ISO/IEC 27001 : 2022 附录 A 8.4 访问源代码
访问源代码
ISO 27001:2022 附录 A 8.4 的目的是什么?
ISO 27001:2022 的附录 A 8.4 将“源代码”定义为用于开发属于组织的应用程序、程序和流程的基础代码、规范和计划。除了源代码访问外,附录 A 8.4 还强调了开发工具(编译器、测试环境等)的重要性。
源代码的管理对于任何必须存储源代码的组织来说都是一个独特的风险。企业的知识产权、生产数据和受保护的配置详细信息都被视为源代码的关键业务组件。
根据组织更广泛的访问控制,附录 A 8.4 是一种预防性控制,通过建立管理读/写访问的基本数据访问原则来衡量风险:
源代码
开发工具
软件库
谁拥有附录 A 8.4 的所有权?
源代码、开发工具和商业敏感信息(如软件库)包含在附录 A 8.4 中。因此,所有权应归属于首席信息安全官(或同等职位),他负责企业的整体信息和数据安全。
ISO 27001:2022 附录 A 8.4 的一般指南
根据 ISO 27001:2022 附录 A 8.4,组织应该能够通过源代码管理系统集中管理其 ICT 资产中对其源代码的访问和修改。
我们鼓励组织根据源代码的性质、访问位置以及访问者来考虑访问源代码以及严格的读/写权限。
寻求控制源代码访问的组织应:
维护用于控制对源代码的访问的已发布过程。
根据定义的业务需求逐个案例或逐个用户访问源代码。
在管理对源代码的访问时,请遵循一组变更管理程序(参见附录 A 8.32),包括基于访问变量(用户类型、业务案例等)的适当授权。
通过一系列开发工具为开发人员提供对源代码的访问,这些工具提供自上而下的访问权限和读/写权限视图。
创建一个安全空间来存储程序列表和读/写权限。
所有与源代码相关的活动(包括时间戳和与更改相关的活动)都应在并发审计跟踪中进行维护。
数字签名应用于将在组织外部发布的任何代码。
