ISO27001標準附錄 A.12.1 信息系統的安全要求
ISO27001標準附錄 A.12.1.1 安全要求分析和說明
【內容解析】
在建設一個新的信息系統前或是對現有系統進行升級時,必須要識別和定義信息安全的需求和控制措施。信息安全的要求和控制措施進入設計過程最為有效,決不能放在以后再說。
ISO27001標準附錄 A.12.2 應用中的正確處理
ISO27001標準附錄 A.12.2.1 輸入數據確認
【內容解析】
數據和信息是業務應用系統的核心和靈魂。
對輸入信息處理系統或應用系統中的數據應確認其正確性(包括數據的邊界、長度和業務邏輯等),并對系統可接受的輸入類型進行確認檢查以保證數據是恰當的,避免不符合要求的數據進入系統。
在軟件開發中通常都會對輸入數據進行確認,但對通過自動捕獲得到的數據和信息卻容易忽略。
所以在對輸入數據進行確認時,需同時需要關注自動捕獲的數據和信息。
ISO27001標準附錄 A.12.2.2 內部處理的控制
【內容解析】
正確輸入的數據可能會因硬件錯誤、處理出錯或故意的行為而破壞。應用系統應在數據的處理過程設置錯誤檢查,必要時提供數據變更、中斷處理及恢復功能。
ISO27001標準附錄 A.12.2.3 消息完整性
【內容解析】
許多應用系統使用內部消息進行運行和處理。
這些應用消息應加以保護以確?允薟環⑸詞諶ǖ男薷幕蛩鴰怠?
ISO27001標準附錄 A.12.2.4 輸出數據確認
【內容解析】
對關鍵應用系統的輸出應進行確認,以確保輸出數據是準確適當的。
ISO27001標準附錄 A.12.3 密碼控制
ISO27001標準附錄 A.12.3.1 使用密碼控制的策略
【內容解析】
密碼控制是保護信息和數據防止未授權的訪問或破壞的防護措施。盡管其對保護信息和數據的保密性和完整性十分有效,但組織還應基于風險評估來擬定其使用范圍。在組織管理方面應制定和發布使用密碼的策略。
ISO27001標準附錄 A.12.3.2 密鑰管理
【內容解析】
對于使用密鑰的組織應具備一個正式的密鑰管理系統來保護密鑰,防止密鑰被盜、誤用和修改。
ISO27001標準附錄 A.12.4 系統文件的安全
ISO27001標準附錄 A.12.4.1 運行軟件的控制
【內容解析】
確保只有經過授權的軟件、應用程序或系統才能安裝在運行的信息處理系統中。
ISO27001標準附錄 A.12.4.2 系統測試數據的保護
【內容解析】
系統測試是對系統投入運行前或變更后的驗證和確認,應謹慎設計和選擇測試用例和數據,其中不應包含敏感信息(如個人的信息,業務數據等)。系統測試數據也是一種歷史資源,有助于系統的運行維護人員對系統的故障和安全事態快速應對。所以測試數據應加以妥善保護和控制。
ISO27001標準附錄 A.12.4.3 對程序源代碼的訪問控制
【內容解析】
源代碼是軟件程序和應用系統的核心機密,在開發過程中應通過配置管理(及工具)實施嚴格的配置控制;軟件產品或應用系統進入生產環境后還應納入最終軟件庫;通過軟件開發和運行中的訪問控制和變更控制防止對源代碼的未授權的訪問、修改或損毀。
ISO27001標準附錄 A.12.5 開發和支持過程中的安全
ISO27001標準附錄 A.12.5.1 變更控制規程
【內容解析】
對系統、應用、數據和網絡裝置的變更應通過正式的變更控制過程加以嚴格控制。
ISO27001標準附錄 A.12.5.2 操作系統變更后應用的技術評審
【內容解析】
在核心運行系統發生變更后,組織應就其對一些關鍵應用系統的影響,組織正式的技術評審,識別對信息安全和業務產生的其他負面影響,以便采取措施盡快消除問題。
ISO27001標準附錄 A.12.5.3 軟件包變更的限制
【內容解析】
無論是通過購買還是組織內自主研發的應用軟件,都應盡可能避免修改以有助于控制那些未識別的或未預期的安全漏洞。對必要的變更組織應做好策劃和組織,最好將多項變更組合在一起,一次實施。以降低變更帶來的風險。
ISO27001標準附錄 A.12.5.4 信息泄露
【內容解析】
通過介質、應用、系統和其他渠道泄露的敏感信息,會對組織造成嚴重的負面影響。信息泄露的方式較多,例如:在邏輯方面包括網絡連接、存儲介質;在物理方面包括紙片或文件;人員方面包括員工失誤、惡意行為等,需要組織謹慎設計和實施多種控制措施防止信息泄露。
ISO27001標準附錄 A.12.5.5 外包軟件開發
【內容解析】
確定將應用軟件系統開發部分或全部發包給外部機構時,需要擬定對承包方的管理和控制措施。
ISO27001標準附錄 A.12.6 技術脆弱性管理
ISO27001標準附錄 A.12.6.1 技術脆弱性的控制
【內容解析】
組織應通過對系統和應用軟件制造商有關安全脆弱性公告的監視或與有關的權威檢測機構確立脆弱性通告機制來及時獲取新的技術脆弱性信息,并針對發布的這類信息審查組織的系統、評價暴露程度并采取適當的處理措施(如安裝補丁)。
共有條評論 網友評論