信息系统由在多种安排之下相互连接以满足各种业务、任务和信息安全需要的许多组件组成。这些信息系统组件是如何联网、配置和管理的,对于提供适当信息安全和支持机构风险管理进程来说,至为关键。
信息系统由于要面对各种因素,如全新的、得到强化的、纠正了错误的或升级更新了的硬件和软件能力,用于弥补软件缺陷和现有组件中存在的其他错误的补丁,不断变化的业务功能等,往往处在持续的变动状态之下。信息系统变动的执行几乎无一例外地会导致系统配置作某些调整。要想确保被要求的系统配置调整不致于对信息系统以及运行信息系统的机构的安全造成负面影响,建立一个与信息安全融为一体的定义明确的配置管理流程是必不可少的。
机构可以通过配置管理(CM)来建立基限,通过配置管理来跟踪、控制和管理业务发展和运行的方方面面(例如产品、服务、制造、业务流程和信息技术)。有了一个强健有效的配置管理流程之后,机构需要考虑信息安全对于包括硬件、软件、应用和文档在内的信息系统的开发和运行究竟意味着什么。信息系统的有效配置管理,要求将安全配置的管理融入整个机构的配置管理流程。出于这一原因,本文认定,信息安全是机构总体配置管理流程的一个不可分割组成部分;不过,本文的重点是如何在信息系统安全方面执行配置管理,因而用以安全为重点的配置管理(SecCM)的说法来强调作为重中之重的信息安全。
尽管IT业务应用功能和以安全为重点的实践规范预计会作为单独的流程融入进来,但是在本文的语境中,以安全为重点的配置管理(SecCM)被定义为:对信息系统的配置进行管理和控制,以确保安全性和协助对信息安全风险的管理。