Tổng quan

Tiêu chuẩn ISO / IEC 27034-2: 2015

Giới thiệu

Tổng quan

Các tổ chức phải bảo vệ thông tin và cơ sở hạ tầng công nghệ của mình để duy trì hoạt động kinh doanh. Ngày càng có nhiều nhu cầu đối với các tổ chức tập trung vào việc bảo vệ thông tin của họ ở cấp độ ứng dụng. Một cách tiếp cận có hệ thống nhằm cải thiện tính bảo mật của ứng dụng cung cấp cho tổ chức bằng chứng rằng thông tin đang được sử dụng hoặc lưu trữ bởi các ứng dụng của tổ chức đang được bảo vệ đầy đủ.

ISO / IEC 27034 cung cấp các khái niệm, nguyên tắc, khuôn khổ, thành phần và quy trình để hỗ trợ các tổ chức tích hợp bảo mật một cách liền mạch trong suốt vòng đời của các ứng dụng của họ.

Khung Chuẩn mực Tổ chức (ONF) là cơ quan quan trọng nhất trong số các thành phần đó.

ONF là một khuôn khổ toàn tổ chức, nơi lưu trữ tất cả các phương pháp hay nhất về bảo mật ứng dụng được tổ chức công nhận. Nó bao gồm các thành phần thiết yếu, các quy trình sử dụng các thành phần này và các quy trình để quản lý ONF chính nó. Nó là nền tảng của bảo mật ứng dụng trong tổ chức và tất cả các quyết định về bảo mật ứng dụng trong tương lai của tổ chức phải được thực hiện bằng cách tham khảo khuôn khổ này. ONF là nguồn có thẩm quyền cho tất cả các thành phần và quy trình liên quan đến bảo mật ứng dụng trong tổ chức.

Phần này của ISO / IEC 27034 xác định các quy trình cần thiết để quản lý tính bảo mật của các ứng dụng trong tổ chức. Các quy trình này được trình bày trong 5.4 . Nó cũng giới thiệu các yếu tố liên quan đến bảo mật của các ứng dụng (quy trình, vai trò và thành phần) cần được tích hợp vào ONF. Các yếu tố này được trình bày trong 5.5 .

Cuối cùng, phần này của ISO / IEC 27034 trình bày về Đánh giá quá trình ONF, cần thiết của một tổ chức để xác minh ONF của tổ chức đó và xác minh sự tuân thủ của tất cả các ứng dụng với các yêu cầu và kiểm soát trong ONF. Quá trình này được trình bày trong 5.4.8 .

Mục đích

Mục đích của phần này của tiêu chuẩn ISO / IEC 27034 là hỗ trợ các tổ chức tạo, duy trì và xác nhận ONF của chính họ phù hợp với các yêu cầu của tiêu chuẩn này.

Phần này của ISO / IEC 27034 được thiết kế để cho phép một tổ chức điều chỉnh hoặc tích hợp ONF của mình với kiến ​​trúc doanh nghiệp của tổ chức và / hoặc các yêu cầu của hệ thống quản lý an toàn thông tin của tổ chức. Tuy nhiên, việc triển khai hệ thống quản lý an toàn thông tin như được mô tả trong ISO / IEC 27001 không phải là một yêu cầu để thực hiện Tiêu chuẩn này.

Đối tượng được Nhắm mục tiêu

Tổng quan

Những khán giả sau đây sẽ tìm thấy giá trị và lợi ích khi thực hiện các vai trò tổ chức được chỉ định của họ:

a) các nhà quản lý
b) Ủy ban ONF
c) các chuyên gia lĩnh vực
d) kiểm toán viên.

Người quản lý

Các nhà quản lý nên đọc tiêu chuẩn này vì họ chịu trách nhiệm về những việc sau:

a) cải thiện bảo mật ứng dụng thông qua ONF và các khía cạnh khác của ISO / IEC 27034
b) đảm bảo ONF luôn phù hợp với hệ thống quản lý an toàn thông tin của tổ chức và nhu cầu bảo mật ứng dụng
c) lãnh đạo việc thành lập ONF trong tổ chức
d) đảm bảo ONF có sẵn, được truyền đạt và sử dụng trong các dự án ứng dụng với các công cụ và thủ tục phù hợp trong toàn bộ tổ chức
e) xác định (các) cấp độ quản lý thích hợp mà Ủy ban ONF báo cáo.

Ủy ban ONF

Ủy ban ONF chịu trách nhiệm quản lý việc thực hiện và duy trì các thành phần và quy trình liên quan đến ứng dụng-bảo mật trong Khung quy chuẩn của Tổ chức. Ủy ban ONF cần

a) quản lý chi phí thực hiện và duy trì ONF,
b) xác định những thành phần và quy trình nào nên được thực hiện trong ONF,
c) đảm bảo các thành phần và quy trình được giới thiệu tôn trọng các ưu tiên của tổ chức đối với các yêu cầu bảo mật,
d) xem xét các báo cáo của đánh giá viên để chấp nhận hoặc từ chối rằng ONF phù hợp với tiêu chuẩn này và đáp ứng các yêu cầu của tổ chức,
e) cung cấp các quy trình và công cụ để quản lý việc tuân thủ các tiêu chuẩn, luật và quy định theo bối cảnh pháp lý của tổ chức,
f) truyền đạt nhận thức về an ninh, đào tạo và giám sát cho tất cả các bên, và
g) thúc đẩy việc tuân thủ ONF cho tất cả các dự án ứng dụng trong toàn tổ chức.

Nhóm phát triển ONF

Các chuyên gia đã được Ủy ban ONF giao nhiệm vụ phát triển và thực hiện một hoặc nhiều (các) yếu tố ONF, những người cần

a) phát triển và triển khai phần tử ONF được thiết kế,
b) xác định việc đào tạo sử dụng các phần tử ONF bởi các tác nhân khác nhau của nó, và
c) cộng tác trong việc cung cấp đào tạo đầy đủ cho các diễn viên.

Chuyên gia tên miền

Các chuyên gia cung cấp, vận hành, mua lại và kiểm toán, những người cần

a) tham gia vào việc thực hiện và duy trì ONF
b) xác nhận rằng ONF có thể sử dụng được và hữu ích trong quá trình của một dự án ứng dụng
c) đề xuất các thành phần và quy trình mới.

Kiểm toán viên

Đánh giá viên là nhân viên thực hiện các vai trò trong quá trình đánh giá, những người cần tham gia vào quá trình xác nhận và xác minh ONF.

CHÚ THÍCH: Đánh giá viên có thể là bên ngoài hoặc bên trong tổ chức, tùy thuộc vào mục tiêu và hoàn cảnh của cuộc đánh giá, cũng như theo các chính sách đánh giá và các yêu cầu về sự tuân thủ của tổ chức.

1 Phạm vi

Phần này của tiêu chuẩn ISO / IEC 27034 cung cấp mô tả chi tiết về Khung tiêu chuẩn của tổ chức và cung cấp hướng dẫn cho các tổ chức để thực hiện.

2 Tài liệu tham khảo

Các tài liệu sau đây, toàn bộ hoặc một phần, được viện dẫn một cách chuẩn tắc trong tài liệu này và không thể thiếu cho việc áp dụng nó. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được viện dẫn (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO / IEC 27005 Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý rủi ro an toàn thông tin
• ISO / IEC 27034-1: 2011 Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1: Tổng quan và khái niệm

CHÚ THÍCH: Chi tiết bổ sung về mối quan hệ giữa ISO / IEC 27034 và các tiêu chuẩn khác có trong ISO / IEC 27034-1: 2011, 0.5 .

Xem Preview Tiêu chuẩn ISO / IEC 27034-2: 2015

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.