• 健康-热门标签-华商生活 2020-02-15
  • 【专题】相约上合——风从海上来 上合组织青岛峰会 2020-02-14
  • 海军第27批护航编队结束对摩洛哥访问  2020-02-11
  • 红枣-热门标签-华商生活 2020-02-11
  • 苏州大学研究生支教团网上众筹资助留守儿童 2020-02-10
  • 回复@艾鸣1:你的老蚕暴露无遗,还好意思笑?这个帖子会成为你终身的耻辱! 2020-02-09
  • 全国人大代表吴云波:共享新时代发展成果 2020-01-21
  • 世界杯开幕式小旗手来自中国贵州丹寨 2020-01-20
  • 回复@看着就想笑:那法律就让你来定 2020-01-19
  • 高三学生创意毕业照轻松迎高考 2020-01-17
  • 三晋史话这八个山西商人为何被顺治帝封为“皇商”? 2020-01-17
  • 向“互联网+政务服务”要治理升级 2020-01-08
  • 北非花园迎来足球春天 遭遇"死亡之组"拒绝跑龙套 2020-01-08
  • 油锅相煎,饭菜已凉,世界之家,相互礼让,欠债不还,还打贸易,实在不义。 2020-01-07
  • 此理论大体可以这样理解,即一个市场中的经济实体为追求最大的利润,多次进行扩大生产,每一次投资所产生的效益都会与上一次投资产生的效益之间要有一个差,这个差就是边际 2020-01-07
  • 复习指南
    ISO27001标准附录“A.12信息系统获取、开发和维护”解析
    2015-06-08      收集整理:注册审核员网
    【字体: 】              

    生生不息.com一尾中特 www.idfok.tw  ISO27001标准附录 A.12.1 信息系统的安全要求

     
    ISO27001标准附录 A.12.1.1 安全要求分析和说明
     
    【内容解析】
     
    在建设一个新的信息系统前或是对现有系统进行升级时,必须要识别和定义信息安全的需求和控制措施。信息安全的要求和控制措施进入设计过程最为有效,决不能放在以后再说。
     
    ISO27001标准附录 A.12.2 应用中的正确处理
     
    ISO27001标准附录 A.12.2.1 输入数据确认
     
    【内容解析】
     
    数据和信息是业务应用系统的核心和灵魂。
     
    对输入信息处理系统或应用系统中的数据应确认其正确性(包括数据的边界、长度和业务逻辑等),并对系统可接受的输入类型进行确认检查以保证数据是恰当的,避免不符合要求的数据进入系统。
     
    在软件开发中通常都会对输入数据进行确认,但对通过自动捕获得到的数据和信息却容易忽略。
     
    所以在对输入数据进行确认时,需同时需要关注自动捕获的数据和信息。
     
     
     
    ISO27001标准附录 A.12.2.2 内部处理的控制
     
    【内容解析】
     
    正确输入的数据可能会因硬件错误、处理出错或故意的行为而破坏。应用系统应在数据的处理过程设置错误检查,必要时提供数据变更、中断处理及恢复功能。
     
    ISO27001标准附录 A.12.2.3 消息完整性
     
    【内容解析】
     
    许多应用系统使用内部消息进行运行和处理。
     
    这些应用消息应加以?;ひ匀?允?莶环⑸?词谌ǖ男薷幕蛩鸹怠?
     
    ISO27001标准附录 A.12.2.4 输出数据确认
     
    【内容解析】
     
    对关键应用系统的输出应进行确认,以确保输出数据是准确适当的。
     
    ISO27001标准附录 A.12.3 密码控制
     
    ISO27001标准附录 A.12.3.1 使用密码控制的策略
     
    【内容解析】
     
    密码控制是?;ば畔⒑褪莘乐刮词谌ǖ姆梦驶蚱苹档姆阑ご胧?。尽管其对?;ば畔⒑褪莸谋C苄院屯暾允钟行?,但组织还应基于风险评估来拟定其使用范围。在组织管理方面应制定和发布使用密码的策略。
     
    ISO27001标准附录 A.12.3.2 密钥管理
     
    【内容解析】
     
    对于使用密钥的组织应具备一个正式的密钥管理系统来?;っ茉?,防止密钥被盗、误用和修改。
     
    ISO27001标准附录 A.12.4 系统文件的安全
     
    ISO27001标准附录 A.12.4.1 运行软件的控制
     
    【内容解析】
     
    确保只有经过授权的软件、应用程序或系统才能安装在运行的信息处理系统中。
     
    ISO27001标准附录 A.12.4.2 系统测试数据的?;?/div>
     
    【内容解析】
     
    系统测试是对系统投入运行前或变更后的验证和确认,应谨慎设计和选择测试用例和数据,其中不应包含敏感信息(如个人的信息,业务数据等)。系统测试数据也是一种历史资源,有助于系统的运行维护人员对系统的故障和安全事态快速应对。所以测试数据应加以妥善?;ず涂刂?。
     
    ISO27001标准附录 A.12.4.3 对程序源代码的访问控制
     
    【内容解析】
     
    源代码是软件程序和应用系统的核心机密,在开发过程中应通过配置管理(及工具)实施严格的配置控制;软件产品或应用系统进入生产环境后还应纳入最终软件库;通过软件开发和运行中的访问控制和变更控制防止对源代码的未授权的访问、修改或损毁。
     
    ISO27001标准附录 A.12.5 开发和支持过程中的安全
     
    ISO27001标准附录 A.12.5.1 变更控制规程
     
    【内容解析】
     
    对系统、应用、数据和网络装置的变更应通过正式的变更控制过程加以严格控制。
     
    ISO27001标准附录 A.12.5.2 操作系统变更后应用的技术评审
     
    【内容解析】
     
    在核心运行系统发生变更后,组织应就其对一些关键应用系统的影响,组织正式的技术评审,识别对信息安全和业务产生的其他负面影响,以便采取措施尽快消除问题。
     
    ISO27001标准附录 A.12.5.3 软件包变更的限制
     
    【内容解析】
     
    无论是通过购买还是组织内自主研发的应用软件,都应尽可能避免修改以有助于控制那些未识别的或未预期的安全漏洞。对必要的变更组织应做好策划和组织,最好将多项变更组合在一起,一次实施。以降低变更带来的风险。
     
    ISO27001标准附录 A.12.5.4 信息泄露
     
    【内容解析】
     
    通过介质、应用、系统和其他渠道泄露的敏感信息,会对组织造成严重的负面影响。信息泄露的方式较多,例如:在逻辑方面包括网络连接、存储介质;在物理方面包括纸片或文件;人员方面包括员工失误、恶意行为等,需要组织谨慎设计和实施多种控制措施防止信息泄露。
     
    ISO27001标准附录 A.12.5.5 外包软件开发
     
    【内容解析】
     
    确定将应用软件系统开发部分或全部发包给外部机构时,需要拟定对承包方的管理和控制措施。
     
    ISO27001标准附录 A.12.6 技术脆弱性管理
     
    ISO27001标准附录 A.12.6.1 技术脆弱性的控制
     
    【内容解析】
     
    组织应通过对系统和应用软件制造商有关安全脆弱性公告的监视或与有关的权威检测机构确立脆弱性通告机制来及时获取新的技术脆弱性信息,并针对发布的这类信息审查组织的系统、评价暴露程度并采取适当的处理措施(如安装补?。?。
     
    手机扫一扫
    进行注册审核员考试咨询

    微信号:ccaaxue
    功能介绍:注册审核员 考试通知、培训信息;
    认证机构挂靠、人员注册、复习题、模拟试题。