7.10 指定安全要求

7.10.1　基本要求

應明確地為系統標識出與安全相關的要求；指定安全要求涉及到系統安全定義的基本原則，遵循有關安全的所有法律、策略和組織需求；定義與安全相關的要求集合成系統安全的基線。所有部門，包括用戶之間應達成對安全要求的共識；應定義整個信息系統中所有安全方面的活動，通過在整個項目中收集、提煉、使用和更新（見7.9提供安全輸入）這一要求項所獲得和產生的信息，提出安全要求。

7.10.2　獲得對安全要求的理解

通過收集所有用于全面理解需求方安全要求所需的信息，獲得對安全要求的理解。

7.10.3　標識可用的法律、策略和約束

為給定系統確定法律、策略、標準、外部影響和約束；收集所有對系統安全產生影響的外部影響；標識出支配系統目標環境的法律、規則、策略和業務標準；應進行全局和局部間優先級的決策；系統需求方提出的系統安全需求應被標識并說明安全意義。

7.10.4　標識系統安全關聯性

7.10.4.1　

標識出系統間的關系是如何影響安全的，任務的處理和運行概要應作為安全因素加以評估；標識對系統遭受到的或可能遭受到的威脅，評估性能和功能需求對安全可能產生的影響。

7.10.4.2　

定義系統的安全邊界；組織的許多外部因素也影響組織安全要求的變化程度，監視和定期地評估策略上的傾向性和策略重點的改變、技術開發、經濟影響、全局性事件以及信息戰等變化帶來的潛在影響。

7.10.4.3　

標識系統的用途以確定其安全的關聯性。

7.10.5　獲取系統運行的安全思想

7.10.5.1　

應明確總體的、面向安全的指導思想，包括任務、職責信息流、資產、資源、人員保護以及物理保護的指導思想。

7.10.5.2　

明確系統運行的面向安全的總體指導思想。

7.10.6　獲取安全的高層目標

確定在運行環境中對系統安全性是足夠的安全目標；獲取高層安全目標就是定義系統的安全性。

7.10.7　定義安全相關需求

7.10.7.1　

定義與系統安全相關的需求，應保證需求的完備性和一致性，為系統安全的評價提供基礎。

7.10.7.2

定義一套一致性需求，該需求定義了在系統中將實現的保護。

7.10.8　達成安全協議

應在系統的安全需求中將所有的適用部分與特定安全之間達成協議；對于未被標識的特殊用戶而不是一個通用用戶組的情況下，特定安全要滿足目標設置；特定的安全應該完整地、一致地反映出對策略、法律和用戶需求的管理；應標識并修改所發現的問題，直到達成滿足需求方要求的協議。