ISO/IEC 27001: 2022标准解读(42)附录A.8 技术控制/A.8.25 ~ A.8.34
更新时间:2024-11-18 07:08:00
价格:请来电询价
联系电话:4009992068
联系手机: 13382035157
联系人:贯标客服
让卖家联系我
详细介绍
8Technological controls 技术控制(ISO/IEC 27001: 2022 附录A)8.25Secure development life cycle
安全的开发生命周期Control 控制
Rules for the secure development of software and systems shall be established and applied.
软件和系统的安全开发规则应被建立,并予以应用。8.26Application security requirements
应用安全要求Control 控制
Information security requirements shall be identified, specified and approved when developing or acquiring applications.
当开发或获取应用时,信息安全要求应被识别、规定和批准。8.27Secure system architecture and engineering principles 安全系统架构和工程原则Control 控制
Principles for engineering secure systems shall be established, documented, maintained and applied to any information system development activities.
应建立和维护文件化的工程安全系统原则,并应用于任何的信息系统开发活动。8.28Secure coding
安全编码Control 控制
Secure coding principles shall be applied to software development.
安全编码原则应被应用于软件开发。8.29Security testing in development and acceptance
开发和验收中的安全测试Control 控制
Security testing processes shall be defined and implemented in the development life cycle.
在开发生命周期中,安全测试过程应被定义,并予以实施。8.30Outsourced development
外包的开发Control 控制
The organization shall direct, monitor and review the activities related to outsourced system development.
组织应指导、监视和评审外包的系统开发的相关活动。8.31Separation of development, test and production environments
开发、测试和生产环境的分离Control 控制
Development, testing and production environments shall be separated and secured.
开发、测试和生产环境应被分离,并予以保护。8.32Change management
变更管理Control 控制
Changes to information processing facilities and information systems shall be subject to change management procedures.
信息处理设施和信息系统的变更应遵循于变更管理规程。8.33Test information
测试信息Control 控制
Test information shall be appropriately selected, protected and managed.
测试信息应被适当帅选、保护和管理。8.34Protection of information systems during audit testing 审计测试时的信息系统的保护Control 控制
Audit tests and other assurance activities involving assessment of operational systems shall be planned and agreed between the tester and appropriate management.
涉及运行系统验证的审计测试和其他保证活动应由测试人员和适当的管理人员策划和商定。
应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和 系统变更。A.12.1.4开发、测试和运行环境的分离控制
应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险。A.12.7 信息系统审计的考虑目标:使审计活动对运行系统的影响Zui小化。A.12.7.1信息系统审计的控制控制
涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便Zui小化业务过程的中断。A.14 系统获取、开发和维护(ISO/IEC 27001: 2013 附录A)A.14.1 信息系统的安全要求目标:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求A.14.1.2公共网络上应 用服务的安全 保护控制
应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。A.14.1.3应用服务事务的保护控制
应保护应用服务事务中的信息,以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。A.14.2 开发和支持过程中的安全目标:确保信息安全在信息系统开发生命周期中得到设计和实现。A.14.2.1安全的开发策略控制
针对组织内的开发,应建立软件和系统开发规则并应用。A.14.2.2系统变更控制规程控制 应使用正式的变更控制规程来控制开发生命周期内的系统变更。A.14.2.3运行平台变更 后对应用的技 术评审控制
当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有fumian影响。A.14.2.4软件包变更的限制控制
应不鼓励对软件包进行修改,jinxian于必要的变更,且对所有变更加以严格控制。A.14.2.5系统安全工程原则控制
应建立、文件化和维护系统安全工程原则,并应用到任何信息系统实现工作中。A.14.2.6安全的开发环境控制
组织应针对覆盖系统开发生命周期的系统开发和集成活动,建立安全开发环境,并予以适当保护。A.14.2.7外包开发控制
组织应督导和监视外包系统开发活动。A.14.2.8系统安全测试控制
应在开发过程中进行安全功能测试。A.14.2.9系统验收测试控制
应建立对新的信息系统、升级及新版本的验收测试方案和相关准则。A.14.3 测试数据目标:确保用于测试的数据得到保护。A.14.3.1测试数据的保护控制
测试数据应认真地加以选择、保护和控制。
实施本控制应输出的文档:
本控制审核要点:
安全的开发生命周期Control 控制
Rules for the secure development of software and systems shall be established and applied.
软件和系统的安全开发规则应被建立,并予以应用。8.26Application security requirements
应用安全要求Control 控制
Information security requirements shall be identified, specified and approved when developing or acquiring applications.
当开发或获取应用时,信息安全要求应被识别、规定和批准。8.27Secure system architecture and engineering principles 安全系统架构和工程原则Control 控制
Principles for engineering secure systems shall be established, documented, maintained and applied to any information system development activities.
应建立和维护文件化的工程安全系统原则,并应用于任何的信息系统开发活动。8.28Secure coding
安全编码Control 控制
Secure coding principles shall be applied to software development.
安全编码原则应被应用于软件开发。8.29Security testing in development and acceptance
开发和验收中的安全测试Control 控制
Security testing processes shall be defined and implemented in the development life cycle.
在开发生命周期中,安全测试过程应被定义,并予以实施。8.30Outsourced development
外包的开发Control 控制
The organization shall direct, monitor and review the activities related to outsourced system development.
组织应指导、监视和评审外包的系统开发的相关活动。8.31Separation of development, test and production environments
开发、测试和生产环境的分离Control 控制
Development, testing and production environments shall be separated and secured.
开发、测试和生产环境应被分离,并予以保护。8.32Change management
变更管理Control 控制
Changes to information processing facilities and information systems shall be subject to change management procedures.
信息处理设施和信息系统的变更应遵循于变更管理规程。8.33Test information
测试信息Control 控制
Test information shall be appropriately selected, protected and managed.
测试信息应被适当帅选、保护和管理。8.34Protection of information systems during audit testing 审计测试时的信息系统的保护Control 控制
Audit tests and other assurance activities involving assessment of operational systems shall be planned and agreed between the tester and appropriate management.
涉及运行系统验证的审计测试和其他保证活动应由测试人员和适当的管理人员策划和商定。
应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和 系统变更。A.12.1.4开发、测试和运行环境的分离控制
应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险。A.12.7 信息系统审计的考虑目标:使审计活动对运行系统的影响Zui小化。A.12.7.1信息系统审计的控制控制
涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便Zui小化业务过程的中断。A.14 系统获取、开发和维护(ISO/IEC 27001: 2013 附录A)A.14.1 信息系统的安全要求目标:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求A.14.1.2公共网络上应 用服务的安全 保护控制
应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。A.14.1.3应用服务事务的保护控制
应保护应用服务事务中的信息,以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。A.14.2 开发和支持过程中的安全目标:确保信息安全在信息系统开发生命周期中得到设计和实现。A.14.2.1安全的开发策略控制
针对组织内的开发,应建立软件和系统开发规则并应用。A.14.2.2系统变更控制规程控制 应使用正式的变更控制规程来控制开发生命周期内的系统变更。A.14.2.3运行平台变更 后对应用的技 术评审控制
当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有fumian影响。A.14.2.4软件包变更的限制控制
应不鼓励对软件包进行修改,jinxian于必要的变更,且对所有变更加以严格控制。A.14.2.5系统安全工程原则控制
应建立、文件化和维护系统安全工程原则,并应用到任何信息系统实现工作中。A.14.2.6安全的开发环境控制
组织应针对覆盖系统开发生命周期的系统开发和集成活动,建立安全开发环境,并予以适当保护。A.14.2.7外包开发控制
组织应督导和监视外包系统开发活动。A.14.2.8系统安全测试控制
应在开发过程中进行安全功能测试。A.14.2.9系统验收测试控制
应建立对新的信息系统、升级及新版本的验收测试方案和相关准则。A.14.3 测试数据目标:确保用于测试的数据得到保护。A.14.3.1测试数据的保护控制
测试数据应认真地加以选择、保护和控制。
实施本控制应输出的文档:
本控制审核要点:
相关产品