18.2 信息系統的安全要求（MAD_SRQ）

18.2.2.1　管理保障控制組件控制

組織機構在引入新的系統，或對現有的系統升級時，組織機構應按照自己的業務要求在需求分析中加入適當的安全控制要求。

18.2.2.2　管理保障控制組件注解

組織機構在考慮控制措施需求內容時應包括自動控制措施，并在選用開發或購買軟件包時，應有同樣的考慮。
組織機構應考慮到重要信息資產的商業價值的安全要求及控制的商業價值，及在安全失效的情況下所蒙受的商業損失。
組織機構應在信息系統項目的早期階段就將信息系統和過程的安全要求綜合進來。在系統實施和維護階段中，在設計階段就引入安全控制措施將會極大地減少費用。
組織機構在采購產品時，應遵守正是的測試和采購流程。供應商的合同中應提供所標識的安全要求。當產品的安全功能不能滿足所定義的安全要求時，在購買產品之前就應重新考慮引入的風險和相關的控制措施。如果有提供的附加功能并且此附加功能產生安全風險時，則將此功能禁用或者對所建議的控制結構進行審查以確定附加功能能否帶來好處。