目录
一、概述
二、目标
三、输入
四、要求和建议
4.1 供应商能力
4.2 报价申请
4.3 责任的协调
五、输出
一、概述
如果分发了一个项目或组件的网络安全活动的责任,则适用本条款。
本条款描述了对分布式网络安全活动的管理,并适用于:
-
- 在分布式活动中开发的项目和组件;
- 客户和供应商之间的互动;以及
- 本协议适用于客户/供应商接口的所有阶段。
内部供应商可以通过与外部供应商一样的方式进行管理。
例如,在开发期间,tier-1可以是OEM的供应商,而在另一个合同关系中,tier-1可以是一个组件的tier-2的客户。这一点如图8所示。
二、目标
本条款的目的是在客户和供应商之间定义分布式网络安全活动的交互、依赖关系和责任。
三、输入
无。
四、要求和建议
4.1 供应商能力
【RQ-07-01】应评估候选供应商根据本文件进行开发和执行开发后活动的能力。
【RQ-07-02】为了支持客户对供应商能力的评估,供应商应提供网络安全能力的记录。
4.2 报价申请
【RQ-07-03】由客户向候选供应商提出的报价请求应包括:
-
- 符合本文件的正式要求;
- 对供应商按照章节7.4.3的规定所承担的网络安全责任的期望;
- 与供应商所报价的项目或组件相关的网络安全目标和/或网络安全要求集。
4.3 责任的协调
【RQ-07-04】客户和供应商应在网络安全接口协议中指定分布式的网络安全活动,包括:
-
- 指定客户和供应商关于网络安全的联系点;
- 识别将分别由客户和供应商执行的网络安全活动;
- 如果适用,根据章节6.4.3对网络安全活动进行联合裁剪;
- 需要共享的信息和工作产品;
- 关于分布式网络安全活动的里程碑;
- 对项目或组件的网络安全支持结束的定义。
【RQ-07-05】在分布式网络安全活动开始之前,客户和供应商应共同达成网络安全接口协议。
【RQ-07-06】如果存在需要根据[RQ-08-07]进行管理的漏洞,客户和供应商应就这些行动的行动和责任达成一
致。
【RQ-07-07】如果要求不明确、不可行,或与其他网络安全要求或其他学科的要求相冲突,客户和供应商应相互通知对方,以便作出适当的决策和行动。
【RQ-07-08】职责应在职责分配矩阵中作出明确规定。
五、输出
【WP-07-01】网络安全接口协议,由章节7.4.3 要求产生
