SSE一CMM安全工程过程之工程过程PA10 确定安全需求二

本过程区域基本实施有7项：

◇BP.10.01  获得对顾客安全需求的理解

本基本实施的目的是，收集所有用于全面理解用户安全需求所需的信息。这些需求受安全风险对用户重要性的影响。系统将来运行的目标环境也会影响用户与安全相关的需求。

工作产品示例：用户安全需求访谈录——对用户所要求的安全的高层描述。

术语“用户”可指产品、系统或服务的特定接收人，或者指基于市场调查或以产品作为目标的普通接收人。

◇BP.10.02  识别可用的法律、策略、标准、外部影响和约束

本基本实施的目的是，收集所有对系统安全产生影响的外部因素。系统安全工程过程中应识别出系统目标环境的法律、规则、策略和业务标准并确保做出的策略能适应。同时，还需要考虑全局和局部策略的先后顺序。另外，由系统用户对系统提出的安全需求必须被标识并标注出安全含义。工作产品示例：

(1)安全约束——影响系统安全的法律、策略、规则和其它约束条件。

( 2)安全轮廓——安全环境（威胁、组织策略）；安全目标（例如，需对抗的威胁）；安全功能和保证需求，说明为这些需求所开发的系统将满足目标的基本原理。

这里需要注意的是，当系统要跨越多个物理域时需要进行特殊考虑。不同的国家和不同类型的业务活动中的法律和规则可能会发生冲突。作为标识过程的一部分，冲突应按最小化原则加以识别，并在可能条件下予以解决。