◇BP.01.02管理安全配置

所有設備的安全配置需要管理。該基本實施認為，系統安全很大程度上依賴于許多相關組件（硬件、軟件與程序），而常規配置管理實施則不必關心安全系統所需的相互關聯性。

工作產品示例：。

(1)所有軟件更新的記錄——記錄系統的所有軟件與軟件更新的許可證、序列號和回執，包括日期、個人責任和修改描述。

(2)所有發布問題的記錄——包括對軟件發布期間所遇到的任何問題以及怎樣解決它的描述。

(3)系統安全配置——描述系統硬件、軟件及通信的當前狀態的數據庫，包括硬件位置、軟件發布和相關的信息。

(4)系統安全配置的修改——描述對系統安全配置的任何修改，包括修改人的名字、 修改的描述、修改的理由以及修改的時間。

(5)所有確認的軟件更新記錄——一個跟蹤軟件更新的數據庫，包括修改的描述、修改人的名字以及修改的時間。

(6)可信軟件發布的定期綜述——描述最近的可信軟件發布活動，注意到出現的任何困難和作用情況。

(7)安全需求修改——跟蹤對系統要求所作的任何修改，修改的原因可能是基于安全理由或對安全有影響。這樣有助于保證修改及其作用是合乎安全策略的。

(8)對設計文檔進行安全修改——跟蹤對系統設計文檔所作的任何修改，修改的原因可能是基于安全理由或對安全有影響。這樣有助于保證修改及其作用是合乎安全策略的。

(9)控制的實現——描述系統中安全控制的實現，包括配置的詳細情況。

(10)安全審核——描述相對于所希望控制實現的系統安全控制的當前狀態。 (l l)控制處置——描述刪除或取消安全控制的程序，包括過度控制計劃。

維護任何系統中安全控制配置的當前狀態是一項復雜的任務，特別是對于大型的分布式系統更是如此。配置本身的某些方面對于保護安全是至關重要的。有效的安全需要記錄一 些特定信息，這些特定信息是與組成該系統的安全控制機制有關的，并且通常不用于其它科目。同樣，必須對現有系統提出的修改進行評估，以便確定這些修改對整個系統安全狀態的影響。

特別是在分布式環境中，需要有相應的程序來保證軟件或應用的特定模塊的所有拷貝都是相同的合適版本。此外，特別是當該軟件通過網絡本身進行發布時，那么保證該軟件在發布過程中不被損傷是至關重要的。這些要求適用于所用軟件。

該基本實施應該保證該軟件只執行那些希望的功能；維持一個密封的標準版本；該軟件的所有拷貝是相同的；更新需要進行確認；安全控制配置是已知的和可維護的。