NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

安全和隐私功能性需求通常来源于 SA-2 中描述的高级安全和隐私需求。衍生的需求包括安全和隐私能力、功能和机制。与此类能力、功能和机制相关的强度要求包括正确性程度、完整性、抗篡改或绕过能力以及抗直接攻击能力。保证要求包括开发过程、程序和方法，以及来自开发和评估活动的证据，这些证据为确信所需功能已实现并具有所需机制强度提供依据。[SP 800-160-1] 将需求工程过程描述为系统开发生命周期的一部分。控制可以被视为对适当的防护措施和保护能力的描述，这些措施和能力旨在实现组织的特定安全和隐私目标，并反映利益相关方的安全和隐私要求。控制的选择和实施是为了满足系统需求，包括开发者和组织的责任。控制措施可以包括技术、管理和物理方面。在某些情况下，控制措施的选择和实施可能需要组织通过派生要求或已实例化的控制参数值来进行额外的规范。派生的需求和控制参数值可能是提供系统开发生命周期中控制实施适当细节所必需的。安全和隐私文档要求涵盖系统开发生命周期的所有阶段。文档为用户和管理员提供了控制实施和操作的指导。此类文档所需的详细程度取决于系统的安全分类或等级，以及组织在多大程度上依赖这些系统的能力、功能或机制来满足风险应对要求。要求可能包括规定的配置设置，这些设置明确允许的功能、端口、协议和服务。系统、系统组件和系统服务的验收标准的定义方式与任何组织收购或采购的标准相同。