◇BP.08.05审核安全态势
一个系统的安全态势要经受基于威胁环境、运行要求和系统配置出现的变化。本实施是审核实施安全的理由,以及将安全植入其他科目的理由。
安全态势的审核应该根据当前运行环境和已经出现的变化情况进行。如果出现其它事件,比如情况变化,没有完整的安全审核,那么就应该根据上次审核以来经历的时间长短,
启动新的审核。启动审核的时间间隔应该遵从恰当的策略和规则。审核应该基于安全评估的组织方法,可以参考PA03“评估安全风险”。以同样的方式审核运行环境,创建的系统开发环境也应该定期地进行审核。事实上,开发环境也可以认为是系统开发的运行环境。
工作产品示例:
(1)安全审核——包括描述当前安全风险环境、现有的安全态势和对这两者是否兼容进行的分析。
(2)风险容忍审核——由适当的正式授权机构提供报告,以表明运行该系统有关的风险是可以接受的。