首页 百科知识 与获取签约有关的规划

与获取签约有关的规划

时间:2023-10-24 百科知识 版权反馈
【摘要】:各种约束条件适用于下列情况:规划工作应当仔细地检查信息安全工程小组同SPO所雇用的任何承包商之间的关系,以及信息安全工程小组自身可能需要承包商支持的程度。

3.2.6 与获取/签约有关的规划

1.获取/采购策略

开始建立新系统和改进现用系统必然遇到的普遍性问题,是选择一个最适合的获取策略和运行环境。基本的问题包括:组织机构是自己组织购买要获取的项目,还是通过诸如新合同、修订合同或者雇请承包商按照现有“一揽子”合同订单间接购买。各种约束条件适用于下列情况:

①在一般领域内或针对具体项目的专业技能技术支援,对组织的工作人员提供必要支持。

②独立的验证和证实(IV&V)。

③系统、子系统或组件的开发/集成。

规划工作应当仔细地检查信息安全工程小组同SPO所雇用的任何承包商之间的关系,以及信息安全工程小组自身可能需要承包商支持的程度。需要考虑的问题包括:

①支持SPO所需的技术任务,参与信息安全工程小组以及组织和承包商团队之间的折中方案。

②最合适的承包合同类型。

③信息安全工程小组在恰当的时候参与对承包合同的监控(例如,信息安全工程小组的人充当项目招标官员的代表(Contracting Officer’s Representatives,COR),信息安全工程小组的人在合适时参与奖金的评估)。

④信息安全工程小组为支持承包合同相关活动所必需的差旅需求。

⑤对合同的作业陈述(Statement of Work,SOW)提供信息安全工程输入和注释的进度和方式,包括必要的信息系统安全折中方案研究、IV&V活动或设计评审内容等方面的输入。

⑥把信息系统安全的输入提炼成合同上的系统技术规范,提供系统技术规范或SOW所包含的适当参考资料(例如指南、标准、准则、保证的分类定义等)。

⑦对每个相关合同或业务订单的合同数据需求的输入,包括对数据项说明和SOW语言的恰当补充。

⑧源识别和选择的制约。例如:

●将信息安全工程需求导入源识别的市场调查中,因为合同活动并不受全面竞争的影响。

●(技术)“白皮书”的审核。

●将信息安全工程需求导入到建议的准备指令中,包括对任何信息系统安全建议内容的指令,例如对支持该建议的安全设计中的安全基本原理进行展示。

●将信息安全工程需求导入到源选择规划中,包括在信息系统安全和信息安全工程领域筛选提议者的准则(即人员资格和其他合作能力),以及评估提议者技术建议的安全方面问题的准则。

●信息安全工程小组作为源选择委员会的成员参与工作(至少参与评估上述面向技术和协作能力的方案选择)。

⑨将信息系统安全需求输入到技术性能的度量集合中。

⑩合同的安全技术规范需求——供承包商使用的安全分类指南,承包商个人许可证需求,保密电话和传真的能力,提供的保密存储,会议场所,系统测试或分阶段实现的实验室空间以及分类文档的生产能力等。

2.预规划的产品改进(P3I)策略

预规划的产品改进策略(Pre-planned Product Improvement Strategy),是对已完成系统所作的已规划的改进策略。它把具有重大风险或延误(或当时无法负担的支出)的因素推后。虽然被推迟的因素在并行或其后的工作项目中才能进行开发,但是该系统还是可以投入使用。一些预备措施、接口和可访问能力要被预先集成到基础系统的设计中去。这样,当被推迟的因素在后来变得可实现时,就可以把它非常方便地结合进来。

信息安全工程小组和LCIE有时需要支持用户去准备P3I策略。这可能包括找到可作出若干变更以降低安全风险的情况,而降低这些安全风险的措施由于费用、进度,技术或其他限制在当前开发周期内无法使其实现。信息安全工程小组也应帮助保证实施用户P3I策略项的系统,仍能符合系统安全需求能力的需要,也就是说增加的或改进的功能不会无意中使安全风险变得不可接受。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈