ISMS信息應(yīng)用系統(tǒng)安全控制.doc

ISMS信息應(yīng)用系統(tǒng)中的安全目標(biāo)：防止丟失，修改或誤用使用者在應(yīng)用系統(tǒng)中的數(shù)據(jù)。應(yīng)用系統(tǒng)中應(yīng)當(dāng)設(shè)計(jì)有適當(dāng)?shù)目刂拼胧┖蛯徍擞涗浕蚧顒尤罩?，包括使用者的書面?yīng)用。這些應(yīng)當(dāng)包括對輸入數(shù)據(jù)，內(nèi)部處理和輸出數(shù)據(jù)的確認(rèn)。對于處理，或影響敏感的、有價值的或重要的組織資產(chǎn)的系統(tǒng)，可能需要額外的控制措施。這樣的控制措施應(yīng)當(dāng)根據(jù)安全需求和風(fēng)險(xiǎn)評估來確定。1. 輸入數(shù)據(jù)的確認(rèn)輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)當(dāng)被確認(rèn)以確保它是正確的和適當(dāng)?shù)摹?yīng)檢查商業(yè)交易、固定數(shù)據(jù)（名稱和地址、信用貸款極限值、客戶參考數(shù)字）和參數(shù)表（銷售價格、貨幣兌換率、稅率）的輸入。應(yīng)當(dāng)考慮下列的控制措施： a） 通過雙重輸入或其他輸入檢查以檢測下列錯誤：1) 超位數(shù)值；2) 數(shù)據(jù)區(qū)中的無效字符；3) 丟失的或不完整的數(shù)據(jù)；4) 超出數(shù)據(jù)容量的上下極限；5) 未授權(quán)的或不一致的控制數(shù)據(jù)；b） 定期回顧關(guān)鍵區(qū)或數(shù)據(jù)文件的內(nèi)容，以確定他們的有效性和完整性；c） 檢查硬拷貝輸入文件是否有任何對輸入數(shù)據(jù)的未授權(quán)改動（對輸入文件的任何改動都應(yīng)當(dāng)經(jīng)過授權(quán)）；d） 用于響應(yīng)確認(rèn)錯誤的程序；e） 用于測試輸入數(shù)據(jù)的合理性的程序；f） 定義在數(shù)據(jù)輸入過程中所涉及的所有職員的責(zé)任。2. 內(nèi)部處理的控制(1) 風(fēng)險(xiǎn)區(qū)域已正確輸入的數(shù)據(jù)可因處理錯誤或通過故意的行為而被破壞。對合法性的檢查應(yīng)當(dāng)被并入系統(tǒng)以檢測這樣的破壞。應(yīng)用軟件的設(shè)計(jì)應(yīng)當(dāng)確保限制的實(shí)施以將導(dǎo)致完整性喪失的處理故障的風(fēng)險(xiǎn)降至最低。要考慮的特殊區(qū)域包括：a) 在程序中使用和設(shè)置增加與刪除功能以實(shí)施對數(shù)據(jù)的改動；b) 防止程序以錯誤的順序運(yùn)行或在初次處理故障后運(yùn)行的流程；c) 使用正確的程序從故障中恢復(fù)以確保對數(shù)據(jù)的正確處理。(2) 檢查和控制措施所要求的控制措施將取決于應(yīng)用軟件的性質(zhì)和對任何數(shù)據(jù)破壞的商業(yè)影響。其檢查實(shí)例包括：a） 會話或批處理控制措施，在交易更新之后協(xié)調(diào)數(shù)據(jù)文件的平衡；b） 平衡處理控制措施，針對先前的封閉平衡檢查開放平衡，即：1) 運(yùn)行到運(yùn)行的控制措施；2) 文件更新的總計(jì)；3) 程序到程序的控制措施；c） 對系統(tǒng)產(chǎn)生的數(shù)據(jù)的確認(rèn)；d） 檢查中心和遠(yuǎn)程計(jì)算機(jī)之間的下載或上傳數(shù)據(jù)或軟件的完整性（參見10.3.3）；e） 記錄和文件的無用數(shù)據(jù)總和；f） 檢查以確保應(yīng)用程序在正確的時間運(yùn)行；g） 檢查以確保程序按正確的順序運(yùn)行，在出現(xiàn)故障時終止，并在問題解決后才開始進(jìn)一步的處理。3. 消息的驗(yàn)證消息驗(yàn)證是一種技術(shù)，用于檢測對傳輸?shù)碾娮有畔⒌奈词跈?quán)改動或破壞。它可以在硬件或軟件中實(shí)施，支持物理信息驗(yàn)證裝置或軟件規(guī)則系統(tǒng)。對于有安全需求的應(yīng)用軟件，應(yīng)當(dāng)考慮消息驗(yàn)證以保護(hù)消息內(nèi)容的完整性，例如，非常重要的電子化的資金轉(zhuǎn)移，說明，合同，建議等或其他類似的電子數(shù)據(jù)的交換。應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)的評估以決定是否需要信息的驗(yàn)證并識別最適當(dāng)?shù)膶?shí)施方法。消息驗(yàn)證不是設(shè)計(jì)用來保護(hù)消息的內(nèi)容免受未授權(quán)的透露。加密技術(shù)（參見10.3.2和10.3.3）可以用作實(shí)施信息驗(yàn)證的一個適當(dāng)?shù)姆椒ā?. 輸出數(shù)據(jù)的確認(rèn)從應(yīng)用系統(tǒng)中輸出的數(shù)據(jù)應(yīng)當(dāng)被確認(rèn)以確保對存儲的信息的處理對于當(dāng)時的情形來說是正確的和適當(dāng)?shù)摹５湫偷?，系統(tǒng)建立在這樣的前提上，那就是對輸出數(shù)據(jù)所進(jìn)行的適當(dāng)?shù)拇_認(rèn)，驗(yàn)證和測試總是正確的。情形并不總是這樣。輸出數(shù)據(jù)的確認(rèn)可包括：a） 進(jìn)行合理性的檢查以測試輸出的數(shù)據(jù)是否合理；b） 進(jìn)行一致性的控制計(jì)算以確保對所有數(shù)據(jù)的處理；c） 為讀者提供充足的信息或隨后處理系統(tǒng)以決定信息的準(zhǔn)確性，完整性，精確度和分類；d） 用于響應(yīng)輸出數(shù)據(jù)合法性測試的程序；e） 定義數(shù)據(jù)輸出過程中所涉及的所有職員的責(zé)任。1.1 加密控制目標(biāo)：保護(hù)信息的秘密性，真實(shí)性或完整性對于被視為面臨風(fēng)險(xiǎn)的信息和其他的控制措施不能對其提供足夠保護(hù)的信息，應(yīng)當(dāng)使用加密系統(tǒng)和技術(shù)。1. 關(guān)于使用加密控制措施的方針決定加密的解決方案是否適當(dāng)應(yīng)當(dāng)被看作評估風(fēng)險(xiǎn)和選擇控制措施的較寬范圍過程的一部分。應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評估以決定對信息保護(hù)的程度。那么，這種評估就可以被用來決定加密的控制措施是否適當(dāng)，應(yīng)當(dāng)適用哪種類型的控制措施以及用于何種目的和商業(yè)過程。一個組織應(yīng)當(dāng)制定一個方針，關(guān)于為了保護(hù)其信息而對加密控制措施的使用。對于將利益最大化，將使用加密控制措施的風(fēng)險(xiǎn)最小化，以及避免不適當(dāng)?shù)幕虿徽_的使用來說，這樣一種方針是必需的。當(dāng)制定方針的時候，應(yīng)當(dāng)考慮如下方面：a） 整個組織針對使用加密控制措施的管理方法，包括總的原則，在這種原則的指導(dǎo)下，應(yīng)當(dāng)對信息進(jìn)行保護(hù)；b） 密鑰管理的方法，包括在密鑰被丟失，損害或破壞的情況下，對加密信息恢復(fù)的處理方法；c） 角色和責(zé)任，例如，誰負(fù)責(zé)：d） 方針的實(shí)施；e） 密鑰的管理；f） 如何決定加密保護(hù)的適當(dāng)標(biāo)準(zhǔn)；g） 為在整個組織內(nèi)的有效實(shí)施所采納的標(biāo)準(zhǔn)（對于哪種商業(yè)過程使用哪種解決方案）。2. 加密加密是一種密碼技術(shù)，它可以用于保護(hù)信息的秘密性。應(yīng)當(dāng)考慮將其用于敏感的或重要信息的保護(hù)。根據(jù)風(fēng)險(xiǎn)評估，應(yīng)當(dāng)考慮加密規(guī)則系統(tǒng)的類型和質(zhì)量以及所使用的密碼的長度來確認(rèn)所要求的保護(hù)標(biāo)準(zhǔn)。當(dāng)使用組織的加密方針時，應(yīng)當(dāng)考慮世界不同地區(qū)對于可能適用于加密技術(shù)使用的規(guī)則和國家的限制，以及加密信息跨國界流動的問題。另外，應(yīng)當(dāng)考慮適用于加密技術(shù)進(jìn)出口的控制措施。應(yīng)當(dāng)尋求專家的建議以確認(rèn)適當(dāng)?shù)谋Ｗo(hù)標(biāo)準(zhǔn)，選擇合適的產(chǎn)品，這些產(chǎn)品將提供所要求的保護(hù)以及密鑰管理安全系統(tǒng)的實(shí)施。另外，也需要尋求關(guān)于法律和規(guī)則的法律建議，這些法律和規(guī)則可能適用于組織對加密術(shù)的使用。3. 數(shù)字簽名數(shù)字簽名提供了一種保護(hù)電子文件真實(shí)性和完整性的方法。例如，它們可以被用于電子商務(wù)，在電子商務(wù)中，需要驗(yàn)證誰簽署了一份電子文件并檢查所簽署的文件內(nèi)容是否被修改了。數(shù)字簽名可以被適用于電子化處理的任何形式的文件，例如，它們可以被用于簽署電子支票，資金的轉(zhuǎn)移，合同和協(xié)議?？梢酝ㄟ^使用一種加密技術(shù)來實(shí)施數(shù)字簽名，該加密技術(shù)以一種獨(dú)特相關(guān)的一對密鑰為基礎(chǔ)，其中的一個密鑰被用來創(chuàng)立一個簽名（私人密鑰）而另一個用來檢查該簽名（公共密鑰）。應(yīng)當(dāng)注意保護(hù)私人密鑰的秘密性。該密鑰應(yīng)當(dāng)被秘密地保存，因?yàn)槿魏斡袡?quán)訪問該密鑰的人都能夠簽署文件，例如，支票，合同，因而偽造密鑰所有人的簽名。另外，保護(hù)公共密鑰的完整性是重要的。通過使用一種公共密鑰的鑒定來提供這種保護(hù)（參見10.3.5）。需要考慮所使用的簽名規(guī)則系統(tǒng)的類型和質(zhì)量以及所使用的密碼的長度。用于數(shù)字簽名的密鑰應(yīng)當(dāng)區(qū)別于用于加密的那些密鑰（參見10.3.2）。當(dāng)使用數(shù)字簽名的時候，應(yīng)當(dāng)考慮任何相關(guān)的法規(guī)，這些法規(guī)描述了數(shù)字簽名在什么條件下具有法律約束力。例如，在電子商務(wù)中，了解數(shù)字簽名的法律地位是很重要的。在法律結(jié)構(gòu)不足的地方，有具有約束力的合同或其他的協(xié)議以支持?jǐn)?shù)字簽名的使用可能是必需的。應(yīng)當(dāng)尋求關(guān)于法律和規(guī)則的法律建議，它可能適用于組織對于數(shù)字簽名的使用。4. 防抵賴服務(wù)防抵賴服務(wù)應(yīng)當(dāng)被用于解決關(guān)于一種事件或行為出現(xiàn)或未出現(xiàn)的爭端，例如，涉及在電子合同或支票上的數(shù)字簽的爭端。它們能夠幫助建立證據(jù)以證明一種特殊的事件或行為是否已經(jīng)發(fā)生，例如，拒絕使用電子郵件發(fā)送經(jīng)過數(shù)字簽名的說明書。這些服務(wù)以加密技術(shù)和數(shù)字簽名技術(shù)的使用為基礎(chǔ)。5. 密鑰的管理(1) 密鑰的保護(hù)密鑰的管理對于加密技術(shù)的有效使用是必要的。密鑰的任何損害或丟失都可能導(dǎo)致信息的秘密性，真實(shí)性或完整性的損害。應(yīng)當(dāng)有適當(dāng)?shù)墓芾硐到y(tǒng)以支持組織對兩種類型的加密技術(shù)的使用，分別是：a） 對稱密鑰技術(shù)，兩個或更多的當(dāng)事方共享相同的密鑰并且該密鑰被用于加密和解密信息。該密鑰必須被秘密地保存，因?yàn)槿魏斡袡?quán)訪問該密鑰的人都能夠解密用該密鑰所加密的所有信息，或引入非法的信息。b） 公鑰加密技術(shù)，每一個使用者都有一對密鑰，一個公共密鑰（可以透露給任何人）和一個私人密鑰（必須秘密地保存）。公鑰加密技術(shù)可以用于加密和進(jìn)行數(shù)字簽名。應(yīng)當(dāng)保護(hù)所有的密鑰，防止修改和破壞，需要保護(hù)秘密的和私人的密鑰，防止未授權(quán)的透露。加密技術(shù)也可以用于這個目的。應(yīng)當(dāng)使用物理保護(hù)來保護(hù)用于產(chǎn)生，存儲和將密鑰存檔的設(shè)備。(2) 標(biāo)準(zhǔn)、程序和方法密鑰管理系統(tǒng)應(yīng)當(dāng)以一套議定的標(biāo)準(zhǔn)，程序和安全方法為基礎(chǔ)，這些標(biāo)準(zhǔn)，程序和方法用于如下方面：a） 產(chǎn)生用于不同的加密系統(tǒng)和不同的應(yīng)用軟件的密鑰；b） 產(chǎn)生和獲得公共密鑰的鑒定；c） 對預(yù)期的使用者發(fā)布密鑰，包括收到時如何激活密鑰；d） 存儲密鑰，包括授權(quán)的使用者如何獲得對密鑰的訪問；e） 改動或更新密鑰，包括關(guān)于密鑰應(yīng)當(dāng)何時被改動以及如何改動的規(guī)則；f） 處理受到損害的密鑰；g） 撤銷密鑰包括密鑰應(yīng)當(dāng)如何被撤回或撤銷，例如，當(dāng)密鑰被損壞或當(dāng)一個使用者離開組織的時候（在這種情形下，密鑰也應(yīng)當(dāng)被存檔）；h） 恢復(fù)丟失或破壞的密鑰作為商業(yè)持續(xù)性管理的一部分，例如，用于加密信息的恢復(fù)；i） 將密鑰存檔，例如，用于存檔或備份的信息的密鑰；j） 銷毀密鑰；k） 記錄和審核與密鑰管理有關(guān)的活動。為了減少危害的可能性，密鑰應(yīng)當(dāng)有規(guī)定的有效期，以便它們僅僅可以用于一段有限的時間。這段時間應(yīng)當(dāng)取決于加密的控制措施被使用的環(huán)境以及所覺察到的風(fēng)險(xiǎn)?？赡苄枰紤]處理處理訪問密鑰的法律要求的程序，例如，加密的信息可能需要以未加密的形式作為法庭案件中的證據(jù)。在除了對秘密的和私人的密鑰進(jìn)行安全管理的問題之外，也應(yīng)當(dāng)考慮對公共密鑰的保護(hù)。對于公共密鑰存在一種威脅，那就是某人通過用他們自己的公共密鑰代替使用者的公共密鑰，從而偽造數(shù)字簽名。通過使用公共密鑰的鑒定來解決這個問題。這些鑒定應(yīng)當(dāng)通過一種將與公共/私人密鑰對的所有者有關(guān)的信息獨(dú)特地與公共密鑰連接在一起的方式進(jìn)行的。所以，進(jìn)行這些鑒定的管理過程值得信任是很重要的。這個過程通常由一個認(rèn)證的權(quán)威機(jī)構(gòu)進(jìn)行，該機(jī)構(gòu)應(yīng)當(dāng)是一個被承認(rèn)的組織，它具有適當(dāng)?shù)目刂拼胧┖瓦m當(dāng)?shù)牧鞒桃蕴峁┧蟮男湃味?。與外部的加密服務(wù)的供應(yīng)商，如與一個認(rèn)證機(jī)構(gòu)，所簽訂的服務(wù)標(biāo)準(zhǔn)協(xié)議或合同的內(nèi)容，應(yīng)當(dāng)包括責(zé)任，服務(wù)的可靠性和對服務(wù)提供的相應(yīng)時間。ISO27001信息安全管理標(biāo)準(zhǔn)理解及內(nèi)審員培訓(xùn) 培訓(xùn)熱線：0755-25936263、25936264 李小姐  客服QQ：1484093445、675978375  ISO27001信息安全管理標(biāo)準(zhǔn)理解及內(nèi)審員培訓(xùn)    下載報(bào)名表   內(nèi)訓(xùn)調(diào)查表 【課程描述】ISO/IEC27001:2005信息技術(shù)安全管理體系要求用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全。本課程將詳述ISO 27001:2005/ISO 27002:2005標(biāo)準(zhǔn)的每一個要求，指導(dǎo)如何管理信息安全風(fēng)險(xiǎn)，并附以大量的審核實(shí)戰(zhàn)案例以作說明。內(nèi)部審核部分將以ISO 19011:2002為基礎(chǔ)，教授學(xué)員如何策劃和實(shí)施信息安全管理體系內(nèi)部審核活動。掌握該體系的具體執(zhí)行程序和標(biāo)準(zhǔn)，并了解對該體系進(jìn)行檢查和審核的方法以及制作審核報(bào)告的技巧。 【課程幫助】如果你想對本課程有更深入的了解，請參考 >>> 德信誠ISO27001內(nèi)審員相關(guān)資料手冊【課程對象】信息安全管理人員，欲將ISO27001導(dǎo)入組織的人員，在ISO27001實(shí)施過程中承擔(dān)內(nèi)部審核工作的人員，有志于從事IT信息安全管理工作的人員。 【課程大綱】第一部分：ISO27001：2005信息安全概述、標(biāo)準(zhǔn)條款講解 信息安全概述：信息及信息安全，CIA目標(biāo)，信息安全需求來源，信息安全管理。 風(fēng)險(xiǎn)評估與管理：風(fēng)險(xiǎn)管理要素，過程，定量與定性風(fēng)險(xiǎn)評估方法，風(fēng)險(xiǎn)消減。 ISO/IEC 27001簡介：ISO27001標(biāo)準(zhǔn)發(fā)展歷史、現(xiàn)狀和主要內(nèi)容，ISO27001標(biāo)準(zhǔn)認(rèn)證。 信息安全管理實(shí)施細(xì)則：從十個方面介紹ISO27001的各項(xiàng)控制目標(biāo)和控制措施。 信息安全管理體系規(guī)范：ISO/IEC27001-2005標(biāo)準(zhǔn)要求內(nèi)容，PDCA管理模型，ISMS建設(shè)方法和過程。第二部分：ISO27001：2005信息安全管理體系文件建立（ISO27001與ISO9001、ISO14001管理體系如何整合） ISO27001與ISO9001、ISO14001的異同 ISO27001與ISO9001、ISO14001可以共用的程序文件和三級文件 如何將三體系整合降低公司的體系運(yùn)行成本 ISO9001、ISO14001、ISO27001體系三合一整合案例分析第三部分：信息安全管理體系內(nèi)部審核技巧和認(rèn)證應(yīng)對案例分析 ISO27001：2005標(biāo)準(zhǔn)對內(nèi)審員的新要求 信息安全管理體系認(rèn)證現(xiàn)場審核的流程、技巧及溝通方法 如何應(yīng)對認(rèn)證公司的認(rèn)證審核、監(jiān)督審核、案例分析 考試 >>> 考試合格者頒發(fā)“ISO27000信息安全管理體系內(nèi)部審核員培訓(xùn)合格證書”1.2 系統(tǒng)文件的安全目標(biāo)：確保以一種安全的方式進(jìn)行IT計(jì)劃和支持活動。應(yīng)當(dāng)控制對系統(tǒng)文件的訪問。維護(hù)系統(tǒng)的完整性應(yīng)當(dāng)由用戶功能或應(yīng)用系統(tǒng)或軟件所從屬的開發(fā)組負(fù)責(zé)。1. 操作系統(tǒng)軟件的控制應(yīng)當(dāng)對操作系統(tǒng)上的軟件的實(shí)施提供控制。為了最大限度降低操作系統(tǒng)破壞的風(fēng)險(xiǎn)，應(yīng)當(dāng)考慮下列的控制措施。a） 對操作系統(tǒng)程序庫的更新只能由指定的程序庫管理員根據(jù)適當(dāng)?shù)墓芾硎跈?quán)來進(jìn)行。b） 如有可能，操作系統(tǒng)應(yīng)只保留執(zhí)行碼。c） 在證實(shí)測試成功和用戶接收之前，以及相應(yīng)的程序資源庫被更新之前，操作系統(tǒng)不應(yīng)運(yùn)行執(zhí)行碼。d） 應(yīng)保存所有操作程序庫的更新檢查記錄。e） 應(yīng)當(dāng)保留以前的軟件版本作為臨時應(yīng)變措施。應(yīng)當(dāng)將操作系統(tǒng)中所使用的由銷售商所供應(yīng)的軟件維護(hù)在由供應(yīng)商所支持的標(biāo)準(zhǔn)上。對升級到新版本的任何決定都應(yīng)當(dāng)考慮該版本的安全性，例如，新的安全功能的引入或影響該版本的安全問題的數(shù)量和嚴(yán)重性。如果軟件的修補(bǔ)能夠有助于消除或減少安全的弱點(diǎn)，那么就應(yīng)當(dāng)應(yīng)用軟件的修補(bǔ)。在必要的時候，經(jīng)管理層的批準(zhǔn)，僅僅是出于支持的目的而給予供應(yīng)商物理或邏輯上的訪問權(quán)。應(yīng)當(dāng)監(jiān)控供應(yīng)商的活動。2. 系統(tǒng)測試數(shù)據(jù)的保護(hù)測試數(shù)據(jù)應(yīng)當(dāng)受到保護(hù)和控制。系統(tǒng)和接收測試通常要求大量盡可能接近于操作數(shù)據(jù)的測試數(shù)據(jù)。應(yīng)當(dāng)避免使用含有個人信息的操作數(shù)據(jù)庫。如果使用這種信息，則在使用之前，應(yīng)當(dāng)使其失去個性。當(dāng)用于測試的目的時，應(yīng)當(dāng)使用下列控制措施保護(hù)操作數(shù)據(jù)。a) 適用于操作應(yīng)用系統(tǒng)的訪問控制程序也應(yīng)當(dāng)適用于操作應(yīng)用系統(tǒng)。b) 操作信息每一次被復(fù)制到一個測試應(yīng)用系統(tǒng)的時候都應(yīng)當(dāng)有一個單獨(dú)的驗(yàn)證。c) 測試完成后，應(yīng)當(dāng)立即將操作信息從測試應(yīng)用系統(tǒng)中清除。d) 應(yīng)當(dāng)記錄操作信息的復(fù)制和使用以供以后審核之用。3. 對程序資源庫的訪問控制為了減少計(jì)算機(jī)程序被破壞的可能性，應(yīng)當(dāng)如下所述保持對程序資源庫訪問的嚴(yán)格控制。a） 在可能的地方，程序資源庫不應(yīng)當(dāng)被保存在操作系統(tǒng)中。b） 應(yīng)當(dāng)為每一種應(yīng)用指定程序庫管理程序。c） IT技術(shù)支持人員不應(yīng)當(dāng)具有對程序資源庫不受限制的訪問權(quán)。d） 開發(fā)或維護(hù)中的程序不應(yīng)當(dāng)被保存在操作程序資源庫中。e） 程序源庫的更新和向程序員發(fā)布的程序源應(yīng)由指定的程序庫管理程序根據(jù)信息技術(shù)支持經(jīng)理對應(yīng)用的授權(quán)來完成。f） 程序清單應(yīng)當(dāng)被保存在一個安全的環(huán)境中。g） 應(yīng)保存對所有程序資源庫訪問的審核記錄。h） 舊版本的源程序，當(dāng)它們被操作時，其精確日期和時間的明確指示，連同所有支持軟件、工作控制、數(shù)據(jù)定義和程序，均應(yīng)歸檔。i） 對程序源庫的維護(hù)和復(fù)制應(yīng)當(dāng)依從嚴(yán)格的改動控制流程（參見10.4.1）。1.3 開發(fā)和支持過程的安全目標(biāo)：保持應(yīng)用系統(tǒng)軟件和信息的安全應(yīng)當(dāng)嚴(yán)格控制項(xiàng)目和支持環(huán)境。負(fù)責(zé)應(yīng)用系統(tǒng)的管理人員也應(yīng)當(dāng)負(fù)責(zé)項(xiàng)目或支持環(huán)境的安全。他們應(yīng)當(dāng)確保所有建議的系統(tǒng)改動都被回顧，以檢查他們沒有危害系統(tǒng)或操作環(huán)境的安全。1. 改動控制流程為了將信息系統(tǒng)的損壞減至最小，應(yīng)當(dāng)對改動的實(shí)施進(jìn)行嚴(yán)格的控制。應(yīng)當(dāng)加強(qiáng)正規(guī)的改動控制流程。他們應(yīng)當(dāng)確保安全和控制流程不被損害，技術(shù)支持程序員只能訪問那些他們的工作所必須的部分系統(tǒng)，并應(yīng)當(dāng)獲得對于任何改動的正式的協(xié)議和批準(zhǔn)。改動應(yīng)用軟件可能影響操作環(huán)境。在切實(shí)可行的地方，應(yīng)當(dāng)整合應(yīng)用和操作改動控制流程（參見8.1.2）。這個過程應(yīng)當(dāng)包括：a） 保留一個關(guān)于議定的授權(quán)標(biāo)準(zhǔn)的記錄；b） 確保改動是由授權(quán)的用戶所提交的；c） 回顧控制措施和整合流程以確保它們不會受到改動的損害；d） 識別所有需要修改的計(jì)算機(jī)軟件，信息，數(shù)據(jù)庫實(shí)體和硬件；e） 在工作開始之前，獲得對詳細(xì)建議的正式批準(zhǔn)；f） 確保授權(quán)的用戶在任何實(shí)施之前接受改動；g） 確保實(shí)施的進(jìn)行，以使商業(yè)受到的破壞最小化；h） 確保在完成每次改動時，更新建立的系統(tǒng)文件，將舊文件存檔或處理掉；i） 保持對所有軟件更新的版本控制；j） 保持對于所有改動請求的審核追蹤；k） 確保對操作文件和用戶程序的必要的適當(dāng)改動；l） 確保改動的實(shí)施在正確的時間發(fā)生并且沒有干擾所涉及的商業(yè)過程。許多組織保留了一個用戶測試新軟件的環(huán)境，該環(huán)境與開發(fā)和生產(chǎn)環(huán)境相隔離。這提供了一種方法，可以對新軟件進(jìn)行控制，對用于測試目的的操作信息進(jìn)行額外的保護(hù)。2. 對操作系統(tǒng)改動的技術(shù)回顧有必要定期改動操作系統(tǒng)，例如安裝新提供的軟件版本或修補(bǔ)程序。當(dāng)改動出現(xiàn)的時候，應(yīng)當(dāng)回顧和測試應(yīng)用系統(tǒng)以確保對于操作或安全沒有相反的影響。這個過程應(yīng)當(dāng)包括：a） 回顧應(yīng)用控制措施和整合流程以確保它們沒有受到操作系統(tǒng)改動的損害；b） 確保一年一度的支持計(jì)劃和預(yù)算將涵蓋由操作系統(tǒng)改動所導(dǎo)致的回顧和系統(tǒng)測試；c） 確保及時提供操作系統(tǒng)改動通知，以在實(shí)施之前，進(jìn)行適當(dāng)?shù)幕仡?；d） 確保對商業(yè)持續(xù)性計(jì)劃進(jìn)行適當(dāng)?shù)母膭印?. 關(guān)于對軟件包改動的限制不應(yīng)當(dāng)鼓勵對軟件包的修改。實(shí)際上，銷售商所提供的軟件包應(yīng)當(dāng)最大可能的不被修改而使用。在認(rèn)為必要修改軟件包的地方，應(yīng)當(dāng)考慮如下幾點(diǎn)：a） 內(nèi)置的控制措施和整合過程被損害的風(fēng)險(xiǎn)；b） 是否應(yīng)當(dāng)獲得銷售商的同意；c） 從廠商那里獲得作為標(biāo)準(zhǔn)程序更新所要求的改動的可能性；d） 如果組織由于軟件的改動而對其將來的維護(hù)負(fù)責(zé)所帶來的影響。如果認(rèn)為有必要改動，則應(yīng)保留原始軟件，并在完全一樣的復(fù)制件上進(jìn)行改動。所有的改動應(yīng)經(jīng)過充分的測試并形成文件，以便如果有必要的話，它們可以被應(yīng)用于將來的軟件升級。4. 隱藏的信道和特洛伊代碼隱藏的信道可以通過某些間接的和模糊的方法暴露信息。它可以被激活，通過改變被計(jì)算機(jī)系統(tǒng)的安全和不安全的因素所訪問的參數(shù)，或通過將信息置入數(shù)據(jù)流中。特洛伊代碼是被設(shè)計(jì)用來以一種方式影響一個系統(tǒng)的，該方式未被授權(quán)，不容易被發(fā)現(xiàn)并且不是程序接收者或用戶所要求的。隱藏的信道和特洛伊代碼很少偶然出現(xiàn)，在涉及到隱藏的信道或特洛伊代碼的地方，應(yīng)當(dāng)考慮如下幾點(diǎn)：a） 只能購買規(guī)范程序；b） 購買使用源代碼的程序以便代碼可以被驗(yàn)證；c） 使用評估過的產(chǎn)品；d） 在進(jìn)行操作使用之前，檢查所有的源代碼；e） 代碼一旦被安裝，就控制對代碼的訪問和修改；f） 使用被證明是可靠的職員操作關(guān)鍵的系統(tǒng)。5外包的軟件開發(fā)在軟件的開發(fā)被外包的地方，應(yīng)當(dāng)考慮如下幾點(diǎn)：a） 許可安排，代碼的所有權(quán)和知識產(chǎn)權(quán)；b） 質(zhì)量合格證和所進(jìn)行的工作的精確度；c） 在第三方發(fā)生故障的情況中，有第三方保存，待條件完成后即交受讓人的證書的安排；d） 質(zhì)量審核和所作工作精確度的訪問權(quán)；e） 對于代碼質(zhì)量的契約上的要求；f） 在安裝之前進(jìn)行測試以檢測特洛伊代碼。