NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

并非所有系统组件、功能或服务都必然需要重要的保护。例如，关键性分析是供应链风险管理的一个核心原则，并为保护活动的优先排序提供依据。关键系统组件和功能的识别需要考虑适用的法律、行政命令、法规、指令、政策、标准、系统功能要求、系统和组件接口以及系统和组件依赖关系。系统工程师会对系统进行功能分解，以识别任务关键功能和组件。功能分解包括识别系统支持的组织使命，将其分解为执行这些使命的具体功能，并追踪实现这些功能的硬件、软件和固件组件，包括当这些功能被系统内外的多个组件共享时的情况。系统或系统组件的操作环境可能影响其关键性，包括与网络物理系统、设备、系统系统以及外包 IT 服务的连接和依赖。允许不经中介访问关键系统组件或功能的系统组件被认为是关键组件，因为此类组件会产生固有的漏洞。组件和功能的关键性是通过评估组件或功能失效对由包含这些组件和功能的系统支持的组织任务的影响来进行的。在开发、修改或升级架构或设计时，会进行关键性分析。如果在系统开发生命周期的早期进行此类分析，组织可能能够修改系统设计，以降低这些组件和功能的关键性，例如通过在系统设计中增加冗余或备用路径。关键性分析还可以影响开发承包商所需的保护措施。除了对系统、系统组件和系统服务进行关键性分析外，对信息的关键性分析也是一个重要的考虑因素。这种分析是在RA-2的安全分类过程中进行的。