ISO/IEC 27001: 2022标准解读(42)附录A.8 技术控制
发布:2024-04-10 16:52,更新:2024-05-02 07:08
控制解析:- 新版的A.8.28是新增加的控制项,新版的A.8.26是由ISO/IEC 27001: 2013的A.14.1.2和A.14.1.3合并而成的,新版的A.8.29是由ISO/IEC 27001: 2013的A.14.2.8和A.14.2.9合并而成的,新版的A.8.31是由ISO/IEC 27001: 2013的A.12.1.4和A.14.2.6合并而成的,新版的A.8.32是由ISO/IEC 27001: 2013的A.12.1.2、A.14.2.2、A.14.2.3和A.14.2.4合并而成的。
- A.8.25 & A.8.26 & A.8.27 & A.8.28 & A.8.29 & A.8.30 & A.8.31 & A.8.32 & A.8.33 & A.8.34这些控制项属于信息系统开发的模块,信息系统开发本身也是属于项目这一块,所以信息系统开发也必须符合项目中的信息安全管理要求(A.5.8 ),也因此新版把ISO/IEC 27001: 2013的A.14.1.1的要求整合到新版的A.5.8中了。
- 组织应根据相关需求和《项目信息安全管理程序》,形成书面的《信息系统开发安全管理程序》,并输出相关的管理规范,如《信息系统安全定级规范》(A.8.26)、《信息系统安全编码规范》(A.8.28)、《信息系统安全测数规范》(A.8.33)等。
- 应建立组织内软件安全开发策略,如在项目启动阶段,需要进行安全团队建设与培训、对软件定级、以及制定安全规划;在需求分析阶段,需要进行安全需求定制和评审等(A.8.25)。
- ISO/IEC 27001: 2013的A.14.1.2和A.14.1.3合并而成的A.8.26,要求的范围比以前更广泛了,以前一般特指针对涉及“订单交易、支付信息”等系统(如京东、淘宝等),所以很多组织可以选择删除这两个控制项,而新版则不能删除,因为涵盖了所有系统,所以在信息系统开发之前要确定信息系统的信息安全要求,如信息系统需要满足等保三级要求(A.8.26)。
- 对于任何软件开发,需要建立系统安全工程,如建立软件开发安全体系框架,包含组织体系、制度体系、标准体系以及技术服务体系等(A.8.27)。
- 组织应建立安全的编码规范,按照规范进行编码,信息系统上线前应进行编码检测(A.8.28)。
- 应在软件开发测试阶段对设计的安全功能进行测试。新的信息系统、升级及新版本的信息系统在上线前,应进行相关测试(包括但不限于代码检测、漏洞扫描、渗透测试等),应制定测试方案和测试准则,并按照方案和准则进行测试(A.8.29)。
- 应对软件开发外包活动的安全进行督导和管理,如对入场外包人员的管理(背景调查、资料备案以及保密协议签订等)、运行安全管理(场地安全、网络安全、终端安全、安全意识等)以及信息安全检查等(A.8.30)。
- 要对开发环境的安全进行控制,如开发区域人员的管控,代码编码环境的安全,源代码存储环境安全等。信息系统开发环境、测试环境和正式运行环境应在不同的网络(利用逻辑隔离或物理隔离)(A.8.31)。
- 信息处理设施和信息系统的变更应遵循组织《信息安全变更管理程序》(A.8.32)。
- 从正式环境中获取数据用于测试,每次应单独授权,敏感信息(如个人信息等)应进行脱密处理。测数数据测试完后,应进行清除处理,避免造成数据泄密(A.8.33)。
- 运行系统的审计测试,应明确范围,并提前与相关人员进行沟通,审计测试jinxian于对软件和数据的只读访问(A.8.34)。
实施本控制应输出的文档:
- 信息系统安全开发策略、《信息系统安全开发管理程序》等。
- 变更方案、变更风险和影响评价记录、变更授权记录、变更测试记录等。
- 系统安全工程文档,如组织体系、制度体系、标准体系以及技术服务体系等。
- 软件外包管控记录。
- 代码检测、漏洞扫描、渗透测试记录等。
- 测试数据获取授权记录,测试数据清除记录等。
本控制审核要点:
- 是否形成书面的软件安全开发策略。
- 是否有系统变更管理规范,变更是否有经过必要的风险评估和影响分析,经过授权、评审和测试,并是否能提供相关记录。
- 软件开发过程,是否有按照系统安全工程进行管理。
- 软件开发过程中是否有对安全功能进行测试,并提供测试记录。
- 新的信息系统、升级及新版本的信息系统在上线前,是否有进行相关测试(包括但不限于代码检测、漏洞扫描、渗透测试等),并提供相关测试记录。
- 查看测试数据获取授权记录,测试数据清除记录等。
- 是否建立安全编码规范,是对代码进行检测。
其他新闻
- ISO/IEC 27001:2022标准的实施效益和成功案例 2024-05-02
- 解读|新版ISO27001信息安全管理体系要求 2024-05-02
- ISO/IEC 27001: 2022主要变化 2024-05-02
- ISO/IEC 27001: 2022转版思路 2024-05-02
- 怎样判断某一产品是否为涉水产品? 2024-05-02
- 企业为什么要取得装备承制单位资格? 2024-05-02
- 武器装备质量管理体系与装备承制单位资格审查“两证合一”改革 2024-05-02
- 《新保密法》设立行政许可型的涉密军事设施建设单位保密资质认定 2024-05-02
- 在ISO20000认证审核之前,需要准备好这些文件 2024-05-02
- 安徽企业:ISO20000认证咨询流程、条件 2024-05-02
- 江苏省 国家秘密载体印制资质申请条件 2024-05-02
- 江苏省 涉密信息系统集成资质9大类基本条件 2024-05-02
- 江苏省武器装备科研生产单位保密资格认定基本条件 2024-05-02
- 江苏省企业测绘资质 测绘资质分类 2024-05-02
- 食品生产许可对外租仓库是如何核查的? 2024-05-02
