A.14 系统获取、开发和维护 | ||
A.14.1 信息系统的安全要求 | ||
目标:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求 | ||
A.14.1.1 | 信息安全要求分析和说明 | 控制 新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。 |
A.14.1.2 | 公共网络上应 用服务的安全 保护 | 控制 应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。 |
A.14.1.3 | 应用服务事务的保护 | 控制 应保护应用服务事务中的信息,以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。 |
控制解析:
- “A.14 系统获取、开发和维护”是软件开发安全的要求,应策划软件开发整个生命周期(需求分析、系统设计、编码实现、软件测试、交付等)的安全管理,这些内容需要在《软件开发安全管理程序》中体现。
- 在软件开发需求分析阶段,除了制定和评审业务功能需求外,还必须制定和评审安全功能需求(如口令系统(见A.9.4.3要求)的设计)。
- “A.14.1.2”和“A.14.1.3”要求,一般只针对涉及“订单交易、支付信息”等系统(如京东、淘宝等),一般组织都不存在这样的系统,所以在适用性声明中一般都把“A.14.1.2”和“A.14.1.3”列为不适用。
实施本控制应输出的文档:
- 《软件开发安全管理程序》。
- 安全功能需求分析和评审记录。
本控制审核要点:
- 检查《软件开发安全管理程序》是否对软件开发整个生命周期(需求分析、系统设计、编码实现、软件测试、交付等)做出安全管控要求。
- 抽查软件开发项目,在需求分析阶段是否有做确定和评审安全功能需求,并能提供相关记录。