在復(fù)用分析時，有以下幾點需要重點考慮：

確定復(fù)用組件修改了哪些地方，或所在環(huán)境發(fā)生了哪些變化；

分析修改導(dǎo)致的網(wǎng)絡(luò)安全影響，包括對網(wǎng)絡(luò)安全聲明的有效性和之前的假設(shè)的影響；

確定因此受影響或缺失工作產(chǎn)品，比如TARA中新的資產(chǎn)、威脅場景等。

確定復(fù)用的組件是否能滿足即將被分配到的網(wǎng)絡(luò)安全需求

獨立的組件（Component out of context)

獨立的組件通常指供應(yīng)商開發(fā)的通用組件或產(chǎn)品，該組件的開發(fā)是基于一個假設(shè)的環(huán)境，而非基于特定的項目。對于此類組件，21434要求在工作產(chǎn)品中對其預(yù)期的用途、環(huán)境假設(shè)和外部接口進行記錄，然后基于以上的假設(shè)進行網(wǎng)絡(luò)安全開發(fā)，并對假設(shè)和安全聲明進行驗證。

現(xiàn)成組件（Off-the-shelf Component）

現(xiàn)成組件指在不修改其設(shè)計和實現(xiàn)情況下集成到系統(tǒng)中的組件，如第三方的軟件，開源軟件庫等。對于此類組件，21434要求其必須收集其相關(guān)的網(wǎng)絡(luò)安全文檔，且相關(guān)文檔需足以支持本文規(guī)定的網(wǎng)絡(luò)安全活動。同時，該組件還要能滿足分配到其上的網(wǎng)絡(luò)安全需求。

網(wǎng)絡(luò)安全案例（Cybersecurity case)

網(wǎng)絡(luò)安全案例是網(wǎng)絡(luò)安全評估的對象，它是從概念階段到開發(fā)驗證和生產(chǎn)運維階段整條邏輯鏈上完整的網(wǎng)絡(luò)安全開發(fā)證據(jù)，可以通過相應(yīng)的工作產(chǎn)品加以支持。在形式認(rèn)證中，認(rèn)證機構(gòu)大概率會以網(wǎng)絡(luò)安全案例為對象，進行相關(guān)的審核。

網(wǎng)絡(luò)安全評估（Cybersecurity Assessment)

網(wǎng)絡(luò)安全評估的對象是某個相關(guān)項或組件，依照本文檔的規(guī)定評估其網(wǎng)絡(luò)安全的實施情況，評估可基于工作產(chǎn)品和網(wǎng)絡(luò)安全活動證據(jù)，評估的結(jié)果包括接受、帶條件接受和拒絕。帶條件接受通常會在評估結(jié)果中提出整改要求，并會在項目各個階段對整改項的完成情況進行監(jiān)控。下圖顯示了組織網(wǎng)絡(luò)安全審計，項目網(wǎng)絡(luò)安全評估和其它網(wǎng)絡(luò)安全活動之間的關(guān)系：

后開發(fā)的釋放（Realease for Post-Development)

這里所說的后開發(fā)的釋放，其實就是指開發(fā)階段完成，批準(zhǔn)進入到生產(chǎn)階段，有點類似于網(wǎng)絡(luò)安全開發(fā)的ESO。21434規(guī)定在進入生產(chǎn)階段前，必須提供以下工作產(chǎn)品：

華菱咨詢位于中國長三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機構(gòu)。

經(jīng)過20多年的發(fā)展與實踐沉淀，華菱咨詢將利用深厚的行業(yè)知識，幫助客戶把握新機遇，評估和管理風(fēng)險，以實現(xiàn)負(fù)責(zé)任的增長。華菱咨詢高績效的跨學(xué)科團隊可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進步真正推動業(yè)務(wù)的發(fā)展。

版權(quán)聲明：