信息安全认证:ISO27001标准“A.14.1信息系统的安全要求”条款讲解
添加时间:2021-1-30
【标准条款】
A.14 系统获取、开发和维护
A. 14.1信息系统的安全要求
目的:确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求
A.14.1.1信息安全要求分析和说明
新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。
【理解与应用】
宜使用不同的方法来识别信息安全要求,例如,来自政策法规的符合性要求、威胁建模、事件评审或脆弱性阈值的使用。识别结果宜形成文件并被所有利益相关方评审。
信息安全要求和控制宜反映出所涉及信息的业务价值(见A.8.2信息分级),和可能由于缺乏足够的安全导致的潜在的负面的业务影响。
宜在信息系统项目初期阶段识别和管理信息安全要求和相关的过程。尽早考虑信息安全要求(如在设计阶段)可形成更高效和具有成本效益的解决方案。
信息安全要求宜考虑∶
(1)针对用户声称身份所要求的信任度,得出用户鉴别要求;
(2)对业务用户、特权人员或技术人员的访问配置和授权过程;
(3)告知用户和操作人员的职责和责任;
(4)所涉及资产的保护需求,尤其是有关可用性、保密性和完整性;
(5)来自业务过程的要求,例如,事务日志、监视和抗抵赖要求;
(6)其他安全控制规定的要求,例如,对记录和监视系统或数据泄露检测系统的接口。
对于在公共网络上提供服务或实现交易的应用而言,宜考虑A.14.1.2公共网络上应用服务的安全保护和 A.14.1.3应用服务事务的保护中给出的控制。
如需某种产品,则宜遵循一个正式的测试和获取过程。与供货商签订的合同宜确定已识别的安全要求。如果推荐的产品的安全功能不能满足规定的安全要求,那么在购买产品之前宜重新考虑引入的风险和相关控制。
宜评价和实现可用的产品安全配置指南及其系统的最终软件/服务栈。
宜规定产品接收准则(如产品的功能性方面),这可为满足已识别的安全要求提供保证。宜在获取产品之前根据这些准则评价产品。宜评审附加功能以确保其不会引入不可接受的附加风险。
ISO/IEC27005和ISO31000提供了使用风险管理过程识别满足信息安全要求的控制的指南。
【标准条款】
A.14.1.2 公共网络上应用服务的安全保护
应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。
【理解与应用】
公共网络上应用服务的安全宜考虑∶
(1)每一方要求其他方所声称身份的信心程度,例如通过鉴别;
(2)与可批准、发布或签署关键交易文件内容的人员相关联的授权过程;
(3)确保在与合作伙伴的沟通中,完整地告知了他们有关服务供给或使用的授权;
(4)确定并满足关键文件的保密性、完整性、分发和接受证明的要求以及合同的抗抵赖要求,例如所关联的投标和签署合同的过程;
(5)关键文件完整性所要求的可信等级;
(6)任何保密信息的保护要求;
(7)任何订单交易、支付信息、交付地址细节和接收确认的保密性和完整性;
(8)适用于验证顾客提供的支付信息的验证程度;
(9)为防止欺诈,选择最适合的支付结算方式;
(10)为保持订单信息的保密性和完整性所需的保护级别;
(11)避免交易信息的丢失或复制;
(12)与任何欺诈交易相关的义务;
(13)保险要求。
上述考虑可以通过应用密码控制来实现(见A.10密码),还要考虑符合法律要求(见A.18符合性,特别是A.18.1.5密码控制规则)。
合作伙伴间的应用服务协议宜形成文件,该协议列出了双方达成一致的服务条款,包括上述授权 【见(2)】的细节。
宜考虑受攻击后快速恢复的要求,可包括为了交付服务,保护所涉及的应用服务器的要求或确保所需的网络连接的可用性的要求。
同时也需要关注:
通过公共网络可访问的应用程序易遭受许多网络相关的威胁,如欺诈活动、合同争端和向公众泄露信息。因此详细的风险评估和适当的控制选择不可或缺。所要求的控制通常包括有关鉴别和使数据传输安全的密码学方法。
可以使应用服务使用安全的鉴别方法,如使用公钥密码技术和数字签名(见 A.10密码)以减少风险。另外,当需要这些服务时,可使用可信第三方。
【标准条款】
A.14.1.3 应用服务事务的保护
应保护应用服务事务中的信息,以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。
【理解与应用】
应用服务事务的信息安全宜考虑:
(1)事务中涉及的每一方的电子签名的使用;
(2)事务的所有方面,即确保∶
——各方的用户秘密鉴别信息是有效的并经过验证的;
——事务保持保密性;
——保持各方相关联的隐私;
(3)加密涉及的各方间的通信路径;
(4)在涉及的各方之间通信的协议是安全的;
(5)确保事务细节存储于任何公开可访问环境之外,如存储于组织内部互联网的存储平台,不留在或暴露于互联网可直接访问的存储介质上;
(6)当使用一个可信机构(例如为了颁布及维护数字签名或数字认证)时,安全可被集成嵌入到整个端到端认证/签名管理过程中。
同时,也需要关注:
采用控制的程度要对应每种形式应用服务事务相关的风险级别。
事务需要符合事务产生、处理、完成或存储的管辖区域的法律、规则和规章。
关于“ISO27001信息安全管理体系认证咨询”的相关资讯
