保护受控未分类信息 Rev 3

外部系统服务由外部服务提供商提供。组织以多种方式与外部服务提供商建立关系，包括通过业务合作、合同、机构间协议、业务线安排、许可协议、合资企业和供应链交换等方式。使用外部系统服务所带来的风险管理责任仍由负责保护受控未分类信息（CUI）的组织承担。服务级别协议定义了性能期望，描述了可衡量的结果，并确定了在不合规情况下的补救、缓解措施和响应要求。来自外部服务提供商的关于特定功能、端口、协议以及用于提供此类服务的服务的信息，在需要了解限制某些功能和服务或阻止某些端口和协议所涉及的权衡时非常有用。此要求与 03.01.20 相关。

组织将系统安全工程原则应用于新开发的系统。对于遗留系统，组织在现有硬件、软件和固件组件的条件下，在可行范围内将系统安全工程原则应用于系统的修改。应用系统安全工程原则有助于开发可信、安全和有弹性的系统，并减少组织对中断、危险和威胁的易感性。示例包括开发分层防护；建立安全策略、架构和控制作为系统设计的基础；将安全需求纳入系统开发生命周期；划定物理和逻辑安全边界；确保开发人员接受如何构建可信安全软件的培训；以及进行威胁建模以识别用例、威胁主体、攻击向量和模式、设计模式以及减轻风险所需的补偿控制措施。应用安全工程原则的组织可以促进值得信赖的、安全的系统、系统组件和系统服务的开发；将风险降低到可接受水平；并做出明智的风险管理决策。

对系统组件的支持包括软件补丁、固件更新、更换零件和维护合同。举例来说，不受支持的组件是指供应商不再提供关键的软件补丁或产品更新，这可能导致对手有机会利用已安装组件中的弱点或缺陷。不更换不受支持的系统组件的例外情况包括：当无法获得更新技术，或当系统如此隔离以至于无法安装替代组件时，这些系统提供关键的任务或业务功能。替代支持来源旨在满足对系统组件持续支持的需求，这些组件原厂制造商、开发商或供应商已不再提供支持，但这些组件仍对组织的任务和业务功能至关重要。如果有必要，组织可以通过为关键软件组件开发定制补丁来建立内部支持，或者通过合同关系获取外部服务提供商的服务，这些服务提供商为不受支持的组件提供持续支持。这类合同关系可以包括开源软件增值供应商。通过禁止将不受支持的系统组件连接到公共或不受控制的网络，或实施其他形式的隔离，可以降低使用这些组件的风险。