要安全的的地方。7.8.7 管管理安全突发发事件响应应急计划要求标标识出系统失失效的最长时时间、系统正正常工作的基基本元素；开开发一个可恢恢复策略和计计划，测试并并维护该计划划。7.8.8 保保护安全监视视的记录数据据保证与安全监视视有关的设备备得到相应的的保护，监视视活动包括封封存和归档相相关的日志、审审计报告和相相关分析结果果。7.9

39、提供安安全输入7.9.1 基基本要求应为系统的规划划者、设计者者、实施者或或需求方提供供他们所需的的安全信息，信信息应包括安安全体系结构构、设计或实实施选择以及及安全指南；开发、分析析并提供安全全输入并与基基于7.100“指定安全全要求”中定定义的安全需需求中的适当当组织机构成成员协调一致致；要求所有有具有安全意意义的系统问问题都应受到到检查并按照照安全目标的的要求予以解解决；所有项项目组成员都都要理解安全全问题，解决决方法应反映映出所提供的的安全输入。本要求项适用于于标定开发（设设计者和实现现者）和运行行（用户和管管理员）的安安全输入。7.9.2 理理解安全输入入要求7.9.2.11 安全输

40、入入包括任何种种类的、应被被其它项目所所考虑的、与与安全相关的的指南、设计计、文档或思思想；输入可可以为多种形形式包括文档档、备忘录、电电子邮件、培培训和咨询。7.9.2.22 安全输入入要求可基于于7.10“指指定安全要求求”中确定的的需求。7.9.2.33 设计者、开开发者和需求求方应一起确确保相应部门门对安全输入入有一个共同同的理解。7.9.3 确确定安全约束束和考虑因素素确定做出有科学学依据的工程程决策所需的的所有安全约约束和考虑因因素。安全工工程组进行分分析以确定在在需求、设计计、实现、配配置和文档方方面的任何安安全限制和考考虑；约束可可在系统生存存周期内的所所有时间进行行标识，可在

41、在许多不同的的抽象层上进进行标识。7.9.4 标标识安全选项项标识出与安全相相关的工程问问题的解决办办法选项；解解决办法可以以多种形式提提供。7.9.5 分分析工程选项项的安全性7.9.5.11 分析和区区分工程选项项的优先级；确定安全约约束与考虑因因素（见7.9.3确定定安全约束和和考虑因素），根根据标识的安安全约束和考考虑因素，设设计组可以评评估每个工程程选项并提出出对工程组的的建议；安全全工程组应考考虑其它工程程组的工程指指南。7.9.5.22 这些工程程选项不受所所标识的安全全选项的限制制（见7.99.4标识安安全选项），还还应包括来自自其它项目的的选项。7.9.5.33 利用安全全约

42、束和考虑虑因素来分析析和区分工程程选项的优先先级。7.9.6 提提供安全工程程指南制定出与安全相相关的指南，并并将它提供给给工程组。7.9.7 提提供运行安全全指南7.9.7.11 制定出与与安全相关的的指南并提供供给系统用户户和管理员；运行安全指指南的制定应应在生存周期期内提早开始始。7.9.7.22 运行安全全指南包含用用户和管理员员在以安全模模式进行安装装、配置、运运行和终止系系统时应做的的内容。7.10 指定定安全要求7.10.1 基本要求应明确地为系统统标识出与安安全相关的要要求；指定安安全要求涉及及到系统安全全定义的基本本原则，遵循循有关安全的的所有法律、策策略和组织需需求；定义与

43、与安全相关的的要求集合成成系统安全的的基线。所有有部门，包括括用户之间应应达成对安全全要求的共识识；应定义整整个信息系统统中所有安全全方面的活动动，通过在整整个项目中收收集、提炼、使使用和更新（见见7.9提供供安全输入）这这一要求项所所获得和产生生的信息，提提出安全要求求。7.10.2 获得对安全全要求的理解解通过收集所有用用于全面理解解需求方安全全要求所需的的信息，获得得对安全要求求的理解。7.10.3 标识可用的的法律、策略略和约束为给定系统确定定法律、策略略、标准、外外部影响和约约束；收集所所有对系统安安全产生影响响的外部影响响；标识出支支配系统目标标环境的法律律、规则、策策略和业务标标

44、准；应进行行全局和局部部间优先级的的决策；系统统需求方提出出的系统安全全需求应被标标识并说明安安全意义。7.10.4 标识系统安安全关联性7.10.4.1 标识出出系统间的关关系是如何影影响安全的，任任务的处理和和运行概要应应作为安全因因素加以评估估；标识对系系统遭受到的的或可能遭受受到的威胁，评评估性能和功功能需求对安安全可能产生生的影响。7.10.4.2 定义系系统的安全边边界；组织的的许多外部因因素也影响组组织安全要求求的变化程度度，监视和定定期地评估策策略上的倾向向性和策略重重点的改变、技技术开发、经经济影响、全全局性事件以以及信息战等等变化带来的的潜在影响。7.10.4.3 标识系系

45、统的用途以以确定其安全全的关联性。7.10.5 获取系统运运行的安全思思想7.10.5.1 应明确确总体的、面面向安全的指指导思想，包包括任务、职职责信息流、资资产、资源、人人员保护以及及物理保护的的指导思想。7.10.5.2 明确系系统运行的面面向安全的总总体指导思想想。7.10.6 获取安全的的高层目标确定在运行环境境中对系统安安全性是足够够的安全目标标；获取高层层安全目标就就是定义系统统的安全性。7.10.7 定义安全相相关需求7.10.7.1 定义与与系统安全相相关的需求，应应保证需求的的完备性和一一致性，为系系统安全的评评价提供基础础。7.10.7.2 定义一一套一致性需需求，该需求

46、求定义了在系系统中将实现现的保护。7.10.8 达成安全协协议应在系统的安全全需求中将所所有的适用部部分与特定安安全之间达成成协议；对于于未被标识的的特殊用户而而不是一个通通用用户组的的情况下，特特定安全要满满足目标设置置；特定的安安全应该完整整地、一致地地反映出对策策略、法律和和用户需求的的管理；应标标识并修改所所发现的问题题，直到达成成满足需求方方要求的协议议。7.11 验证证和确认安全全性7.11.1 基本要求应确保解决安全全问题的办法法已经被验证证与证实。通通过观察、示示范、分析和和测试，依照照安全需求、体体系结构和设设计确认解决决办法；依照照需求方的运运行安全需求求证实解决办办法；解

47、决办办法应满足需需求方安全需需求与运行安安全要求。7.11.2 确定验证和和确认的目标标确定验证和确认认的目标；确确定验证和确确认的解决办办法。7.11.3 定义验证和和确认方法7.11.3.1 应定义义验证和确认认每种解决方方案的方法和和严格等级；7.11.3.2 严密等等级应表明验验证和确认的的审查到底应应有多严格；该要求项要要受到7.66“建立保证证论据”中保保证策略输出出的影响。7.11.4 执行验证7.11.4.1 应通过过显示解决办办法实现与上上一抽象层相相关的要求，包包括确定的保保证需求正是是作为7.66“建立保证证论据”的结结果所标识的的保证需要；所用的方法法在7.111.3“

48、定义义验证和确认认方法”中有有标识；个人人需求和整个个系统都要受受到检测。7.11.4.2 验证解解决办法实现现了与上一抽抽象层相关的的要求。7.11.5 执行证实7.11.5.1 通过显显示能满足与与上一抽象层层相关的要求求，最终满足足需求方的运运行安全要求求，实现对解解决办法的证证实。7.11.5.2 证实解解决办法满足足与上一抽象象层关联的需需要；所使用用的方法应在在7.11.3“定义验验证和确认方方法”中确定定。7.11.6 提供验证和和确认的结果果为其它工程组收收集并提供验验证和确认的的结果；验证证和确认的结结果应以某种种易被理解和和使用的方式式所提供；所所有结果应被被跟踪。8 项目

49、实施要要求8.1 质量保保证8.1.1 基基本要求应通过对过程的的测量与监视视，工作产品品的测量发现现其中的偏离离；应通过质质量分析、改改进活动，以以及质量修正正监测活动确确保工程质量量目标的实现现。 本要求求项与7.66“建立保证证论据”有关关。保证可以以认为是安全全相关质量的的特殊类型。8.1.2 监监视所定义过过程的一致性性8.1.2.11 确保项目目是按照所定定义的系统工工程过程来执执行的；应按按相应的时间间间隔来检查查一致情况；应将与所定定义的过程相相偏离以及该该偏离所带来来的影响记录录下来。8.1.2.22 确保所定定义的系统工工程过程在系系统生存周期期中是稳定的的。8.1.3 测

50、测量工作产品品的质量8.1.3.11 应当运用用所设计的测测量工作产品品的方法来评评估工作产品品是否能符合合需求方或工工程的要求；产品测量还还有助于解决决隔离系统开开发过程中的的问题。8.1.3.22 根据工作作产品的质量量要求对工作作产品的测量量进行评价。8.1.4 测测量过程质量量对项目所使用的的系统工程过过程的质量进进行测量。8.1.5 分分析质量测量量8.1.5.11 分析质量量测量以对质质量改进或操操作改进方面面提出相应的的开发性建议议。8.1.5.22 绘制因果果图。8.1.6 参参与质量活动动在确定和报告质质量问题时，有有关员工应参参与其中。8.1.7 发发起改进质量量的活动应发

51、起以质量问问题或质量改改进问题为主主题的有关活活动。8.1.8 检检测修正行为为要求8.1.8.11 建立一种种或一套机制制来检测过程程或产品中修修正行为的要要求。8.1.8.22 故障报告告。8.2 管理配配置8.2.1 基基本要求应维持系统中已已确定的配置置单元的数据据和状况，并并对系统及其其配置单元的的变化进行分分析和控制；管理系统配配置包括为开开发者和需求求方提供准确确的当前配置置数据和状况况；该要求项项对置于配置置管理之下的的所有工作产产品都是适用用的。在8.3“管理理配置”中对对一个系统/项目而标识识的配置单元元级别的确定定应当考虑77.6“建立立保证论据”的的保证目标所所详细要求

52、的的级别。管理配置提供了了7.6“建建立保证论据据”的证据；选择的配置置管理（CMM）系统自身身管理也应当当通过7.11“管理安全全控制”来管管理。配置管理功能应应允许在生存存周期的任一一点上通过系系统要求的层层次来对配置置进行跟踪，从从而支持可追追溯性；可追追溯性作为要要求项8.33“管理配置置”中实施的的一部分应建建立起来。8.2.2 建建立配置管理理方法8.2.2.11 应有配置置管理方法；8.2.2.22 应将要求求项8.2“质质量保证”作作为实现业务务研究的指南南。8.2.2.33 配置管理理过程的描述述。8.2.3 确确定配置单元元8.2.3.11 确定构成成基线的配置置单元。8.

53、2.3.22 配置管理理所选择的工工作产品应基基于所选配置置管理策略建建立的准则上上；配置单元元应当在有利利于开发者和和需求方的层层面之上进行行选择，但不不应将不合理理的管理负担担加在开发者者的上。8.2.4 维维护工作产品品基线维护工作产品基基线库，建立立和维护一个个关于工作产产品配置的信信息库；维护护配置数据，为为审计跟踪提提供在系统生生存周期任一一点上的原始始资料。8.2.5 控控制变化8.2.5.11 对已建立立的配置项的的变化进行控控制，包括跟跟踪每个配置置项的配置；如需要批准准新的配置，应应更新系统的的基线。8.2.5.22 应对工作作产品的标识识问题或改变变工作产品的的需求进行分

54、分析，以便确确定此变化对对工作产品、项项目进度和费费用、以及其其它工作产品品产生的影响响。8.2.6 沟沟通配置状况况在状况发生变化化时，应将配配置数据状况况告诉相关的的部门或人员员。状况报告告应当包含何何时处理、已已接受的配置置单元变化和和受变化影响响的有关工作作产品等信息息；应为开发发者、需求方方和其它受影影响的团体提提供配置数据据和状况的访访问权利。8.3 管理项项目风险8.3.1 基基本要求应标识、评估、监监视和降低风风险以使系统统工程活动和和全部技术活活动均取得成成功；这个要要求项要持续续整个工程生生存周期。与与8.6“监监视技术活动动”和8.55“管理项目目风险”要求求项相类似，本

55、本要求项的范范围包括系统统工程活动和和全部技术项项目活动。“项目风险”指指与项目成功功完成有关的的风险，与费费用和进度有有关的一系列列问题。工程程实施要求项项列出 “安安全风险”活活动，这些活活动是用来确确定是否可容容忍残余安全全脆弱性对运运行的影响。应当考虑到7.7“协调安安全”，以确确保安全问题题都已列出。8.3.2 制制定项目风险险管理方法8.3.2.11 为项目风风险管理活动动制定出一个个计划，对于于整个项目生生存周期来说说，该计划是是标识、评估估、降低和监监视安全风险险的基础。8.3.2.22 本要求实实施的目的是是制定一个有有效的计划以以指导项目的的风险管理活活动；计划元元素应当包

56、括括风险管理队队伍成员的标标识及其责任任；应有用于于标识和降低低风险的常规规风险管理活活动、方法和和工具列表以以及风险降低低活动的跟踪踪和控制方法法；计划也应应当为风险管管理结果的评评估提供帮助助。8.3.3 标标识项目风险险8.3.3.11 通过检查查项目目标（并并考虑到选择择和限制）确确定可能出现现哪些差错并并以这两种方方法来标识项项目的风险。8.3.3.22 有条理地地审查项目目目标、项目计计划（包括活活动或事件依依赖性）以及及系统需求，确确定可能的困困难区以及在在这些区中会会出现哪些差差错；上述活活动在要求项项8.6“计计划技术活动动”中制订；建立关键的的发展依赖性性和提供跟踪踪和修正

57、行为为将在要求项项8.5“监监视技术活动动”中完成。8.3.4 评评估项目风险险评估项目风险，确确定风险发生生的可能性与与可能造成的的后果。8.3.5 评评审项目风险险评估8.3.5.11 获得项目目风险评估的的正式认可。8.3.5.22 评审项目目风险评估的的充分性，以以确定是否需需要修改或取取消基于风险险的承诺。8.3.6 执执行项目风险险降低活动8.3.6.11 实施项目目风险降低活活动。8.3.6.22 可列出风风险降低活动动减少风险发发生的可能性性或减少风险险发生时所造造成损失程度度的列表；对对需要特别关关注的风险，可可以同时实施施几种降低风风险的活动。8.3.7 跟跟踪项目风险险降

58、低活动8.3.7.11 监视项目目安全风险降降低活动以确确保得到预期期结果。8.3.7.22 定期检查查已经有效实实施的降低项项目风险活动动，测量结果果并确定该活活动是否成功功。8.4 监视技技术活动8.4.1 基基本要求应为实际进步和和风险提供充充分的可见性性；可见性是是在执行计划划发生严重偏偏差时及时促促进修正的行行为。“监视技术活动动”将根据项项目估计、承承诺和计划的的文档来指导导、跟踪和评评审项目的完完成情况、结结果和风险；一个计划的的文档是用来来作为跟踪活活动和风险，交交流情况和修修改方案的基基础。类似于要求项88.6“监视视技术活动”，此此要求项适用用于项目技术术性行为以及及系统工

59、程活活动。在开发和系统运运行时，需要要考虑到7.8“监视安安全态势”和和7.1“管管理安全控制制”。需要考虑到要求求项7.7“协协调安全”以以确保安全问问题都已经列列出。8.4.2 指指导技术活动动8.4.2.11 根据技术术性管理计划划指导技术性性活动。8.4.2.22 贯彻落实实在“计划技技术活动”要要求项中创建建的技术管理理计划；这一一实施涉及到到项目中所有有工程活动的的技术指导。8.4.3 跟跟踪项目资源源8.4.3.11 根据技术术性管理计划划跟踪资源的的实际利用情情况。8.4.3.22 提供在项项目中资源使使用的当前信信息，在需要要时及时调整整活动和计划划。8.4.4 跟跟踪技术参

60、数数8.4.4.11 根据已建建立的技术性性参数跟踪执执行。8.4.4.22 通过测量量在技术管理理计划中建立立的技术性参参数来跟踪项项目和它的产产品的实际执执行；将测量量结果与技术术管理方案中中建立的阈值值进行比较，将将问题通知给给管理人员。8.4.5 评评审项目执行行8.4.5.11 根据技术术性管理计划划执行评审。8.4.5.22 应定期对对项目和其产产品的执行情情况进行评审审，当超出正正常技术参数数的阈值时也也要进行评审审；评审技术术执行的测量量分析结果和和技术执行的的其它指标，批批准修正行动动计划。8.4.6 分分析项目问题题8.4.6.11 分析跟踪踪和评审技术术性参数的结结果，确