<tt id="8hexo"></tt> 
?
信息系統由在多種安排之下相互連接以滿足各種業務、任務和信息安全需要的許多組件組成。這些信息系統組件是如何聯網、配置和管理的,對于提供適當信息安全和支持機構風險管理進程來說,至為關鍵。
?
信息系統由于要面對各種因素,如全新的、得到強化的、糾正了錯誤的或升級更新了的硬件和軟件能力,用于彌補軟件缺陷和現有組件中存在的其他錯誤的補丁,不斷變化的業務功能等,往往處在持續的變動狀態之下。信息系統變動的執行幾乎無一例外地會導致系統配置作某些調整。要想確保被要求的系統配置調整不致于對信息系統以及運行信息系統的機構的安全造成負面影響,建立一個與信息安全融為一體的定義明確的配置管理流程是必不可少的。
?
機構可以通過配置管理(CM)來建立基限,通過配置管理來跟蹤、控制和管理業務發展和運行的方方面面(例如產品、服務、制造、業務流程和信息技術)。有了一個強健有效的配置管理流程之后,機構需要考慮信息安全對于包括硬件、軟件、應用和文檔在內的信息系統的開發和運行究竟意味著什么。信息系統的有效配置管理,要求將安全配置的管理融入整個機構的配置管理流程。出于這一原因,本文認定,信息安全是機構總體配置管理流程的一個不可分割組成部分;不過,本文的重點是如何在信息系統安全方面執行配置管理,因而用以安全為重點的配置管理(SecCM)的說法來強調作為重中之重的信息安全。
盡管IT業務應用功能和以安全為重點的實踐規范預計會作為單獨的流程融入進來,但是在本文的語境中,以安全為重點的配置管理(SecCM)被定義為:對信息系統的配置進行管理和控制,以確保安全性和協助對信息安全風險的管理。
