ISO27001标准附录“A.12信息系统获取、开发和维护”解析
ISO27001标准附录 A.12.1 信息系统的安全要求
ISO27001标准附录 A.12.1.1 安全要求分析和说明
【内容解析】
在建设一个新的信息系统前或是对现有系统进行升级时,必须要识别和定义信息安全的需求和控制措施。信息安全的要求和控制措施进入设计过程最为有效,决不能放在以后再说。
ISO27001标准附录 A.12.2 应用中的正确处理
ISO27001标准附录 A.12.2.1 输入数据确认
【内容解析】
数据和信息是业务应用系统的核心和灵魂。
对输入信息处理系统或应用系统中的数据应确认其正确性(包括数据的边界、长度和业务逻辑等),并对系统可接受的输入类型进行确认检查以保证数据是恰当的,避免不符合要求的数据进入系统。
在软件开发中通常都会对输入数据进行确认,但对通过自动捕获得到的数据和信息却容易忽略。
所以在对输入数据进行确认时,需同时需要关注自动捕获的数据和信息。
ISO27001标准附录 A.12.2.2 内部处理的控制
【内容解析】
正确输入的数据可能会因硬件错误、处理出错或故意的行为而破坏。应用系统应在数据的处理过程设置错误检查,必要时提供数据变更、中断处理及恢复功能。
ISO27001标准附录 A.12.2.3 消息完整性
【内容解析】
许多应用系统使用内部消息进行运行和处理。
这些应用消息应加以保护以确?允莶环⑸词谌ǖ男薷幕蛩鸹怠?
ISO27001标准附录 A.12.2.4 输出数据确认
【内容解析】
对关键应用系统的输出应进行确认,以确保输出数据是准确适当的。
ISO27001标准附录 A.12.3 密码控制
ISO27001标准附录 A.12.3.1 使用密码控制的策略
【内容解析】
密码控制是保护信息和数据防止未授权的访问或破坏的防护措施。尽管其对保护信息和数据的保密性和完整性十分有效,但组织还应基于风险评估来拟定其使用范围。在组织管理方面应制定和发布使用密码的策略。
ISO27001标准附录 A.12.3.2 密钥管理
【内容解析】
对于使用密钥的组织应具备一个正式的密钥管理系统来保护密钥,防止密钥被盗、误用和修改。
ISO27001标准附录 A.12.4 系统文件的安全
ISO27001标准附录 A.12.4.1 运行软件的控制
【内容解析】
确保只有经过授权的软件、应用程序或系统才能安装在运行的信息处理系统中。
ISO27001标准附录 A.12.4.2 系统测试数据的保护
【内容解析】
系统测试是对系统投入运行前或变更后的验证和确认,应谨慎设计和选择测试用例和数据,其中不应包含敏感信息(如个人的信息,业务数据等)。系统测试数据也是一种历史资源,有助于系统的运行维护人员对系统的故障和安全事态快速应对。所以测试数据应加以妥善保护和控制。
ISO27001标准附录 A.12.4.3 对程序源代码的访问控制
【内容解析】
源代码是软件程序和应用系统的核心机密,在开发过程中应通过配置管理(及工具)实施严格的配置控制;软件产品或应用系统进入生产环境后还应纳入最终软件库;通过软件开发和运行中的访问控制和变更控制防止对源代码的未授权的访问、修改或损毁。
ISO27001标准附录 A.12.5 开发和支持过程中的安全
ISO27001标准附录 A.12.5.1 变更控制规程
【内容解析】
对系统、应用、数据和网络装置的变更应通过正式的变更控制过程加以严格控制。
ISO27001标准附录 A.12.5.2 操作系统变更后应用的技术评审
【内容解析】
在核心运行系统发生变更后,组织应就其对一些关键应用系统的影响,组织正式的技术评审,识别对信息安全和业务产生的其他负面影响,以便采取措施尽快消除问题。
ISO27001标准附录 A.12.5.3 软件包变更的限制
【内容解析】
无论是通过购买还是组织内自主研发的应用软件,都应尽可能避免修改以有助于控制那些未识别的或未预期的安全漏洞。对必要的变更组织应做好策划和组织,最好将多项变更组合在一起,一次实施。以降低变更带来的风险。
ISO27001标准附录 A.12.5.4 信息泄露
【内容解析】
通过介质、应用、系统和其他渠道泄露的敏感信息,会对组织造成严重的负面影响。信息泄露的方式较多,例如:在逻辑方面包括网络连接、存储介质;在物理方面包括纸片或文件;人员方面包括员工失误、恶意行为等,需要组织谨慎设计和实施多种控制措施防止信息泄露。
ISO27001标准附录 A.12.5.5 外包软件开发
【内容解析】
确定将应用软件系统开发部分或全部发包给外部机构时,需要拟定对承包方的管理和控制措施。
ISO27001标准附录 A.12.6 技术脆弱性管理
ISO27001标准附录 A.12.6.1 技术脆弱性的控制
【内容解析】
组织应通过对系统和应用软件制造商有关安全脆弱性公告的监视或与有关的权威检测机构确立脆弱性通告机制来及时获取新的技术脆弱性信息,并针对发布的这类信息审查组织的系统、评价暴露程度并采取适当的处理措施(如安装补丁)。
