NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

每个系统及系统组件都有其起源，并且在其存在期间可能会发生变化。来源是系统或系统组件及其相关数据的起源、发展、所有权、位置和变更的时间顺序。它还可能包括与系统、组件或相关数据进行交互或进行修改所使用的人员和流程。组织应考虑制定程序（见 SR-1），用于分配系统及系统组件源信息的创建、维护和监控的职责；在组织之间转移源信息文档和责任；以及防止和监控对源信息记录的未经授权的更改。组织有方法记录、监控和维护系统、系统组件及相关数据的有效来源基线。这些措施有助于跟踪、评估和记录来源的任何变化，包括供应链元素或配置的变化，并有助于确保来源信息和来源变更记录的不可否认性。在整个系统开发生命周期中都会考虑来源问题，并在适当情况下将其纳入合同和其他安排中。