◇BP.10.05  捕捉高層的安全目標

本基本實施的目的是，識別出在運行環境中怎樣提供足夠的安全才能使該系統滿足其安全目標。PA06“建立保證論據”中確定的系統保證目標可能對安全目標產生影響。

工作產品示例：

(1)運行／環境的安全策略——資產怎樣在一個組織的內部和外部進行管理、保護和發布的規則、指令和實施。

(2)系統安全策略——資產怎樣被系統或產品進行管理、保護和發布的規則、指令和實施。

目標應該是盡可能地獨立于任何特殊的具體實現。當為了做出有科學依據的工程選擇，

而要決定安全約束條件和需考慮的問題時，如果因為現有環境而存在特殊約束條件，那么它們應在PA09“提供安全輸入”中被提出。作為最低限度的安全目標，應提出系統和信息的可用性、可記錄性、真實性、機密性、完整性和可靠性要求。

◇BP.10.06  定義安全相關需求

本基本實施的目的是定義與系統的安全相關的需求。該實施應確保每個需求與可適用的策略、法律、標準、安全需求以及系統的約束條件協調一致。這些需求應完全地定義出系統的安全需求，包括那些通過非技術手段提供的需求。通常有必要定義或確定目標的邏輯或物理邊界，以確保所有的方面都被提到。這些需求應與系統目標建立映射關系或發生關聯。與安全相關的需求應被清楚地、簡明地陳述，而且彼此不應發生矛盾。無論何時，安全都應對系統功能和性能的任何影響降到最小。與安全相關的需求應在目標環境中對系統安全的評價提供一個基礎。王作產品示例：

(1)與安全相關的需求——直接影響系統的安全運行，或強加在某一特殊安全策略的一致性需求。

(2)可跟蹤模型——將安全需求映射成為必需條件、解決方法（例如，體系結構、設計、實現）、測試和測試結果。

這里需要注意的是，許多需求應用于多種科目，所以幾乎沒有什么需求是安全所專有的。因此，這一過程區域需要同其它的科目進行大量的協調，正確地產生出系統真正所需的結果。與這些相互作用相關的活動在PA07“安全協調”中有描述。

◇BP.10.07  達成安全協議

該基本實施的目的是，在系統的安全需求中所有適用部分與特定安全之間達成協議。在一般性用戶組被識別（而不是具體用戶）的情況下，特定的安全需求要滿足目標的集合。特定的安全需求應該是完整地、一致地反映對策略、法律和用戶需求的管理。問題應被識別并修改直到達成協議。工作產品示例：

(1)被審定的安全目標——陳述需對抗的已識別的威脅，和／或遵從已識別的安全策略（已被顧客認可）的計劃。

(2)與安全相關的需求基線——在特定的重要階段，被所有的適用部分（特別是顧客）認可的，與安全相關的最低要求。