 討論區主頁 資訊安全管理
ISO 27001-2013的控制措施包含系統安全工程之部分 | 無發表權 |
| 樹狀顯示 | 新的在前 | 前一個主題 | 下一個主題 | 頁尾 |
| 發表者 | 討論內容 |
|---|---|
| tyrone | 發表時間: 2014-03-13 17:42 |
網站管理員   註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
ISO 27001-2013的控制措施包含系統安全工程之部分 在ISO 27001:2005年版本的ANNEX A 「A.12 資訊系統獲取、開發及維護」有關於「應用系統的正確處理」的控制措施,在ISO 27001-2013中,全部刪除,併入「系統獲取、開發及維護」控制領域的中相關控制措施例如:A.14.1.1資訊安全要求事項分析及規格,及A.14.2.5 保全系統工程原則(新增之控制措施)之中,另外還新生了A.14.2.1保全開發政策、A.14.2.6安全發展環境及A.14.2.8系統安全測試等控制措施,另外對於專案管理部分,也增加了A.6.1.5專案管理之資訊安全,顯然,新版控制措施在資訊系統之規劃、設計、發展及資訊系統專案管理方面的資訊安全下了許多工夫。或許是希望從資訊系統源頭開始就處理資訊安全的問題,畢竟要在功能已經完備的系統上去談資訊安全,修改系統,以做好資訊安全防護是困難且成本昂貴。當然,這當中,也順便可以讓ISO的另一個標準Information technology-Systems Security Engineering-Capability Maturity Model (SSE-CMM)(系統安全工程能力成熟度模型,CNS為「CNS 15099-資訊技術-系統安全工程-能力成熟度模型」)(當然,重要的是其中所涉及的資訊系統產品生命週期中的practices)露個臉。
資訊系統之系統安全工程,於許多政府部門來說,為防民眾的個資外洩,其實是很重要的事情,只是或許政府部門在更換為ISO 27001:2013版本的ISMS時,會刻意地避掉這些控制措施,因為控制措施不再是照單全收Annex A的控制措施...而是通過風險管理評鑑的結果來選擇,當然...如果外部的利害關係人、利益團體認為政府部門應該做,那麼稽核員就要發揮一下專業(稽核員是國民,也是政府部門資訊安全管理系統的利益團體的一份子),多開幾張NC...
凡所有相皆是虛妄。見諸相非相。即見如來。 |
| steplv | 發表時間: 2014-03-27 11:36 |
Just popping in  註冊日: 2007-10-21 來自: www.step365.com 發表數: 6 |
Re: ISO 27001-2013的控制措施包含系統安全工程之部分 正在學習中,收藏備用。
|
| 樹狀顯示 | 新的在前 | 前一個主題 | 下一個主題 | 頁首 |
| 無發表權 | |