ISO27001標(biāo)準(zhǔn)附錄 A.12.1　信息系統(tǒng)的安全要求

ISO27001標(biāo)準(zhǔn)附錄 A.12.1.1　安全要求分析和說明

【內(nèi)容解析】

在建設(shè)一個新的信息系統(tǒng)前或是對現(xiàn)有系統(tǒng)進(jìn)行升級時，必須要識別和定義信息安全的需求和控制措施。信息安全的要求和控制措施進(jìn)入設(shè)計過程最為有效，決不能放在以后再說。

ISO27001標(biāo)準(zhǔn)附錄 A.12.2　應(yīng)用中的正確處理

ISO27001標(biāo)準(zhǔn)附錄 A.12.2.1　輸入數(shù)據(jù)確認(rèn)

【內(nèi)容解析】

數(shù)據(jù)和信息是業(yè)務(wù)應(yīng)用系統(tǒng)的核心和靈魂。

對輸入信息處理系統(tǒng)或應(yīng)用系統(tǒng)中的數(shù)據(jù)應(yīng)確認(rèn)其正確性（包括數(shù)據(jù)的邊界、長度和業(yè)務(wù)邏輯等），并對系統(tǒng)可接受的輸入類型進(jìn)行確認(rèn)檢查以保證數(shù)據(jù)是恰當(dāng)?shù)?，避免不符合要求的?shù)據(jù)進(jìn)入系統(tǒng)。

在軟件開發(fā)中通常都會對輸入數(shù)據(jù)進(jìn)行確認(rèn)，但對通過自動捕獲得到的數(shù)據(jù)和信息卻容易忽略。

所以在對輸入數(shù)據(jù)進(jìn)行確認(rèn)時，需同時需要關(guān)注自動捕獲的數(shù)據(jù)和信息。

ISO27001標(biāo)準(zhǔn)附錄 A.12.2.2　內(nèi)部處理的控制

【內(nèi)容解析】

正確輸入的數(shù)據(jù)可能會因硬件錯誤、處理出錯或故意的行為而破壞。應(yīng)用系統(tǒng)應(yīng)在數(shù)據(jù)的處理過程設(shè)置錯誤檢查，必要時提供數(shù)據(jù)變更、中斷處理及恢復(fù)功能。

ISO27001標(biāo)準(zhǔn)附錄 A.12.2.3　消息完整性

【內(nèi)容解析】

許多應(yīng)用系統(tǒng)使用內(nèi)部消息進(jìn)行運行和處理。

這些應(yīng)用消息應(yīng)加以保護(hù)以確?允薟環(huán)⑸詞諶ǖ男薷幕蛩鴰怠?

ISO27001標(biāo)準(zhǔn)附錄 A.12.2.4　輸出數(shù)據(jù)確認(rèn)

【內(nèi)容解析】

對關(guān)鍵應(yīng)用系統(tǒng)的輸出應(yīng)進(jìn)行確認(rèn)，以確保輸出數(shù)據(jù)是準(zhǔn)確適當(dāng)?shù)摹?/p>

ISO27001標(biāo)準(zhǔn)附錄 A.12.3　密碼控制

ISO27001標(biāo)準(zhǔn)附錄 A.12.3.1　使用密碼控制的策略

【內(nèi)容解析】

密碼控制是保護(hù)信息和數(shù)據(jù)防止未授權(quán)的訪問或破壞的防護(hù)措施。盡管其對保護(hù)信息和數(shù)據(jù)的保密性和完整性十分有效，但組織還應(yīng)基于風(fēng)險評估來擬定其使用范圍。在組織管理方面應(yīng)制定和發(fā)布使用密碼的策略。

ISO27001標(biāo)準(zhǔn)附錄 A.12.3.2　密鑰管理

【內(nèi)容解析】

對于使用密鑰的組織應(yīng)具備一個正式的密鑰管理系統(tǒng)來保護(hù)密鑰，防止密鑰被盜、誤用和修改。

ISO27001標(biāo)準(zhǔn)附錄 A.12.4　系統(tǒng)文件的安全

ISO27001標(biāo)準(zhǔn)附錄 A.12.4.1　運行軟件的控制

【內(nèi)容解析】

確保只有經(jīng)過授權(quán)的軟件、應(yīng)用程序或系統(tǒng)才能安裝在運行的信息處理系統(tǒng)中。

ISO27001標(biāo)準(zhǔn)附錄 A.12.4.2　系統(tǒng)測試數(shù)據(jù)的保護(hù)

【內(nèi)容解析】

系統(tǒng)測試是對系統(tǒng)投入運行前或變更后的驗證和確認(rèn)，應(yīng)謹(jǐn)慎設(shè)計和選擇測試用例和數(shù)據(jù)，其中不應(yīng)包含敏感信息（如個人的信息，業(yè)務(wù)數(shù)據(jù)等）。系統(tǒng)測試數(shù)據(jù)也是一種歷史資源，有助于系統(tǒng)的運行維護(hù)人員對系統(tǒng)的故障和安全事態(tài)快速應(yīng)對。所以測試數(shù)據(jù)應(yīng)加以妥善保護(hù)和控制。

ISO27001標(biāo)準(zhǔn)附錄 A.12.4.3　對程序源代碼的訪問控制

【內(nèi)容解析】

源代碼是軟件程序和應(yīng)用系統(tǒng)的核心機密，在開發(fā)過程中應(yīng)通過配置管理（及工具）實施嚴(yán)格的配置控制；軟件產(chǎn)品或應(yīng)用系統(tǒng)進(jìn)入生產(chǎn)環(huán)境后還應(yīng)納入最終軟件庫；通過軟件開發(fā)和運行中的訪問控制和變更控制防止對源代碼的未授權(quán)的訪問、修改或損毀。

ISO27001標(biāo)準(zhǔn)附錄 A.12.5　開發(fā)和支持過程中的安全

ISO27001標(biāo)準(zhǔn)附錄 A.12.5.1　變更控制規(guī)程

【內(nèi)容解析】

對系統(tǒng)、應(yīng)用、數(shù)據(jù)和網(wǎng)絡(luò)裝置的變更應(yīng)通過正式的變更控制過程加以嚴(yán)格控制。

ISO27001標(biāo)準(zhǔn)附錄 A.12.5.2　操作系統(tǒng)變更后應(yīng)用的技術(shù)評審

【內(nèi)容解析】

在核心運行系統(tǒng)發(fā)生變更后，組織應(yīng)就其對一些關(guān)鍵應(yīng)用系統(tǒng)的影響，組織正式的技術(shù)評審，識別對信息安全和業(yè)務(wù)產(chǎn)生的其他負(fù)面影響，以便采取措施盡快消除問題。

ISO27001標(biāo)準(zhǔn)附錄 A.12.5.3　軟件包變更的限制

【內(nèi)容解析】

無論是通過購買還是組織內(nèi)自主研發(fā)的應(yīng)用軟件，都應(yīng)盡可能避免修改以有助于控制那些未識別的或未預(yù)期的安全漏洞。對必要的變更組織應(yīng)做好策劃和組織，最好將多項變更組合在一起，一次實施。以降低變更帶來的風(fēng)險。

ISO27001標(biāo)準(zhǔn)附錄 A.12.5.4　信息泄露

【內(nèi)容解析】

通過介質(zhì)、應(yīng)用、系統(tǒng)和其他渠道泄露的敏感信息，會對組織造成嚴(yán)重的負(fù)面影響。信息泄露的方式較多，例如：在邏輯方面包括網(wǎng)絡(luò)連接、存儲介質(zhì)；在物理方面包括紙片或文件；人員方面包括員工失誤、惡意行為等，需要組織謹(jǐn)慎設(shè)計和實施多種控制措施防止信息泄露。

ISO27001標(biāo)準(zhǔn)附錄 A.12.5.5　外包軟件開發(fā)

【內(nèi)容解析】

確定將應(yīng)用軟件系統(tǒng)開發(fā)部分或全部發(fā)包給外部機構(gòu)時，需要擬定對承包方的管理和控制措施。

ISO27001標(biāo)準(zhǔn)附錄 A.12.6　技術(shù)脆弱性管理

ISO27001標(biāo)準(zhǔn)附錄 A.12.6.1　技術(shù)脆弱性的控制

【內(nèi)容解析】

組織應(yīng)通過對系統(tǒng)和應(yīng)用軟件制造商有關(guān)安全脆弱性公告的監(jiān)視或與有關(guān)的權(quán)威檢測機構(gòu)確立脆弱性通告機制來及時獲取新的技術(shù)脆弱性信息，并針對發(fā)布的這類信息審查組織的系統(tǒng)、評價暴露程度并采取適當(dāng)?shù)奶幚泶胧ㄈ绨惭b補?。?。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5463.html