0976.389.199
ISO / IEC 27034-1: 2011 - Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1: Tổng quan và khái niệm

ISO / IEC 27034-1: 2011 - Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1: Tổng quan và khái niệm

ISO / IEC 27034 cung cấp hướng dẫn để hỗ trợ các tổ chức tích hợp bảo mật vào các quá trình được sử dụng để quản lý các ứng dụng của họ. ISO / IEC 27034-1: 2011 trình bày tổng quan về bảo mật ứng dụng. Nó giới thiệu các định nghĩa, khái niệm, nguyên tắc và quy trình liên quan đến bảo mật ứng dụng. ISO / IEC 27034 có thể áp dụng cho các ứng dụng được phát triển nội bộ, các ứng dụng được mua lại từ các bên thứ ba và khi việc phát triển hoặc vận hành ứng dụng được thuê ngoài.

Tiêu chuẩn ISO / IEC 27034-1: 2011

Giới thiệu

0.1 Giới thiệu chung

Các tổ chức nên bảo vệ thông tin và cơ sở hạ tầng công nghệ của mình để duy trì hoạt động kinh doanh. Theo truyền thống, điều này đã được giải quyết ở cấp độ CNTT bằng cách bảo vệ chu vi và các thành phần cơ sở hạ tầng công nghệ như máy tính và mạng, điều này nói chung là không đủ.

Ngoài ra, các tổ chức đang ngày càng tự bảo vệ mình ở cấp độ quản trị bằng cách vận hành các hệ thống quản lý an toàn thông tin (ISMS) được chính thức hóa, thử nghiệm và xác minh. Cách tiếp cận có hệ thống góp phần tạo nên một hệ thống quản lý an toàn thông tin hiệu quả như được mô tả trong ISO / IEC 27001 .

Tuy nhiên, các tổ chức phải đối mặt với nhu cầu ngày càng tăng để bảo vệ thông tin của họ ở cấp ứng dụng.

Ứng dụng cần được bảo vệ khỏi các lỗ hổng có thể vốn có đối với chính ứng dụng (ví dụ: lỗi phần mềm), xuất hiện trong vòng đời của ứng dụng (ví dụ: thông qua các thay đổi đối với ứng dụng) hoặc phát sinh do việc sử dụng ứng dụng trong một ngữ cảnh mà nó không được dự định.

Cách tiếp cận có hệ thống để tăng cường bảo mật ứng dụng cung cấp bằng chứng rằng thông tin được sử dụng hoặc lưu trữ bởi các ứng dụng của tổ chức được bảo vệ thích hợp.

Các ứng dụng có thể được mua thông qua phát triển nội bộ, thuê ngoài hoặc mua một sản phẩm thương mại. Các ứng dụng cũng có thể được thu thập thông qua sự kết hợp của các phương pháp này có thể đưa ra các hàm ý bảo mật mới cần được xem xét và quản lý.

Ví dụ về các ứng dụng là hệ thống nhân sự, hệ thống tài chính, hệ thống xử lý văn bản, hệ thống quản lý khách hàng, tường lửa, hệ thống chống vi-rút và hệ thống phát hiện xâm nhập.

Trong suốt vòng đời của nó, một ứng dụng an toàn thể hiện các đặc điểm tiên quyết của chất lượng phần mềm, chẳng hạn như khả năng thực thi và tuân thủ có thể dự đoán được, cũng như đáp ứng các yêu cầu bảo mật từ quan điểm phát triển, quản lý, cơ sở hạ tầng công nghệ và kiểm toán. Các quy trình và thực hành được tăng cường bảo mật - và những người có kỹ năng để thực hiện chúng - được yêu cầu để xây dựng các ứng dụng đáng tin cậy không làm tăng nguy cơ rủi ro vượt quá mức rủi ro tồn tại có thể chấp nhận được hoặc có thể chấp nhận được và hỗ trợ ISMS hiệu quả.

Ngoài ra, một ứng dụng an toàn có tính đến các yêu cầu bảo mật bắt nguồn từ loại dữ liệu, môi trường được nhắm mục tiêu (bối cảnh kinh doanh, quy định và công nghệ), các tác nhân và đặc điểm kỹ thuật của ứng dụng. Cần có bằng chứng chứng minh rằng mức rủi ro tồn dư có thể chấp nhận được (hoặc có thể chấp nhận được) đã đạt được và đang được duy trì.0,2 Mục đích

Mục đích của ISO / IEC 27034 là hỗ trợ các tổ chức tích hợp bảo mật một cách liền mạch trong suốt vòng đời của các ứng dụng của họ bằng cách:

a) cung cấp các khái niệm, nguyên tắc, khuôn khổ, thành phần và quy trình
b) cung cấp các cơ chế hướng theo quy trình để thiết lập các yêu cầu bảo mật, đánh giá rủi ro bảo mật, ấn định Mức độ tin cậy được nhắm mục tiêu và lựa chọn các biện pháp kiểm soát và xác minh bảo mật tương ứng;
c) cung cấp hướng dẫn để thiết lập các tiêu chí chấp nhận cho các tổ chức thuê ngoài việc phát triển hoặc vận hành các ứng dụng và cho các tổ chức mua từ các ứng dụng của bên thứ ba;
d) cung cấp các cơ chế hướng quá trình để xác định, tạo và thu thập bằng chứng cần thiết để chứng minh rằng các ứng dụng của chúng có thể được sử dụng an toàn trong một môi trường xác định;
e) hỗ trợ các khái niệm chung được quy định trong ISO / IEC 27001 và hỗ trợ thực hiện thỏa đáng an toàn thông tin dựa trên cách tiếp cận quản lý rủi ro; và
f) cung cấp một khuôn khổ giúp thực hiện các biện pháp kiểm soát an ninh được quy định trong ISO / IEC 27002 và các tiêu chuẩn khác.

ISO / IEC 27034 :

a) áp dụng cho phần mềm cơ bản của ứng dụng và các yếu tố góp phần ảnh hưởng đến bảo mật của ứng dụng, chẳng hạn như dữ liệu, công nghệ, các quy trình vòng đời phát triển ứng dụng, các quy trình và tác nhân hỗ trợ; và
b) áp dụng cho mọi quy mô và mọi loại hình tổ chức (ví dụ: doanh nghiệp thương mại, cơ quan chính phủ, tổ chức phi lợi nhuận) có rủi ro liên quan đến ứng dụng.

ISO / IEC 27034 không :

a) cung cấp các hướng dẫn về an ninh mạng và vật lý
b) cung cấp các biện pháp kiểm soát hoặc đo lường
c) cung cấp thông số kỹ thuật mã hóa an toàn cho bất kỳ ngôn ngữ lập trình nào.

ISO / IEC 27034 không phải là :

a) tiêu chuẩn phát triển ứng dụng phần mềm
b) một tiêu chuẩn quản lý dự án ứng dụng
c) tiêu chuẩn vòng đời phát triển phần mềm.

Các yêu cầu và quy trình được quy định trong ISO / IEC 27034 không nhằm mục đích thực hiện riêng lẻ mà được tích hợp vào các quy trình hiện có của tổ chức. Để đạt được hiệu quả này, các tổ chức nên lập bản đồ các quy trình và khuôn khổ hiện có của họ theo các quy trình được đề xuất bởi ISO / IEC 27034 , do đó giảm tác động của việc thực hiện ISO / IEC 27034 .

Phụ lục A (cung cấp thông tin) cung cấp một ví dụ minh họa cách một quy trình phát triển phần mềm hiện có có thể được ánh xạ tới một số thành phần và quy trình của ISO / IEC 27034 . Nói chung, một tổ chức sử dụng bất kỳ vòng đời phát triển nào nên thực hiện ánh xạ như mô tả trong Phụ lục A và bổ sung bất kỳ thành phần hoặc quy trình còn thiếu nào cần thiết để tuân thủ ISO / IEC 27034 .

0.3 Đối tượng được nhắm mục tiêu

0.3.1 Yêu cầu chung

Các đối tượng sau đây sẽ được hưởng lợi từ ISO / IEC 27034 trong khi thực hiện các vai trò tổ chức được chỉ định của họ:

a) các nhà quản lý
b) đội cung cấp và vận hành
c) mua lại cá nhân
d) nhà cung cấp
e) kiểm toán viên.

0.3.2 Người quản lý

Người quản lý là những người tham gia vào việc quản lý ứng dụng trong suốt vòng đời hoàn chỉnh của nó. Các giai đoạn áp dụng của vòng đời ứng dụng bao gồm giai đoạn cung cấp và giai đoạn sản xuất. Ví dụ về các nhà quản lý là:

a) các nhà quản lý an toàn thông tin
b) các nhà quản lý dự án
c) các nhà quản trị
d) người mua phần mềm
e) các nhà quản lý phát triển phần mềm
f) chủ sở hữu ứng dụng
g) các nhà quản lý tuyến, những người giám sát nhân viên.

Thông thường, các nhà quản lý cần:

a) cân bằng giữa chi phí triển khai và duy trì bảo mật ứng dụng trước những rủi ro và giá trị mà nó đại diện cho tổ chức
b) xem xét các báo cáo của kiểm toán viên đề xuất chấp nhận hoặc từ chối dựa trên việc một ứng dụng đã đạt được và duy trì Mức độ Tin cậy Mục tiêu của nó hay chưa
c) đảm bảo tuân thủ các tiêu chuẩn, luật và quy định theo bối cảnh quy định của ứng dụng (xem 8.1.2.2 )
d) giám sát việc thực hiện một ứng dụng an toàn
e) ủy quyền cho Mức độ tin cậy mục tiêu theo bối cảnh cụ thể của tổ chức
f) xác định các biện pháp kiểm soát an ninh và các phép đo xác minh tương ứng cần được thực hiện và thử nghiệm
g) giảm thiểu chi phí xác minh bảo mật ứng dụng
h) các chính sách và thủ tục bảo mật tài liệu cho một ứng dụng
i) cung cấp nhận thức về an ninh, đào tạo và giám sát cho tất cả các bên
j) đưa ra các biện pháp rõ ràng về an toàn thông tin thích hợp được yêu cầu bởi các thủ tục và chính sách an toàn thông tin hiện hành
k) bám sát tất cả các kế hoạch bảo mật liên quan đến hệ thống trong toàn bộ mạng của tổ chức.

0.3.3 Đội ngũ cung cấp và vận hành

Thành viên của nhóm cung cấp và vận hành (được gọi chung là nhóm dự án) là những người liên quan đến thiết kế, phát triển và bảo trì của ứng dụng trong toàn bộ vòng đời của nó. Các thành viên bao gồm:

a) kiến trúc sư
b) các nhà phân tích
c) lập trình viên
d) người thử nghiệm
e) quản trị viên hệ thống
f) quản trị viên cơ sở dữ liệu
g) quản trị viên mạng
h) nhân viên kỹ thuật.

Thông thường, các thành viên cần:

a) hiểu những biện pháp kiểm soát nào nên được áp dụng ở mỗi giai đoạn trong vòng đời của ứng dụng và tại sao
b) hiểu những kiểm soát nào nên được thực hiện trong chính ứng dụng
c) giảm thiểu tác động của việc đưa các biện pháp kiểm soát vào các hoạt động phát triển, thử nghiệm và tài liệu trong vòng đời ứng dụng;
d) đảm bảo rằng các biện pháp kiểm soát được giới thiệu đáp ứng các yêu cầu của các phép đo liên quan
e) có được quyền truy cập vào các công cụ và thực tiễn tốt nhất để hợp lý hóa việc phát triển, thử nghiệm và tài liệu
f) tạo điều kiện thuận lợi cho việc đánh giá đồng cấp
g) tham gia vào kế hoạch và chiến lược mua lại
h) thiết lập các mối quan hệ kinh doanh để có được hàng hóa và dịch vụ cần thiết, (ví dụ như để trưng cầu, đánh giá và trao hợp đồng)
i) sắp xếp việc xử lý các hạng mục còn sót lại sau khi công việc hoàn thành, (ví dụ: quản lý / xử lý tài sản).

0.3.4 Người mua

Điều này bao gồm tất cả những người liên quan đến việc mua một sản phẩm hoặc dịch vụ.

Thông thường, những người mua lại cần phải:

a) chuẩn bị các yêu cầu đối với các đề xuất bao gồm các yêu cầu về kiểm soát an ninh
b) lựa chọn các nhà cung cấp tuân thủ các yêu cầu đó
c) xác minh bằng chứng về các biện pháp kiểm soát an ninh được áp dụng bởi các dịch vụ thuê ngoài
d) đánh giá sản phẩm bằng cách xác minh bằng chứng về các biện pháp kiểm soát bảo mật ứng dụng được triển khai chính xác.

0.3.5 Nhà cung cấp

Điều này bao gồm tất cả những người liên quan đến việc cung cấp một sản phẩm hoặc dịch vụ.

Thông thường, các nhà cung cấp cần:

a) tuân thủ các yêu cầu bảo mật ứng dụng từ các yêu cầu đề xuất
b) lựa chọn các biện pháp kiểm soát bảo mật ứng dụng thích hợp cho các đề xuất, liên quan đến tác động của chúng đối với chi phí
c) cung cấp bằng chứng cho thấy các biện pháp kiểm soát an ninh bắt buộc được thực hiện một cách chính xác trong các sản phẩm hoặc dịch vụ được đề xuất.

0.3.6 Kiểm toán viên

Kiểm toán viên là những người cần:

a) hiểu phạm vi và các thủ tục liên quan đến các phép đo kiểm tra xác nhận đối với các biện pháp kiểm soát tương ứng
b) đảm bảo rằng các kết quả đánh giá có thể lặp lại
c) thiết lập danh sách các phép đo xác minh tạo ra bằng chứng rằng ứng dụng đã đạt đến Mức độ tin cậy mục tiêu theo yêu cầu của ban quản lý
d) áp dụng các quy trình đánh giá được chuẩn hóa dựa trên việc sử dụng các bằng chứng có thể xác minh được.

0.3.7 Người dùng

Người dùng là những người cần:

a) tin tưởng rằng nó được coi là an toàn để sử dụng hoặc triển khai một ứng dụng
b) tin tưởng rằng một ứng dụng tạo ra các kết quả đáng tin cậy một cách nhất quán và kịp thời
c) tin tưởng rằng các biện pháp kiểm soát và các phép đo xác minh tương ứng của chúng được định vị và hoạt động chính xác như mong đợi.

0.4 Nguyên tắc

0.4.1 Bảo mật là một yêu cầu

Các yêu cầu bảo mật cần được xác định và phân tích cho từng giai đoạn trong vòng đời của ứng dụng, được giải quyết và quản lý một cách thích hợp trên cơ sở liên tục.

Các yêu cầu về bảo mật của ứng dụng (xem 6.4 ) phải được xử lý theo cách tương tự như các yêu cầu về chức năng, chất lượng và khả năng sử dụng (xem ISO / IEC 9126 về ví dụ về mô hình chất lượng). Ngoài ra, cần thiết lập các yêu cầu liên quan đến bảo mật để phù hợp với các giới hạn đã thiết lập về rủi ro tồn đọng.

Theo ISO / IEC / IEEE 29148 (đang được phát triển), các yêu cầu phải cần thiết, trừu tượng, rõ ràng, nhất quán, đầy đủ, ngắn gọn, khả thi, có thể theo dõi và xác minh. Các đặc điểm tương tự áp dụng cho các yêu cầu bảo mật. Các yêu cầu bảo mật mơ hồ như “Nhà phát triển nên phát hiện ra tất cả các rủi ro bảo mật quan trọng đối với ứng dụng” quá thường xuyên gặp phải trong tài liệu của các dự án ứng dụng.

0.4.2 Bảo mật ứng dụng phụ thuộc vào ngữ cảnh

Bảo mật ứng dụng bị ảnh hưởng bởi một môi trường đích xác định. Loại và phạm vi của các yêu cầu bảo mật ứng dụng được xác định bởi các rủi ro mà ứng dụng phải chịu, do đó phụ thuộc vào ba bối cảnh:

a) bối cảnh kinh doanh: rủi ro cụ thể phát sinh từ lĩnh vực kinh doanh của tổ chức (công ty điện thoại, công ty vận tải, chính phủ, v.v.)
b) bối cảnh pháp lý: các rủi ro cụ thể phát sinh từ vị trí địa lý nơi tổ chức đang kinh doanh (quyền sở hữu trí tuệ và cấp phép, các hạn chế về bảo vệ mật mã, bản quyền, luật và quy định, luật bảo mật, v.v.)
c) bối cảnh công nghệ: rủi ro cụ thể từ các công nghệ được tổ chức sử dụng trong quá trình kinh doanh [thiết kế ngược, bảo mật các công cụ xây dựng, bảo vệ mã nguồn, sử dụng mã biên dịch trước của bên thứ ba, kiểm tra bảo mật, kiểm tra thâm nhập, giới hạn kiểm tra, kiểm tra mã, môi trường công nghệ thông tin và truyền thông (ICT) trong đó ứng dụng chạy, tệp cấu hình và dữ liệu chưa biên dịch, các đặc quyền của hệ điều hành để cài đặt và / hoặc vận hành, bảo trì, phân phối an toàn, v.v.].

Bối cảnh công nghệ bao gồm các đặc điểm kỹ thuật của ứng dụng (chức năng bảo mật, các thành phần an toàn, thanh toán trực tuyến, nhật ký an toàn, mật mã, quản lý quyền, v.v.).

Một tổ chức có thể khẳng định rằng một ứng dụng là an toàn, nhưng sự khẳng định này chỉ có giá trị đối với tổ chức cụ thể này trong bối cảnh kinh doanh, quy định và công nghệ cụ thể của tổ chức đó. Ví dụ: nếu cơ sở hạ tầng công nghệ của ứng dụng thay đổi hoặc ứng dụng được sử dụng cho các mục đích tương tự ở một quốc gia khác, thì những bối cảnh mới này có thể ảnh hưởng đến các yêu cầu bảo mật và Mức độ tin cậy được nhắm mục tiêu. Kiểm soát bảo mật ứng dụng hiện tại có thể không còn giải quyết đầy đủ các yêu cầu bảo mật mới và ứng dụng có thể không còn an toàn nữa.

0.4.3 Đầu tư thích hợp cho bảo mật ứng dụng

Chi phí áp dụng Kiểm soát bảo mật ứng dụng và thực hiện các phép đo kiểm tra phải tương xứng với Mức độ tin cậy mục tiêu (xem 8.1.2.6.4 ) mà chủ sở hữu ứng dụng hoặc ban quản lý yêu cầu.

Các chi phí này có thể được coi là một khoản đầu tư vì chúng làm giảm chi phí, trách nhiệm của chủ sở hữu ứng dụng và hậu quả pháp lý của việc vi phạm bảo mật.

0.4.4 Bảo mật ứng dụng cần được chứng minh

Quy trình đánh giá ứng dụng trong ISO / IEC 27034 (xem 8.5 ) sử dụng bằng chứng có thể xác minh được cung cấp bởi Kiểm soát an ninh ứng dụng (xem 8.1.2.6.5 ).

Một ứng dụng không thể được tuyên bố là an toàn trừ khi đánh giá viên đồng ý rằng bằng chứng hỗ trợ được tạo ra bởi các phép đo xác minh tương ứng của Kiểm soát bảo mật ứng dụng hiện hành chứng tỏ rằng nó đã đạt đến Mức độ tin cậy mục tiêu của ban quản lý.

0.5 Mối quan hệ với các tiêu chuẩn quốc tế khác

0.5.1 Yêu cầu chung


Hình 1 cho thấy mối quan hệ giữa ISO / IEC 27034 và các tiêu chuẩn quốc tế khác.

0.5.2    ISO / IEC 27001 , Hệ thống quản lý an toàn thông tin - Yêu cầu

ISO / IEC 27034 giúp thực hiện, với phạm vi giới hạn trong bảo mật ứng dụng, các khuyến nghị từ ISO / IEC 27001 . Cụ thể, các phương pháp sau được sử dụng:

a) cách tiếp cận có hệ thống để quản lý an ninh
b) Phương pháp tiếp cận quy trình “Lập kế hoạch, Thực hiện, Kiểm tra, Hành động”
c) thực hiện bảo mật thông tin dựa trên quản lý rủi ro.

0.5.3    ISO / IEC 27002 , Quy tắc thực hành về quản lý an toàn thông tin

ISO / IEC 27002 cung cấp các thông lệ mà một tổ chức có thể thực hiện dưới dạng Kiểm soát an ninh ứng dụng theo đề xuất của ISO / IEC 27034 . Điều quan tâm nhất là các biện pháp kiểm soát theo các điều khoản sau trong ISO / IEC 27002: 2005 :

a) khoản 10: Truyền thông và Quản lý Hoạt động
b) điều khoản 11: Kiểm soát truy cập; và quan trọng nhất
c) điều khoản 12: Mua lại, Phát triển và Bảo trì Hệ thống Thông tin.

0.5.4    ISO / IEC 27005 , Quản lý rủi ro an toàn thông tin

ISO / IEC 27034 giúp thực hiện, với phạm vi giới hạn trong bảo mật ứng dụng, quy trình quản lý rủi ro do ISO / IEC 27005 đề xuất . Xem Phụ lục C (cung cấp thông tin) để thảo luận chi tiết hơn.

0.5.5    ISO / IEC 21.827 , Kỹ thuật hệ thống an ninh - Capability Maturity Model® (SSE-CMM®)

ISO / IEC 21827 cung cấp các thông lệ cơ sở về kỹ thuật bảo mật mà một tổ chức có thể triển khai dưới dạng Kiểm soát an ninh ứng dụng như được đề xuất bởi ISO / IEC 27034 . Ngoài ra, các quy trình từ ISO / IEC 27034 giúp đạt được một số khả năng xác định các mức năng lực trong ISO / IEC 21827 .

0.5.6    ISO / IEC 15408-3 , Tiêu chí đánh giá về bảo mật CNTT - Phần 3: Các thành phần đảm bảo an ninh

ISO / IEC 15408-3 cung cấp các yêu cầu và yếu tố hành động mà một tổ chức có thể thực hiện dưới dạng Kiểm soát an ninh ứng dụng theo đề xuất của ISO / IEC 27034 .

0.5.7    ISO / IEC TR 15443-1 , Khuôn khổ về đảm bảo an ninh CNTT - Phần 1: Tổng quan và khuôn khổ, và ISO / IEC TR 15443-3 , Khuôn khổ về đảm bảo an ninh CNTT - Phần 3: Phân tích các phương pháp đảm bảo

ISO / IEC 27034 giúp thực thi và phản ánh các nguyên tắc đảm bảo an ninh của ISO / IEC TR 15443-1 và đóng góp vào các trường hợp đảm bảo của ISO / IEC TR 15443-3 .

0.5.8    ISO / IEC 15026-2 , Hệ thống và kỹ thuật phần mềm - Hệ thống và đảm bảo phần mềm - Phần 2: Trường hợp đảm bảo

Việc sử dụng các quy trình và Kiểm soát bảo mật ứng dụng từ ISO / IEC 27034 trong các dự án ứng dụng trực tiếp cung cấp các trường hợp đảm bảo về tính bảo mật của ứng dụng. Đặc biệt,

a) các tuyên bố và lý do của chúng được cung cấp bởi quá trình phân tích rủi ro bảo mật ứng dụng
b) bằng chứng được cung cấp bởi các phép đo xác minh tích hợp của Kiểm soát bảo mật ứng dụng
c) sự phù hợp với ISO / IEC 27034 có thể được sử dụng làm đối số trong nhiều trường hợp đảm bảo như vậy.

Xem thêm 8.1.2.6.5.1 .

0.5.9    ISO / IEC 15288 , Hệ thống và kỹ thuật phần mềm - Quy trình vòng đời hệ thống và ISO / IEC 12207 , Hệ thống và kỹ thuật phần mềm - Quy trình vòng đời phần mềm

ISO / IEC 27034 cung cấp các quy trình bổ sung cho tổ chức, cũng như Kiểm soát an ninh ứng dụng mà tổ chức có thể chèn các hoạt động bổ sung vào các hệ thống hiện có của mình và các quy trình vòng đời kỹ thuật phần mềm như được cung cấp bởi ISO / IEC 15288 và ISO / IEC 12207 .

0.5.10 ISO / IEC TR 29193 (đang được phát triển), Các nguyên tắc và kỹ thuật xây dựng hệ thống an toàn

ISO / IEC TR 29193 cung cấp hướng dẫn về kỹ thuật hệ thống an toàn của các hệ thống hoặc sản phẩm CNTT-TT mà một tổ chức có thể triển khai dưới dạng Kiểm soát bảo mật ứng dụng theo đề xuất của ISO / IEC 27034 .

1 Phạm vi

ISO / IEC 27034 cung cấp hướng dẫn để hỗ trợ các tổ chức tích hợp bảo mật vào các quá trình được sử dụng để quản lý các ứng dụng của họ.

Phần này của ISO / IEC 27034 trình bày tổng quan về bảo mật ứng dụng. Nó giới thiệu các định nghĩa, khái niệm, nguyên tắc và quy trình liên quan đến bảo mật ứng dụng.

ISO / IEC 27034 có thể áp dụng cho các ứng dụng được phát triển nội bộ, các ứng dụng được mua lại từ các bên thứ ba và khi việc phát triển hoặc vận hành ứng dụng được thuê ngoài.

2 Tài liệu tham khảo

Các tài liệu sau đây, toàn bộ hoặc một phần, được viện dẫn một cách chuẩn tắc trong tài liệu này và không thể thiếu cho việc áp dụng nó. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

  • ISO / IEC 27000: 2009 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
  • ISO / IEC 27001: 2005 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu
  • ISO / IEC 27002: 2005 Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về quản lý an toàn thông tin
  • ISO / IEC 27005: 2011 Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý rủi ro an toàn thông tin

Xem Preview Tiêu chuẩn ISO / IEC 27034-1: 2011

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.

Bài viết liên quan