本过程区域基本实施有7项:
◇BP.10.01 获得对顾客安全需求的理解
本基本实施的目的是,收集所有用于全面理解用户安全需求所需的信息。这些需求受安全风险对用户重要性的影响。系统将来运行的目标环境也会影响用户与安全相关的需求。
工作产品示例:用户安全需求访谈录——对用户所要求的安全的高层描述。
术语“用户”可指产品、系统或服务的特定接收人,或者指基于市场调查或以产品作为目标的普通接收人。
◇BP.10.02 识别可用的法律、策略、标准、外部影响和约束
本基本实施的目的是,收集所有对系统安全产生影响的外部因素。系统安全工程过程中应识别出系统目标环境的法律、规则、策略和业务标准并确保做出的策略能适应。同时,还需要考虑全局和局部策略的先后顺序。另外,由系统用户对系统提出的安全需求必须被标识并标注出安全含义。工作产品示例:
(1)安全约束——影响系统安全的法律、策略、规则和其它约束条件。
( 2)安全轮廓——安全环境(威胁、组织策略);安全目标(例如,需对抗的威胁);安全功能和保证需求,说明为这些需求所开发的系统将满足目标的基本原理。
这里需要注意的是,当系统要跨越多个物理域时需要进行特殊考虑。不同的国家和不同类型的业务活动中的法律和规则可能会发生冲突。作为标识过程的一部分,冲突应按最小化原则加以识别,并在可能条件下予以解决。