功能分析和分配使得對系統(tǒng)功能目的及其實現(xiàn)方式可以形成更好的理解，并在一定程度上獲知低層功能的優(yōu)先級和可能存在的沖突。它提供了對于優(yōu)化物理解決方案來說重要的信息。功能分析和分配過程中使用的關鍵工具是“功能流塊圖”、 “時間線分析”以及“要求分配表”。在本項活動中，信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，確保安全要求禽魯正確地應用于體系結構，且體系結構不會對安全造成削弱。

信息系統(tǒng)安全工程師要負責想目標系統(tǒng)和外部系統(tǒng)分配安全要求，并確保外部系統(tǒng)可以支持這些安全要求。就安全而言，這尤為重要，因為密鑰管理等安全服務通常要分配給外部系統(tǒng)。

信息系統(tǒng)安全工程師還要在此項活動中確定高層安全機制（如加密和數(shù)字簽名）。這樣，安全機制間的依賴性，如密鑰管理和加密，才能得到討論和分配。信息系統(tǒng)安全工程師還要'陌安全機制與安全服務的強度匹配，落實設計中的約束因素，分析并記錄發(fā)現(xiàn)的不足，

實施互依賴分析，確定安全機制的可行性，并評估這些安全機制中存在的任何殘余風險。體系結構中不涉及安全機制的具體實現(xiàn)，所以風險分析過程所需的詳細的脆弱性和攻擊信息是不能在該活動中提供的。然而，有經(jīng)驗的信息系統(tǒng)安全工程師可以在風險分析中描述出組件可能存在的脆弱性和攻擊的大致情況。

風險分析過程可以確保所選擇的安全機制能夠提供預期的安全服務，有助于向客戶解釋安全機制對安全要求的滿足程度。體系結構對這些要求的有效性評價以風險分析的結果以及客戶是否認同本階段中建議的行動路線為基礎。

信息系統(tǒng)安全工程師通過與認證機構和認證機構協(xié)調安全架構和風險分析的結果來支持C&A。