在系統安全工程中,Assurance、Verification、Validation 與 Accreditation 四個概念經常被混淆。釐清它們的分工,是建立可信賴安全生命週期的第一步。
核心概念解析
Assurance(保證) 是對系統安全品質的整體信心,貫穿整個開發生命週期,而非單一活動。它透過證據積累,讓利害關係人相信系統已達到預期的安全等級。Verification(驗證) 聚焦於「做對了嗎?」——確認產品符合設計規格與技術需求,例如程式碼審查、單元測試、靜態分析。Validation(確效) 則聚焦於「做了對的東西嗎?」——確認系統真正滿足使用者實際需求,例如使用者接受測試(UAT)與場景模擬。兩者的核心差異在於:Verification 對齊規格,Validation 對齊需求。
Accreditation(認可授權) 是管理層的正式行政決策,代表授權官(Authorizing Official)在評估殘餘風險後,正式批准系統上線運作並承擔責任。它不是技術活動,而是風險承擔的宣告。美國 NIST RMF 框架將此步驟稱為「Authorize」,是系統上線前的最後關卡。四者合力構成完整的品質與授權框架:Assurance 提供信心基礎,Verification 與 Validation 提供技術證據,Accreditation 完成正式授權。
四者的生命週期定位
在實務流程中,四個概念依序發揮作用。開發階段持續累積 Assurance 證據;測試階段執行 Verification 與 Validation;系統上線前由授權官完成 Accreditation 審查。缺少任一環節,系統安全性的可信度都將出現缺口。尤其在高風險環境(如政府機關、關鍵基礎設施),Accreditation 具有法律與責任意涵,絕不可省略。
💡 重點整理
- Assurance:貫穿全生命週期的安全信心累積,以證據為基礎。
- Verification:確認系統符合規格(做對了),屬技術性檢核活動。
- Validation:確認系統符合真實需求(做對東西),以使用者為中心。
- Accreditation:管理層正式承擔殘餘風險並授權系統上線的行政決策。
四者缺一不可。技術團隊負責 Verification 與 Validation,管理層完成 Accreditation,而 Assurance 則是貫穿始終的信心基礎。唯有整合四個維度,系統安全才能真正落地。
📚 參考文獻
- NIST SP 800-37 Rev. 2 — Risk Management Framework for Information Systems and Organizations,定義 Authorize(Accreditation)步驟的官方規範。
https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final - ISO/IEC 15026-1 — Systems and Software Assurance,定義 Assurance 概念與框架的國際標準。
- INCOSE Systems Engineering Handbook — 涵蓋 Verification 與 Validation 方法論的系統工程權威指引。
https://www.incose.org/products-and-publications/se-handbook
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言