ISO15026-3-2023系统和软件工程系统和软件保障第3部分：系统完整性级别（中文文字版）.docx

《ISO15026-3-2023系统和软件工程系统和软件保障第3部分：系统完整性级别（中文文字版）.docx》由会员分享，可在线阅读，更多相关《ISO15026-3-2023系统和软件工程系统和软件保障第3部分：系统完整性级别（中文文字版）.docx（40页珍藏版）》请在课桌文档上搜索。

1、国际标准ISO/IECIEEE15026-3第三版2023-10系统和软件工程一系统和软件保障一第3部分：系统完整性级别IngnierieduIogicieletdessystmesAssuranceduIogicieletdessystmes一Partie3：NiveauxdintegritedusystemeIEEE参考编号ISO/IEC/IEEE15026-3：2023(E)国际标准化组织/国际电工委员会2023IEEE2023国际电ee受版权保护的文档国际标准化组织/国际电工委员会2023IEEE2023国际电ee保留所有权利。除非另有规定，或在其实施过程中另有要求，否则未经事先书面许

2、可，不得以任何形式或任何电子或机械方式(包括影印或在互联网或内联网上发布)复制或使用本出版物的任何部分。可以向以下相应地址的ISO或IEEE申请许可，也可以向申请者所在国家/地区的ISO成员机构申请许可。ISO版权局电气和电子工程师协会CP401Ch.deBlandonnet83ParkAvenue,纽约CH-1214Vernier,GenevaNY10016-5997,USA电话：+41227490111传真：+41227490947电子邮件:copyrightiso.orgEiL子M件：StdS.iprieee.org网站：WWW.iso.org网站：WWW.ieee.org瑞士出版内容前

3、言iv1. 范围12. 规范性参考文献13. 术语和定义14. 定义完整性级别31. 本条款3的用户2. 定义完整性等级的适当区域33. 指定完整性级别4的上下文1. 指定与系统相关的信息42. 指定与风险相关的信息44. 指定完整性级别声明和完整性级别51. 关键概念52. 指定完整性级别声明63. 指定一组完整性级别75. 指定完整性级别要求81. 指定一组完整性级别要求82. 指定完整性级别与其完整性之间的理由级别要求86.指定完整性级别确定过程95.使用完整性级别91. 本条款9的用户2. 使用完整性级别10的目的3. 使用完整性级别10的结果6. 系统完整性级别确定111. 一般问题

4、112. 系统完整性等级确定过程的目的113. 系统完整性等级确定过程的结果124. 系统完整性等级确定过程的活动127. 分配系统元素完整性级别131. 分配系统元素完整性级别过程的目的132. 分配系统元素完整性级别过程的结果133. 分配系统元素完整性级别过程的活动138. 满足完整性级别要求141. 一般问题142. 满足完整性等级要求的目的143. 满足完整性级别要求的结果144. 二、满足诚信等级要求的活动149. 一、协议和批准机构16附件A（信息性）ISOIECIEEEI50263的使用示例17参考书目21IEEE通知和摘要22前言ISO（国际标准化组织）和IEC（国际电工委员

5、会）构成了全球标准化的专业体系。作为ISO或IEC成员的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参与国际标准的制定。ISo和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组织，无论是政府还是非政府组织，都与国际标准化组织和国际电工委员会联络，也参与了这项工作。ISO/IEC指令第1部分描述了用于制定本文档的程序以及用于进一步维护的程序。特别是，应注意不同类型文件所需的不同批准标准本文件是根据ISO/IEC指令第2部分的编辑规则起草的（参见第WWW.iso,orgdiectives或WWW.ivc.chmmbersexperts/refdocs）。IEEE标准文件由IE

6、EE协会和IEEE标准协会（IEEE-SA）标准委员会的标准协调委员会制定。IEEE通过美国国家标准协会批准的共识制定过程来制定其标准，该过程将代表不同观点和兴趣的志愿者聚集在一起，以实现最终产品。志愿者不一定是研究所的成员，并且无偿服务。虽然IEEE负责管理该过程并制定规则以促进共识制定过程中的公平性，但IEEE并不独立评估、测试或验证其标准中包含的任何信息的准确性。ISO和IEC提请注意本文件的实施可能涉及使用（a）专利的可能性。ISo和IEC对任何己主张的专利权的证据、有效性或适用性不持任何立场。截至本文件发布之口，ISO和IEC尚未收到实施本文件可能需要的（a）专利的通知。但是，请实施

7、者注意，这可能不代表最新信息,这些信息可以从www.iso.org/patents和https:PatentS.iec.ch提供的专利数据库中获得。ISO和IEC不负责识别任何或所有此类专利权。本文档中使用的任何商品名称均为方便用户而提供的信息，并非构成背书。有关标准的自愿性质的解释、与合格评定相关的ISo特定术语和表达的含义，以及有关ISO在技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则的信息，请参www.iso.org/iso/foreword.htmlOiIEC1l,*i1lwww.iec.ch/understandingstandards本文件由联合技术委员会ISO/IECJ

8、TCK信思友次、小组委员会SC7、软件和系统工程，与IEEE计算机学会系统制软件工程标准委员会合作编写，根据ISO和IEEE之间的合作伙伴标准开发组织合作协议。第三版取消并取代了第二版（ISO/IEC15026-3：2015）,后者己经过技术修订。主要变化如下： 删除ISO/IEC/IEEE15026-1：2019中已包含的重复术语条目，但为便于参考，本版中包含的一些基本术语； 对每个参考文献当前版本的规范性参考文献进行了更新。ISO/IEC/IEEE15026系列中所有器件的列表可在ISO和IEC网站上找到。有关本文档的任何反馈或问题应直接向用户的国家标准机构提出。这些尸体的完整清单用WWW

9、.iso.org/members.html和www.iec.ch/national-committeeScISO/IEC2023-版权所有V系统和软件工程一系统和软件保障一第3部分：系统完整性级别1.范围本文档规定了完整性级别的概念，以及实现完整性级别的相应完整性级别要求。提供了定义和使用完整性级别及其相应的完整性级别要求的要求和推荐方法。本文档涵盖系统、软件产品及其元素，以及相关的外部依赖关系。本文档适用于系统和软件，供以下人员使用：1. 诚信等级的定义者，如行业和专业组织、标准组织和政府机构；2. 完整性级别的用户，例如开发人员和维护者、供应商和收购方、系统或软件用户、系统或软件的评估者以

10、及系统和/或软件产品的行政和技术支持人员。诚信级别的一个重要用途是供应商和收购方在协议中，例如，帮助确保交付系统或产品的安全、财务或安保特性。本文档未规定一组特定的完整性级别或其完整性级别要求。此外，它没有规定完整性级别使用与整个系统或软件工程生命周期过程集成的方式。但是，它确实提供了在附件A中使用该文件的示例。3. 规范性参考文献以下文件在正文中引用的方式是，其部分或全部内容构成本文件的要求。对于注明日期的参考文献，仅引用的版本适用。对于未注明日期的参考文献，适用参考文献的最新版本（包括任何修订）。ISO/IEC/IEEE12207,系统和软件工程-软件生命周期过程ISO/IEC/IEEE1

11、5288,系!统和软件工程-系统生命周期过程ISO/IEC/IEEE15026-1,系统和软件智-系统和软件保障-第1部分：概念和词汇4. 术语和定义就本文档而言，ISO/IEC/IEEE15026-1和以下条款中给出的术语和定义适用。150. IEC和IEEE维护术语数据库，用于以下标准化地址：oISO在线浏览平台：可在https:WWW.iso.org/obp/ui IECElectropedia:可在https:WWW.electropedia.org处获得 IEEE标准词典在线：可在https:dictionary.ieoe.org获得3.1完整性级别利益系统满足相关完整性级砥踮的置信

12、度（3.4）条目注1:相关社区尚未就“完整性”的定义与“完整性级别”中的使用一致。因此，本文件中没有关于完整性的单独定义。条目注释2：完整性级别与满足完整性级别声明的可能性不同，但它们密切相关。注3:“信心”一词意味着诚信程度的定义是一个主观概念。注4：在本文件中，完整性级别是根据风险定义的，因此包括安全、安保、财务和与利益系统相关的任何其他风险方面。资料来源：ISO/IEC/IEEE15026-1：2019,3.3.1,已修改条目注释1已修订，以更准确、更清晰删除了对1SO/IEC25010的引用;在条目注释4中，“经济”已替换为“金融”。3.2诚信等级保证机构负责证明符合该管等级鎏求的独立

13、个人或组织（3.5）来源：ISO/IEC/IEEE15026-1：2019,3.5.4,已修改一该术语已从“诚信保证机构”更改为“诚信等级保证机构”。3.3完整性级别定义权限负责定义完整性级别和完整性级别要求的个人或组织3.4完整性级别声明命题表示对在相关系统的风险处理过程中确定的风险降低措施的要求。注1:一般而言，完整性等级声明是根据要求来描述的，当满足这些要求时，将避免、控制或减轻危险情况的后果，并提供可容忍的风险。注2：IEC61508中可被视为完整性等级声明的声明是E/E/PE安全相关系统在所有规定条件下令人满意地执行指定的安全功能。资料来源：ISO/IEC/IEEE15026-1：2

14、019,3.3.4,已修改条目的注释1和2已修订，以更准确、更清晰。3.5完整性级别要求满足这些要求后，将对相关完整性级砥组JLM）提供与相关完整性级别口）相称的置信度）来源：ISOIECIEEEl5026-1:2019,3.3.2,已修改一条目注释1已删除。0,定义完整性级别1. 本条款的用户此子句解释了为特定系统域定义一组完整性级别的过程以及相关产品的一般要求，例如完整性级别、完整性级别声明和完整性级别要求。因此，该条款的用户是制定规范以定义一组完整性级别的组织。这些组织被称为诚信等级定义机构，包括国际或国内标准化组织、任何其他标准化组织、任意行业组织或组织中负责组织合同管理政策或标准的部

15、门。图1显示了定义完整性级别的过程的概述。加磔的响汽蟠吸电苏嘲阻止加呻羸钥匙表示福呈流（为简单起见，不显示流程迭代）图1定义完整性级别2. 用于定义完整性级别的适当区域并非所有区域都适合定义和使用完整性级别。只有当执行定义的人员充分理解该领域的大量相关经验时,才应为该领域定义完整性等级。完整性级别可用于风险水平（例如高、中、低）可以明确定义。每个风险级别都为满足完整性级别声明所需的不同置信度提供了基础。注意：保证案例通过为诚信级别相关定义和方法提供合理的论据,与诚信级别一起工作，以证明完整性级别的实现。在相关经验较少或不太了解的领域，它们的重要性会增加。3. 指定完整性级别的上下文1. 指定与

16、系统相关的信息完整性级别定义机构应指定有关目标区域中系统的以下信息，以阐明所定义的完整性级别的适用范围：1. 定义目标系统类别；2. 对环境的假设。注意目标系统类别定义的示例可在IEC61508和ISO26262系列中找到。IEC61508和ISO26262系列系统目标类别的定义涉及“用于执行安全功能的电气/电子/可编程电子（E/E/PE）系统”和“包括一个或多个电气和/或电子（E/E）系统的安全相关系统，并安装在最大车辆总质量高达350Okg的批量生产乘用车上，分别。2.指定与风险相关的信息完整性级别定义机构应指定以下与目标区域中系统相关的风险信息，以阐明所定义的完整性级别的适用范围：1.

17、权益财产；2. 可能的不良后果；3. 可能的危险情况以及与危险一起的环境状态条件将导致不良后果；4. 风险标准；5. 可容忍的风险；6. 对风险降低措施结构的假设。注1虽然一般来说,风险是不确定性的负面或正面影响（ISo指南73）,但本文档重点关注负面影响的风险。有关感兴趣属性的信息给出了负面影响的定义。不良后果可能具有（但不限于）以下属性: 对导致后果的事件的描述； 事件发生的可能性； 后果的严重性； 事件的可控性；事件的曝光（时间）。危险情况可以按导致该条件的事件类型进行分类。应考虑以下事件类型：随机故障;O系统性故障；O由系统元素之间的交互引起的故障，这些系统没有任何故障兀O由环境元素和

18、系统元素之间的交互导致的故障（例如，由威胁代理引起的故障）。还应考虑危险情况的可能性。风险标准指定了系统相关风险的含义，并用于指定可容忍的风险。风险标准被定义为与适用的合同、法律和监管约束相一致，这些约束可以作为可容忍风险的基础。在指定风险标准之前，定义将评估风险的类别。这些风险类别可能包括：人类健康和安全;环境保护;遵守法律和法规;安全;成本;项目进度;声誉;和性能。为适用类别定义了严重性和可能性的等级。利益相关者通常会合作并就风险标准达成一致。降低风险的措施不仅包括用于降低风险的系统部分，例如，固有的安全设计，以及与安全或安保相关的功能，还包括处理风险的组织支持或社会框架，例如，操作员的应

19、急计划、用户手册中的警告以及开发人员的安全或安保相关标准或法规。应采用减少风险措施的结构，以澄清哪些部分由目标系统类别负责。典型的结构是多层保护结构，以确保安全。对风险降低措施结构的假设由以下标准构成：O多层结构，以降低环境和目标系统的风险；O系统中与降低风险措施相关的部分，包括未定义或未独立识别的部分；O包含人为因素的风险降低措施；风险降低措施功能丧失的可检测性;执行风险降低措施的需求频率。注2IEC61508假设安全相关系统可以独立识别。注3：ISO26262系列假设驾驶员在安全相关机制中发挥重要作用，包括事件的可控性等方面。注4IEC61508给出了三组完整性级别，每组级别对应于执行功能

20、安全机制的需求模式。1. 指定完整性级别声明和完整性级别2. 关键概念图2描述了本文档中关键概念之间的关系。完整性级别框架的目标是实现相对于相关系统及其环境的可容忍风险。完整性级别声明是对在相关系统的风险处理过程中确定的风险降低措施的要求。完整性级别声明的满足应避免、控制或减轻利益系统的任何危险情况。危险条件与特定环境状态相结合会导致不利后果。风险处理过程应产生可容忍的风险，其中风险的特征是其不良后果，具有严重性和可能性的属性。Rk钥匙表示“A是B旬SA是B图2-关键概念之间的关系完整性级别是利益系统满足其完整性级别声明的置信度。完整性级别要求是指在满足时将提供必要程度的置信度的要求。3. 指

21、定完整性级别声明诚信级别声明是关于风险降低措施的主张，如果声明属实，则可实现可容忍的风险。完整性级别声明应为满足以下条件的声明：1.声明应是关于目标系统类别中的系统以及为该系统采取的风险降低措施的主张；2.应说明对环境或系统条件的任何假设，这些假设是完整性级别声明有效的先决条件。在风险处理过程中，可以达到可容忍的风险。作为风险治疗的手段，可以有几种不同的选择;索赔可能因这些方式而异。引入危险条件的概念是为了捕捉导致一种或多种不利后果的潜在情况，并考虑消除或避免不良后果的方法（图3）。因此，完整性级别声明通常根据危险条件进行定义： 声称危险情况得到控制； 声称避免了危险情况； 上述陈述的组合。I

22、Llilftru犬况?口完整性等级声明之间的关系另一种类型的诚信等级声明可以考虑用于其他风险降低措施，包括处理风险源和不利后果：声称风险源已被移除;O声称减轻了不利后果；O上述陈述的组合。对于定义一组完整性级别，不需要精确的声明。例如，声明可能只是说明假设的风险降低措施以预期的方式执行。注1风险处理的典型选项可在ISO31000中找到。注2：索赔可以是上述风险处理方案的任意组合的陈述。注3IEC61508中可被视为完整性等级声明的命题是关于E/E/PE安全相关系统在所有规定条件下令人满意地执行指定安全功能的命题。注4ISO26262中提供了将消除风险源和减轻不利后果相结合的完整性级别声明示例。

23、在此示例中，ISO26262要求满足为物品的每个危害定义的安全目标。1. 指定一组完整性级别完整性级别分配给感兴趣的系统或系统元素，并与系统相关的最坏情况风险相对应。完整性级别通常表示为一组级别，例如1、2和3或a、b和Co系统的完整性级别应根据与系统相关的所有风险类别中的最严重风险来定义。完整性级别集应满足以下要求。1. 一组完整性级别中的每个完整性级别都应具有唯一标识符。2. 完整性级别应根据以下各项的组合进行定义：1.与利益系统相关的最坏情况风险;2.满足完整性级别要求以实现可容忍风险所需的必要可能性（考虑到环境处于危险条件的先决条件状态导致不利后果的可能性）。3. 应根据可能性的程度给

24、出一套完整性级别。满足完整性水平要求的可能性应以“减轻功能的可靠性”或“危险情况发生率限制”来表注1:可能性的典型表达是概率范围。注2：IEC61508使用术语“安全功能要求发生危险故障的概率”和“安全功能危险故障的频率”。2. 指定完整性级别要求1.指定一组完整性级别要求一组完整性级别要求与一组完整性级别相关联，并定义为那些为满足完整性级别声明提供适当置信度的要求。一组完整性级别要求应满足以下属性。1. 每个完整性级别要求都指定了需要哪些证据来证明满足该要求。2. 每个完整性级别要求都经过定义，以便可以客观地证明符合要求。典型的完整性级别要求指定以下内容： 从ISO/IEC/IEEE1528

25、8或ISO/IEC/IEEE12207中的技术过程中获得的要求和设计规范文件的必要质量属性; 测试所需的测试覆盖率标准； 对系统及其元素进行的具体分析； 提供定量数据； 系统或软件生命周期过程； 具体的系统开发流程模型； 在开发过程中使用的具体方法； 在系统开发过程中使用的特定工具； 用于支持基于使用历史记录的声明的证据。1.指定完整性级别与其完整性级别之间的理由要求每组完整性级别要求的充分性的书面证明是完整性级别定义机构做出的主观决定。必要的置信度和提供该置信度的完整性级别要求集取决于用于定义完整性级别的风险。4.6指定完整性级别确定过程完整性级别定义机构应根据第67ffi9条定义用于确定系

26、统完整性级别连统元素完整性级别和实现所需完整性级别的过程指南。工艺指南应包含以下工艺：1. 确定系统完整性级别；2. 为系统元素分配完整性级别，包括定义允许系统元素具有低于系统完整性级别的先决条件；3. 在系统的设计变更过程中保持完整性级别。1. 本条款的用户完整性级别框架用于在相关利益相关者之间分享对系统风险的共同理解，尤其是在系统的开发人员和用户之间。开发人员可以包括组织中的开发分支、系统集成商和供应商。通常，开发人员在确定所需的完整性级别和准备证明符合完整性级别要求的证据方面发挥作用。这些开发人员的角色称为设计权威。用户还根据目标系统类别的特性而有所不同。已实现可容忍风睑的协议通常基于某

27、些第三方组织的认证结果。在本文件中，此类第三方个人或组织称为诚信等级保证机构，该机构应根据为证明符合诚信等级要求而产生的客观证据批准系统的设计。圄生示出了由完整性级别定义机构提供的相关产品以及由用户建立的一组完整性级别的产品。EstahIisIuHlinannlegrtylcvclrt,laltaldefinition(dnsk-rclrtrlpoposiligMtl1*tjurr11wnts(Correspondingrequirements)EstjblisliedbyuserIntegrity level ;aim tor【he system Uf MHCrCfIRequirud inu

28、grity levelHIAssignment of systemdement nregnry levels Il system I，elrirt nte!i l*,cl) *Evidence(Required evidence)钥匙IILrII1.-J产品翔U产品的实例图4完整性级别相关产品及其来源2. 使用完整性级别的用途诚信等级的使用有助于为利益相关者的信心和支持他们的决策提供依据。完整性级别还提供了一种通用语言，用于在多个利益相关者之间分享对利益系统中风险的理解。3. 使用完整性级别的结果由于成功使用了完整性级别：1. 定义了足够的完整性级别声明，其满意度达到系统可容忍的风险2. 确定

29、完整性等级要求是为了指导项目规划，并规定设计机构和完整性等级保证机构之间就系统的验收标准达成协议；3. 识别完整性级别低于系统完整性级别的系统元素;以及系统的架构特征，证明其较低的完整性级别以足够详细的级别进行记录，以证明较低的完整性级别元素不能阻止或阻碍较高完整性级别元素的性能；4. 提供客观证据，提供足够的信心，证明诚信水平声明在必要的信心水平下得到满足。2.系统完整性级别确定1. 常规系统完整性级别的确定通常在系统开发生命周期的早期完成，因为需要将完整性级别要求输入到项目规划过程中。完整性级别确定应作为定义利益相关者要求的过程的一部分。应确定整个相关系统的系统完整性级别。系统完整性级别是

30、根据风险管理过程结果中的信息确定的。系统完整性级别确定过程作为风险管理过程的过程视图给出。要确定系统完整性级别，需要有关相关系统的信息来确定危险情况。注1风险管理流程的详细说明见ISO/IEC/IEEE15288sISO/IEC/IEEE12207xISO/IEC/IEEE16085和ISO31000尽管这些国际标准中的一些术语不同，但它们的基本思想是相同的。注2关于定义利益攸关方需求和要求定义过程以及项目规划过程的详细说明，请参见ISO/IEC/IEEE15288和ISO/IEC/IEEE12207图兰显示了与完整性级别相关过程相关的示例过程，包括确定系统完整性级别、分配系统元素完整性级别和

31、满足完整性级别要求。钥匙表示福呈流J中与系统完整性级别确定过程相关的过程2. 系统完整性级别确定过程的目的系统完整性级别确定过程的目的是建立与实现可容忍风险相一致的系统完整性级别，并在相关利益相关者之间分享对这些风险的理解。3. 系统完整性级别确定过程的结果成功实施系统完整性级别确定过程的结果：1. 确定需要分享风险理解的利益相关者；2. thestandardwhichdefinesthesetofintegritylevelsusedisidentified;3. ariskprofileisobtainedasaresultofapreliminaryriskassessmentproc

32、esses,includinginformationoneachriskcontainingatleastthetolerablerisk,potentialadverseconsequences,dangerousconditions,risksources,andtheresidualrisk;4. theintegritylevelclaimsareidentified;5. therequiredsystemintegritylevelisdeterminedandagreedamongtherelated-stakeholders;f)integritylevelrequiremen

33、tsassociatedwiththesystemintegritylevelareidentified.Theriskprofileisobtainedbyatleastonecycleofthesetoftheriskassessmentprocesses,i.e.riskidentificationprocess,riskanalysisprocessandriskevaluationprocess.Afterobtainingthefirstversionoftheriskprofile,arequiredsystemintegritylevelcanbedeterminedfromt

34、herequiredextentofriskreductionfromtheestimatedrisktoachievethetolerablerisk.4.系统完整性级别确定过程的活动系统完整性等级确定过程应通过应用ISO/IEC/IEEE15288或ISO/IEC/IEEE12207的以下过程来实现。下面显示的每个过程的活动源自ISO/IEC/IEEE15288或ISO/IEC/IEEE12207,但特定于确定系统完整性级别。1. 利益相关者需求和要求定义过程提供以下活动：1. 确定需要分享对系统风险的理解的利益相关者利息；2. 确定定义一组完整性级别的标准；3. 根据系统的利益相关者要求

35、定义完整性级别声明-感兴趣的。2. 系统需求定义流程，调用风险管理流程，提供以下活动：1. 给出利益体系的定义；2. 确定风险标准和利益系统的可容忍风险；3. 分析相关系统的风险,并将结果记录在风险简介中；4. 给出降低风险任务的结构，包括由以下系统实施的任务：利息；5. 评估风险并将结果记录在风险简介中；6. 确定所需的系统完整性级别；7. 根据相关系统的系统要求，指定与所需系统完整性级别相关的完整性级别要求。在确定利益体系时，应从利益体系是减少风险措施总体结构的一部分这一观点出发。在上述活动中，每项工作成果都应由相关利益攸关方商定。项目规划过程应使用所需的系统完整性级别。1. 分配系统元素

36、完整性级别过程的目的分配系统元素完整性级别过程的目的是为系统元素分配与该元素在系统中贡献的风险降低程度一致的完整性级别。2. 分配系统元素完整性级别过程的结果分配系统元素完整性级别过程的结果应包括以下项目：1. 识别一组系统元素；2. 对于每个系统要素，确定相关利益攸关方，并同意确定所有相关利益攸关方；3. 对于每个系统元素，确定系统元素所需的完整性级别，并相关利益攸关方达成一致。4. 分配系统元素完整性级别过程的活动分配系统元素完整性级别过程应通过应用1S0/1EC/IEEE15288中的系统架构定义过程或ISO/IEC/IEEE12207的架构定义过程来实施，并调用风险管理过程。（图6）。

37、钥匙表示福呈流这些活动源自ISO/IEC/IEEE15288或ISO/IEC/IEEE12207,但特定于系统元素完整性级别的分配：1. 从降低风险措施的角度确定系统要素；2. 对于每个系统要素，确定并商定相关利益攸关方；3. 根据相关系统的架构设计，从降低风险措施的角度给出系统元素的定义，并明确它们之间的依赖关系；4. 根据依赖关系为每个系统元素确定系统元素的完整性级别；5. 对于每个系统元素，根据系统完整性级别确定完整性级别要求。虽然一般而言，考虑如何将系统划分为系统要素有几种可能性，但系统要素的识别应基于这样一种观点，即感兴趣的系统是降低风险措施整体结构的一部分。4.满足完整性级别要求1

38、. 常规满足完整性级别要求是确保实现确定的系统完整性级别和分配的系统元素完整性级别的过程，即满足与之相关的所有完整性级别要求。该过程基于在系统和软件生命周期过程中的技术过程中获得的证据集合。典型的证据包括在验证过程中获得的审查、分析和测试结果。确认达到所需的风险水平可以被视为验证过程中活动的一部分。2. 满足完整性级别要求的目的满足完整性级别要求流程的目的是在相关利益攸关方之间达成一致，即将实施感兴趣的系统的剩余风险评估为在可容忍的风险范围内，其置信度水平与相关的完整性级别相称。3. 满足完整性级别要求的结果由于满足完整性级别要求：1. 客观证据，作为诚信水平所需置信度基础的依据提出的权利要求

39、正确和完整；2. 客观证据，作为诚信水平所需置信度基础的依据提出索赔要求；3. 在相关利益攸关方中，特别是在设计机构和完整性等级保证机构之间，同意达到所需的完整性水平。还可以提供一个保证案例，显示为满足完整性级别要求而准备的数据与相关的完整性级别声明之间的关系，以便在相关利益相关者之间分享对利益系统风险的共同理解。4. 满足完整性级别要求的活动应通过应用1S0/1EC/IEEE15288和ISO/IEC/IEEE12207中的多个技术流程来实施满足完整性等级要求流程（图7）.注意：收集、验证和确认的证据可以通过许多过程产生。具体细节取决于定义的完整性级别要求。表示福呈流1.5288中与满足完整

40、性等级要求的过程相关的过程活动源自ISO/IEC/IEEE15288和ISOIECIEEEI2207,但特定于满足完整性级别要求。1.设计定义过程、系统分析过程、实施过程、集成过程、过渡过程、操作过程和维护过程,以及风险管理过程的调用，提供以下活动：1. 对于每个系统元素，收集证明该系统元素的相关完整性级别声明的完整性和正确性所需的客观证据；2. 对于每个系统元素，收集证明符合与该系统元素的完整性级别相关的完整性级别要求所需的客观证据;3.收集证明符合与系统完整性级别相关的完整性级别要求所需的客观证据。2.验证过程提供以下活动：1.对于每个系统元素，收集客观证据，证明该系统元素的相关完整性级别

41、声明的完整性和正确性;2.对于每个系统元素，收集客观证据，证明符合与该系统元素的完整性级别相关的完整性级别要求;3.收集证明符合与系统完整性级别相关的完整性级别要求所需的客观证据;4.对于每个系统元素,验证获得的证据是否符合与每个系统元素的完整性级别关联的完整性级别要求所指定;5.验证获取的证据是否符合完整性级别要求的规定。3.通过调用风险管理过程，验证过程提供以下内容活动：1.对于每个系统元素，验证获得的证据以及与系统元素完整性级别关联的完整性级别要求是否表明已达到系统元素完整性级别;2.验证获取的证据是否表明已达到所需的系统完整性级别。5.协议和审批机构履行下列职责的个人或组织应被确定为:

42、1.诚信等级定义权限;2. 设计权威；3. 诚信等级保证机构。附件A（信息量大）ISO/IEC/IEEE15026-3使用示例1. 常规本例考虑了家用自动清洗机的面积。在这种情况下，自动清洁机无需人工干预即可为家中房间的清洁提供服务。也可以将此类机器连接到互联网，以更新软件、收集使用数据或从家庭外部向用户提供说明。因此，该系统具有与安全有关的不利后果。由于自动清洁机无需人直接操作即可移动和清洁房间，因此安全性是最重要的。2. 定义完整性级别1.目标系统的特征和假设目标系统的特征和假设如下：1. 目标系统类别的定义：自动清洗机；2. 环境假设：1. 这些机器是家用的，不适用于工业工厂；2. 计算

43、机可以连接到Interneto在下文中，以上述陈述为特征的自动清洗机类称为ACM0请注意，符号ACM不代表任何特定类型的自动清洗机。3. 感兴趣的属性感兴趣的财产由以下项目组成：算机的所有者、所有者的家庭成员、家庭的客人和任何宠物；2.用户家中的任何!家用家具；3.用户的家；4.用户的私人信息；5.ACM本身的机器；6.通过引入机器减少清洁时间而获得的用户时间1.用户的健康和生命。在下文中，“用户”包括ACM中计在ACM中;7.用户家的宁静和安静的环境。3.可能的不良后果可能的不良后果如下：1.用户在ACM中被机器撞击而受伤或死亡；2.用户的房屋或家具因在ACM中被机器击中而损坏;3.用户的私

44、人信息被泄露到互联网上；4.ACM中的机器因被东西击中而损坏；5.ACM中的计算机在用户指示其工作的时间段内不工作;f）ACM中的机器会发出一些噪音。4.可能的危险情况可能的危险情况列表如下：1.ACM中的机器无意地接近用户（近乎未命中）；2.ACM中的机器以极快的速度失控；3.ACM中某机器使用的网络相关软件存在安全漏洞；4. ACM中的一台机器发生故障。5. 示例风险标准示例风险标准如下。1. 导致人身伤害或家庭财产损坏的风险（安全风险） 严重等级Si：家庭财产的轻微损坏 严重等级S2：家庭财产的重大损坏 严重等级S3：对用户造成轻伤 严重性等级S4：对用户造成严重伤害 似然类a：合理可能

45、 可能性等级b：不太可能 似然类c：不太可能 似然类d:极不可能2. 导致个人信息泄露的风险（安全风险）严重性等级Pl:泄露ACM中仅包含计算机日志的信息严重等级P2:泄露任何其他私人信息（例如用户照片、用户家庭成员列表）可能性的类别与安全风睑案例中的可能性类别相同。3. 用户时间损失的风险（可用性风险）可用性等级Tl：设备导致的停电时间为每年一可用性等级T2：由于设备引起的愤怒是每年124. 威胁用户宁静和安静环境的风睑（噪音风险） 严重性等级El：次声噪声 严重性等级E2：频率在人类听觉范围内的噪声 似然类X:每周一次 似然类y:每月一次 似然类Z:每年一次6. 可容忍风险示例上述安全风险的可容忍风险示例可以写成如下：（S4,d）、（S3,d）、（S2,c）和（Sl,b）下的风险是可容忍的。图_A1显示了可容忍风险的直观图像,其中灰色区域表示可容忍的风险。对于其他风险，即安全性、可用性和噪音风险，应确定其可容忍的风险。fl n m %钥匙