B.4 系統與服務獲取（SA）

B.4 系統與服務獲取（SA）

B.4.1　系統與服務獲取策略和規程（SA-1）

控制：
組織應：
a） 制定并發布正式的系統和服務獲取策略，其中應包含目的、范圍、角色、責任、管理承諾、組織各部門之間的協調以及合規性；
b） 制定并發布正式的系統和服務獲取規程，以推動風險評估策略及與相關安全控制的實施；
c） 應按【賦值：組織定義的時間間隔】，對系統和服務獲取策略和規程進行評審和更新。
補充指導：
a） 期望通過該控制來有效實現系統和服務獲取族中安全控制和安全增強的策略和規程；
b） 這些策略和規程要與相關法律、法規、政策以及相關的標準保持一致；
c） 系統和服務獲取策略可作為組織信息安全策略的一部分。
d） 系統和服務獲取規程一般可針對安全程序予以開發，當需要時也可針對特殊的ICS予以開發；
e） 在開發系統和服務獲取策略中，組織的風險管理戰略是一個重要的因素。

B.4.2　資源分配（SA-2）

控制：
組織應：
a） 在組織使命和業務過程規劃中，確定ICS的信息安全需求；
b） 確定并分配保護ICS所需要的資源，作為ICS主規劃一部分，作為投資控制過程的一部分；
c） 在組織的活動程序和預算文檔中，建立信息安全的相應條目。
補充指導：
相關安全控制：PM-3，PM-11。

B.4.3　生存周期支持（SA-3）

控制：
組織應：
a） 采用系統生存周期管理方法來管理ICS；
b） 在整個系統生存周期中，定義ICS安全角色和責任，并建立相應的文檔；
c） 標識具有ICS安全角色和責任的個體。
補充指導：
相關安全控制和：AT-3、PM-7、SA-8。

B.4.4　服務獲取（SA-4）

控制：
a) 在ICS獲取合同中，組織應基于風險評估，按相關法律、法規、政策、標準和指南的要求，顯式地給出如下需求和規約：安全功能需求和規約、與安全有關的文檔需求、與開發和演化有關的保障需求。
補充指導：
a） 應制定ICS及其部件和服務的獲取文檔，包括描述以下內容的需求：安全需要、需要的設計和開發過程、需要的測試和評估規程、需要的文檔；
b） 對于獲取文檔中的需求，當標識了新的威脅和脆弱性時，或當采用新的實現技術時，允許調整其中的安全控制；
c） 獲取文檔還包括有關ICS文檔方面的需求；這些文檔強調用戶和系統管理員的指南，以及有關安全控制實現方面的信息；文檔的詳細程度將基于該ICS的安全分類；
d） 所需要的文檔包括安全配置設置和安全實現指南。
e） 相關安全控制：CM-6、PL-2、PS-7、SA-3、SA-5、SA-8。
控制增強：
a） 組織應要求供應商或合同方在文檔中提供描述該ICS及其部件和服務所使用的安全控制的詳細功能特性信息，可對安全控制進行分析和測試；
b） 組織應要求供應商或合同方在文檔中提供描述該ICS及其部件和服務所使用的安全控制的設計和實現的詳細信息，可對安全控制進行分析和測試；
c） 組織應限制獲取市場上具有安全能力的信息技術產品，在使用前應進行評估和確認；
增強補充指導：
1) 健壯性需求，組織使命和業務過程，以及整個客戶需要，能使有經驗的ICS安全工程人員，針對正提交評估的產品，提出使用什么樣保障等級 （EAL）的信息技術產品的建議。
d） 組織應要求軟件供應商或制造方證實他們的軟件開發過程使用了安全的工程方法、質量控制過程和確認技術，使軟件弱點和惡意最小化；
e） 組織應確保所獲取的每一個部件顯式地分配給ICS，并且系統擁有者承認該分配；
f） 組織應限制在市場上獲取的現成信息技術產品，是那些已通過國家安全相關部門評估的產品，具有信息保障和能使達到保障管治的現成信息技術；
g） 為了保護公共發布的信息，免遭惡意的干擾或破壞，并確保它的可用性，組織應確保使用了市場上具有基本的信息保障能力的信息技術產品。
h） 當信息對那些未被授權訪問ICS中所有信息的個體訪問的時候，為了保護受控的非機密信息， 組織應確保使用市場上基本信息保障能力的信息技術產品；
i） 為了保護國家機密的安全信息，僅使用市場上高信息安全保障能力的信息技術產品，確保信息技術產品已通過國家安全相關部門的評估和確認；

B.4.5　系統文檔（SA-5）

控制：
a） 組織應編制可用于授權人員和管理員的ICS文檔。該文檔應描述如下內容：
1) ICS的安全配置、安裝和運行；　
2) 安全特征和功能的有效使用和維護；
3) 有關配置和行政管理功能用中已知的脆弱性；
4) 并按要求對這樣的文檔予以保護。
b） 組織應編制可用于授權用戶的ICS文檔。該文檔應描述如下內容：
1) 用戶可訪問的安全特征和功能，以及如何有效使用這些安全特征和功能；
2) 用戶與系統交互的方法，以便使個體能以安全的模式來使用系統；
3) 在維護信息安全和ICS安全中的用戶責任；
4) 并按要求對這樣的文檔予以保護。
c） 當文檔或是不可用時或不存在時，記錄要編制的ICS文檔。
補充指導：
相關安全控制：CM-6、CM-8、PL-2、PL-4、PS-2、SA-3、SA-4。
控制增強：
a) 需要時，獲取并保護描述ICS中所使用的安全控制的功能特性的具有充分的詳細的文檔，允許對其中功能特性進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；
b) 需要時，獲取并保護描述了ICS與安全有關的外部接口的具有充分的詳細程度的文檔，允許對其中外部接口進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；
c) 需要時，獲取并保護以子系統以及安全控制的實現細節來描述ICS高層設計的具有充分的詳細程度的文檔，允許對其中的子系統和實現細節進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；
d) 需要時，獲取并保護描述了ICS與安全有關外部接口的具有充分的詳細程度的文檔，允許對其中外部接口進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；

B.4.6　軟件使用限制（SA-6）

控制：
組織應：
a） 按照采購合同、協議等合法手段來使用軟件及其相關文檔；
b） 對于由授權許可所保護的軟件及相關文檔，控制其拷貝和分布；
c） 控制并記錄文件共享技術的使用，確保共享技術未被用于未授權發布、執行或拷貝等。
補充指導：
a) 依賴于組織的需要，跟蹤系統可以涉及簡單的復印或完全自動化的特定應用。
b) 相關安全控制：CM-6、CM-8、PL-2、PL-4、PS-2、SA-3、SA-4。
控制增強：
a） 防止在ICS中使用來自開源、受限制的或無認證源代碼源的可執行代碼；

B.4.7　用戶安裝軟件（SA-7）

控制：
a) 組織應實施顯式的規則，管制用戶安裝的軟件。
補充指導：
a） 如果提供了必要的特權，用戶才可以安裝軟件；
b） 組織應【賦值：標識允許安裝什么類型的軟件（例如對現有軟件的調整和打補丁），阻止什么類型軟件的安裝】。
c） 相關安全控制：PM-7、SA-3、SA-4、SC-2、SC-3。

B.4.8　安全工程原則（SA-8）

控制：
a) 組織應將ICS安全工程原則應用于ICS的需求規約、設計、開發、實現和變更中。
補充指導：
a） 應用安全工程原則主要是針對新開發的ICS或針對正在進行升級的系統，并把這樣的工程原則集成到該系統的開發生存周期中；
b） 對于在運行系統，組織把安全工程原則應用于系統的調整和修改，使之能夠靈活性地給出系統中硬件、軟件和固件的當前狀態；
c） ICS的安全工程原則，包括但不限于：
1) 開發層次化的保護；
2) 建立有效的安全策略、體系結構、控制，作為設計的基礎；
3) 把安全編入到該系統的生存周期中；
4) 描繪物理和邏輯邊界；
5) 確保開發人員和集成人員得到有關如何開發ICS安全軟件的適當培訓；
6) 剪裁安全控制，以便滿足組織和運行需要，減少或緩解風險到可接受程度。
d） 相關安全控制：PM-7、SA-3、SA-4、SA-17、SC-2、SC-3。

B.4.9　外部系統服務（SA-9）

控制：
組織應：
a） 要求ICS服務的外部提供者遵從組織的信息安全需求，并按相關法律、法規、方針、政策、規章、制度、標準和指南的要求，使用合適的安全控制；
b） 針對外部ICS服務，定義用戶角色、責任，并建立相應的文檔；
c） 監視外部服務提供者是否符合安全控制。
補充指導：無
相關安全控制：CA-3， IR-7， PS-7。
控制增強：
a） 在獲取指定的ICS安全服務前，進行組織層面上的風險評估；
b） 確保獲取的指定ICS安全服務，得到【賦值：組織定義的高層領導批準】。
增強補充指導：

B.4.10　開發人員的配置管理（SA-10）

控制：
組織應要求ICS開發人員和集成人員：
a） 在ICS設計、開發、實現和運行期間執行配置管理；
b） 管理并控制對ICS的變更；
c） 僅實現那些得到組織批準的變更；
d） 建立得到批準的ICS變更文檔；
e） 跟蹤安全缺陷和缺陷解決方案。
補充指導：
相關安全控制：CM-3，CM-4，CM-9。
控制增強：
a） 組織要求ICS開發人員和集成人員提供軟件的完整性檢測，以便在軟件交付后，支持組織進行軟件完整性驗證；
b） 在開發人員和集成人員指定的配置管理項缺少的情況下，組織為相關人員提供可選的配置管理過程。
增強補充指導：

B.4.11　開發人員的安全測試（SA-11）

控制：
組織應要求ICS開發人員、集成人員與相關的安全人員商討：
a） 建立并實現安全測試和評估計劃；
b） 實現可驗證缺陷修補的過程，糾正安全測試和評估期間發現的弱點和不足；
c） 建立安全測試和評估的文檔和缺陷修補過程文檔。
補充指導：
a） 開發的安全測試結果，在得到驗證后，應最大靈活性地使用，并了解這些結果所受到的影響；
b） 測試結果可用于支持交付的ICS的安全授權過程。
c） 相關安全控制：CA-2， CM-4， SA-3， SA-4， SA-5， SI-2。
控制增強：
a） 組織應要求ICS開發人員和集成人員使用代碼分析工具檢查軟件中的公共缺陷，并建立分析結果文檔；
b） 組織應要求ICS開發人員和集成人員執行脆弱性分析，建立脆弱性、利用可能性以及風險緩解文檔；

B.4.12　供應鏈保護（SA-12）

控制：
a) 組織應使用【賦值：組織定義的防止供應鏈威脅的度量列表】，防止供應鏈威脅，作為ICS綜合防御安全戰略的一部分。
補充指導：
a） 防御途徑有助于ICS整個生命周期內的保護，即設計、開發、安裝、系統集成、運行、維護和退役期間的保護；
b） 這樣的保護是通過標識、管理、消除生存周期每一階段上的脆弱性，并使用互補的緩解風險的支持戰略而實現的。
c） 相關安全控制：AT-3， CM-8， IR-4， PE-16， PL-8， SA-3， SA-4， SA-8， SA-10， SA-14， SA-15。
控制增強：
a） 組織應使用匿名的獲取過程；
b） 組織應購置初始獲取中所有ICS部件以及相關附件；
增強補充指導：
1) 購買ICS所有系統和組件，可避免在未來幾年中使用不大可信賴的次級產品或重新在市場上購買產品。
c） 對要獲取的硬件、軟件、固件或服務，在編入合同協議前，組織應對供應方進行認真的評審；
增強補充指導：
1) 組織評審供應者鏈，看他們在ICS部件或產品的開發和制造中是否使用合適的安全過程。
d） 有關ICS、ICS部件以及信息技術產品，組織應使用可信的運輸途徑；
e） 組織應使用多種多樣的ICS、ICS部件、信息技術產品和ICS服務的供應方；
f） 組織應使用標準配置的ICS、ICS部件、信息技術產品；
g） 組織應使ICS、ICS部件、信息技術產品的購置決策和交付之間的時間最短；

B.4.13　可信賴性（SA-13）

控制：
a) 組織應要求ICS滿足【賦值：組織定義的可信等級】。
補充指導：
a） 該控制的目的是確保組織了解可信賴性的重要，并在ICS設計、開發和實現時，做出顯式的可信賴性決策；
b） 可信賴性是ICS的一個特性，表達了系統防護信息在被系統處理、存儲和傳輸中保密性、完整性和可用性所期望的程度。
c） 相關安全控制：RA-2， SA-4， SA-8， SA-14， SC-3。

B.4.14　關鍵系統部件（SA-14）

控制：
組織應：
a） 確定【賦值：需要重新實現的關鍵工業控制系統部件列表】；
b） 重新實現或定制開發這樣的ICS部件。
補充指導：
a） 基本假定是，由于來自供應鏈的威脅，【賦值：組織定義的信息技術產品】不是可信的；
b） 組織應重新實現或定制開發這樣的ICS部件，以滿足高保障需求。
控制增強：
a） 標識還沒有見到可選源的ICS部件；
b） 使用【賦值：組織定義的保障策略】，確保ICS部件的關鍵安全控制沒有受到破壞。
增強補充指導：