敬請註冊 ... !    登入
關於本協會
登入
軟體品質資源專區
主選單
最新討論文章
討論區主頁
   資訊安全管理
     ISO 27001-2013的控制措施包含系統安全工程之部分
無發表權

樹狀顯示 | 新的在前 前一個主題 | 下一個主題 | 頁尾
發表者 討論內容
tyrone
發表時間: 2014-03-13 17:42
網站管理員
註冊日: 2003-04-19
來自: CSQA
發表數: 342
ISO 27001-2013的控制措施包含系統安全工程之部分
在ISO 27001:2005年版本的ANNEX A 「A.12 資訊系統獲取、開發及維護」有關於「應用系統的正確處理」的控制措施,在ISO 27001-2013中,全部刪除,併入「系統獲取、開發及維護」控制領域的中相關控制措施例如:A.14.1.1資訊安全要求事項分析及規格,及A.14.2.5 保全系統工程原則(新增之控制措施)之中,另外還新生了A.14.2.1保全開發政策、A.14.2.6安全發展環境及A.14.2.8系統安全測試等控制措施,另外對於專案管理部分,也增加了A.6.1.5專案管理之資訊安全,顯然,新版控制措施在資訊系統之規劃、設計、發展及資訊系統專案管理方面的資訊安全下了許多工夫。或許是希望從資訊系統源頭開始就處理資訊安全的問題,畢竟要在功能已經完備的系統上去談資訊安全,修改系統,以做好資訊安全防護是困難且成本昂貴。當然,這當中,也順便可以讓ISO的另一個標準Information technology-Systems Security Engineering-Capability Maturity Model (SSE-CMM)(系統安全工程能力成熟度模型,CNS為「CNS 15099-資訊技術-系統安全工程-能力成熟度模型」)(當然,重要的是其中所涉及的資訊系統產品生命週期中的practices)露個臉。

資訊系統之系統安全工程,於許多政府部門來說,為防民眾的個資外洩,其實是很重要的事情,只是或許政府部門在更換為ISO 27001:2013版本的ISMS時,會刻意地避掉這些控制措施,因為控制措施不再是照單全收Annex A的控制措施...而是通過風險管理評鑑的結果來選擇,當然...如果外部的利害關係人、利益團體認為政府部門應該做,那麼稽核員就要發揮一下專業(稽核員是國民,也是政府部門資訊安全管理系統的利益團體的一份子),多開幾張NC...


----------------
引文:

凡所有相皆是虛妄。見諸相非相。即見如來。

林泰龍
◎軟體品質協會 理事
◎經濟部標準檢驗局資訊及通信國家標準技術委員會(TC21/SC3資訊軟體分組委員會)委員
Youtube Channel: http://www.youtube.com/user/tyrone9304

steplv
發表時間: 2014-03-27 11:36
Just popping in
註冊日: 2007-10-21
來自: www.step365.com
發表數: 6
Re: ISO 27001-2013的控制措施包含系統安全工程之部分
正在學習中,收藏備用。


----------------
思步網 (http://www.step365.com) 全員改進第一社區!
在我們的人生道路上,肯定會遇到許許多多的困難,但我們是不是都知道,在前進的道路上,搬開別人腳下的絆腳石,有時恰恰是為自己鋪路?

腳踏實地,方能有所作為;有所作為,有為且有不為。

樹狀顯示 | 新的在前 前一個主題 | 下一個主題 | 頁首

無發表權
 
-=協會通訊地址:330047 桃園市桃園區大林路100號6樓 =-
電話:(03) 367-8567 電子信箱:register@csqa-tw.org.tw=-
-=本網著作權為中華民國資訊軟體品質協會所有,禁止未經授權轉貼節錄=-
Powered by XOOPS , Twe76.net