服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27001标准“A.12.5 运行软件控制”条款讲解
信息安全认证:ISO27001标准“A.12.5 运行软件控制”条款讲解
【标准条款】
A.12.5运行软件控制
目的:保证运行系统的完整性。
A.12.5.1运行系统软件的安装
应实现运行系统软件安装控制规程。
【理解与应用】
控制运行系统上软件的变更,宜考虑下列指南:
(1)宜仅由受过培训的管理员,根据合适的管理授权(见 A.9.4.5程序源代码的访问控制),进行运行软件、应用和程序库的更新;
(2)运行系统宜仅具有经过批准的可执行代码,而不能具有开发代码和编译程序;
(3)应用和操作系统软件宜仅在全面的、成功的测试后予以实现;这种测试宜包括实用性、安全性、对其他系统的影响和用户友好性的测试,且测试宜在独立的系统上完成(见 A.12.1.4开发、测试和运行环境的分离);宜确保所有对应的程序源码库已经更新;
(4)宜使用配置控制系统对所有已开发的软件和系统文件进行控制;
(5)在变更实现之前宜有回退的策略;
(6)宜维护对运行程序库的所有更新的审计日志;
(7)宜保留应用软件的先前版本作为应急措施;
(8)软件的旧版本,连同所有需要的信息和参数、规程、配置细节以及支持软件宜被归档,并与归档的数据具有相同的保留期。
在运行系统中所使用的由厂商供应的软件宜在供应商支持的级别上加以维护。一段时间后,软件供应商停止支持旧版本的软件。组织宜考虑依赖于这种不再支持的软件的风险。
升级到新版的任何决策宜考虑变更的业务要求和新版的安全,即引入的新安全功能或影响该版本安全问题的数量和严重程度。当软件补丁有助于消除或减少安全弱点(见 A.12.6 技术脆弱性管理)时,宜使用软件补丁。
必要时在管理者批准的情况下,仅为了支持目的,才授予供应商物理或逻辑访问权。宜监视供应商的活动(见 A.15.2.1供应商服务的监视和评审)。
计算机软件可能依靠外部提供的软件和模块,宜对这些产品进行监视和控制,以避免可能引入安全弱点的非授权的变更。
想了解更多的关于信息安全认证信息可以经常关注我们
【相关文章】
- 《信息技术 安全技术 可鉴别的加密机制 GB/T36624-2018》免费下载
- 《信息安全技术 信息技术产品安全可控评价指标 第2部分:中央处理器 GB/T36630.2-2018》免费下载
- 《中国银保监会监管数据安全管理办法(试行)》
- 如何降低互联智能企业信息安全的风险?
- 量子计算挑战信息安全 我国量子通信产业加速布局
- 健康码信息安全保护力度是否足够?委员建议设置“准入门槛”
- 中国电信加快布局信息安全市场,护航5G时代公共安全
- ISO27001标准“A.12.5 运行软件控制”条款讲解
- ISO27001标准“A.12.6 技术方面的脆弱性管理”条款讲解
- ISO27000标准“A.12.7 信息系统审计的考虑”条款讲解