贯标集团
ISO体系 , 17025实验室认可 , CMA资质 , 涉密信息系统集成
ISO/IEC 27001: 2022标准解读(42)附录A.8 技术控制

控制解析:


新版的A.8.28是新增加的控制项,新版的A.8.26是由ISO/IEC 27001: 2013的A.14.1.2和A.14.1.3合并而成的,新版的A.8.29是由ISO/IEC 27001: 2013的A.14.2.8和A.14.2.9合并而成的,新版的A.8.31是由ISO/IEC 27001: 2013的A.12.1.4和A.14.2.6合并而成的,新版的A.8.32是由ISO/IEC 27001: 2013的A.12.1.2、A.14.2.2、A.14.2.3和A.14.2.4合并而成的。A.8.25 & A.8.26 & A.8.27 & A.8.28 & A.8.29 & A.8.30 & A.8.31 & A.8.32 & A.8.33 & A.8.34这些控制项属于信息系统开发的模块,信息系统开发本身也是属于项目这一块,所以信息系统开发也必须符合项目中的信息安全管理要求(A.5.8 ),也因此新版把ISO/IEC 27001: 2013的A.14.1.1的要求整合到新版的A.5.8中了。组织应根据相关需求和《项目信息安全管理程序》,形成书面的《信息系统开发安全管理程序》,并输出相关的管理规范,如《信息系统安全定级规范》(A.8.26)、《信息系统安全编码规范》(A.8.28)、《信息系统安全测数规范》(A.8.33)等。应建立组织内软件安全开发策略,如在项目启动阶段,需要进行安全团队建设与培训、对软件定级、以及制定安全规划;在需求分析阶段,需要进行安全需求定制和评审等(A.8.25)。ISO/IEC 27001: 2013的A.14.1.2和A.14.1.3合并而成的A.8.26,要求的范围比以前更广泛了,以前一般特指针对涉及“订单交易、支付信息”等系统(如京东、淘宝等),所以很多组织可以选择删除这两个控制项,而新版则不能删除,因为涵盖了所有系统,所以在信息系统开发之前要确定信息系统的信息安全要求,如信息系统需要满足等保三级要求(A.8.26)。对于任何软件开发,需要建立系统安全工程,如建立软件开发安全体系框架,包含组织体系、制度体系、标准体系以及技术服务体系等(A.8.27)。组织应建立安全的编码规范,按照规范进行编码,信息系统上线前应进行编码检测(A.8.28)。应在软件开发测试阶段对设计的安全功能进行测试。新的信息系统、升级及新版本的信息系统在上线前,应进行相关测试(包括但不限于代码检测、漏洞扫描、渗透测试等),应制定测试方案和测试准则,并按照方案和准则进行测试(A.8.29)。应对软件开发外包活动的安全进行督导和管理,如对入场外包人员的管理(背景调查、资料备案以及保密协议签订等)、运行安全管理(场地安全、网络安全、终端安全、安全意识等)以及信息安全检查等(A.8.30)。要对开发环境的安全进行控制,如开发区域人员的管控,代码编码环境的安全,源代码存储环境安全等。信息系统开发环境、测试环境和正式运行环境应在不同的网络(利用逻辑隔离或物理隔离)(A.8.31)。信息处理设施和信息系统的变更应遵循组织《信息安全变更管理程序》(A.8.32)。从正式环境中获取数据用于测试,每次应单独授权,敏感信息(如个人信息等)应进行脱密处理。测数数据测试完后,应进行清除处理,避免造成数据泄密(A.8.33)。运行系统的审计测试,应明确范围,并提前与相关人员进行沟通,审计测试jinxian于对软件和数据的只读访问(A.8.34)。


实施本控制应输出的文档:

信息系统安全开发策略、《信息系统安全开发管理程序》等。变更方案、变更风险和影响评价记录、变更授权记录、变更测试记录等。系统安全工程文档,如组织体系、制度体系、标准体系以及技术服务体系等。软件外包管控记录。代码检测、漏洞扫描、渗透测试记录等。测试数据获取授权记录,测试数据清除记录等。


本控制审核要点:

是否形成书面的软件安全开发策略。是否有系统变更管理规范,变更是否有经过必要的风险评估和影响分析,经过授权、评审和测试,并是否能提供相关记录。软件开发过程,是否有按照系统安全工程进行管理。软件开发过程中是否有对安全功能进行测试,并提供测试记录。新的信息系统、升级及新版本的信息系统在上线前,是否有进行相关测试(包括但不限于代码检测、漏洞扫描、渗透测试等),并提供相关测试记录。查看测试数据获取授权记录,测试数据清除记录等。是否建立安全编码规范,是对代码进行检测。

发布时间:2024-11-14
展开全文
拨打电话 微信咨询 发送询价