討論區主頁 資訊安全稽核 應用系統生命週期中,計畫管理者/專案經理應履行的資訊安全政策。 | 無發表權 |
樹狀顯示 | 新的在前 | 前一個主題 | 下一個主題 | 頁尾 |
發表者 | 討論內容 |
---|---|
tyrone | 發表時間: 2010-08-15 15:45 |
網站管理員 註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
應用系統生命週期中,計畫管理者/專案經理應履行的資訊安全政策。 說明:以下各項安全性政策敘述中的"將"字,屬強制性要求。APPxxxx.x為檢核表上的代號,CAT I/II/III係指嚴重性代碼。
(APP2010.1:CAT II) 計畫管理者將確保系統安全性計畫(SSP)的建立,其描述技術、行政管理、及程序上的IA計畫與政策,治理DoD資訊系統,並識別所有的資訊保證(IA)人員及特定IA需求與目標。 (APP2010.2:CAT II) 計畫管理者將確保對必要IA角色的所有委派,以書面方式行之,其中包含指派的職務與委派準則,諸如訓練、安全性查核、及IT任命。 (APP2020.1:CAT II) 計畫管理者將提供應用系統組態指引給應用系統託管服務提供者。 (APP2020.2:CAT II) 計畫管理者將提供所有可能託管的群落表列,和連接規則與需求。 (APP2020.3:CAT II) 計畫管理者將確保發展系統、構築系統、及測試系統等具有標準化的環境,並寫入應用系統組態指引中。 (APP2040.1:CAT II) 若系統含有分類保密資訊,則計畫管理者將確保安全性分類指引的存在,其含有資料元件及其分類。 (APP2050:CAT II) 計畫管理者將確保系統已被指定特定的MAC與機密性等級。 (APP2060.1:CAT II) 計畫管理者將確保發展團隊遵循一組程式碼編寫標準。 (APP2060.2:CAT II) 計畫管理者將確保發展團隊創建一份要避免的不安全函式列表,並將此列表納入程式碼編寫標準中。 (APP2070.1:CAT III) 計畫管理者將確保應用系統所使用的IA與以IA致能之產品,經過NIAP核准或使用NIAP核定的過程。 (APP2080.1:CAT II) 計畫管理者將確保用以保護公開發布之資訊的COTS IA與以IA致能之產品,遵循國家安全局(NSA)所背書的基礎強固保護剖繪(Basic Robustness Protection Profiles)。 (APP2080.2:CAT II) 計畫管理者將確保用以保護在非DoD所擁有之網路傳輸敏感性資訊,或系統處理由未獲授權存取系統上之資訊的個人所存取的資訊的COTS IA與以IA致能之產品,遵循國家安全局(NSA)所背書的中級強固保護剖繪(Medium Robustness Protection Profiles)。 (APP2080.3:CAT II) 計畫管理者將確保用以保護在較被傳輸資訊分類保密等級低之網路上傳輸之分類保密資訊的COTS IA與以IA致能之產品,遵循國家安全局(NSA)所背書的高級強固保護剖繪(High Robustness Protection Profiles)。 (APP2090.1:CAT II) 計畫管理者就所有的開放源碼、公領域、共享軟體、免費軟體、及其他沒有保固及無源碼審查能力,但是屬於完成任務必需之軟體產品/程式館,將取得風險的DAA驗收(acceptance)。 (APP2120.1:CAT II) 計畫管理者將確保計畫管理的所有階層均接受與將安全發展常規整合到發展生命週期中之因果關係(necessity)、衝擊、及利益有關的安全性訓練。 (APP2120.2:CAT II) 計畫管理者將確保至少以年度為基礎,對設計者施予全SDLC的安全設計原則及新近發現之脆弱點型式等的訓練。 (APP2120.3:CAT II) 計畫管理者將確保發展者至少以年度為基礎,接受安全設計與程式碼編寫常規的訓練。 (APP2120.4:CAT II) 計畫管理者將確保測試者至少以年度為基礎接受訓練。 (APP2140.1:CAT II) 計畫管理者將確保應用系統安全性事故回應過程的建立,其定義了可回報的事故,並條列出事故回應的標準作業程序(standard operating procedures)。 (APP2130.1:CAT II) 計畫管理者將確保對使用者提供取得應用系統更新版本的方法。 (APP2130.2:CAT II) 計畫管理者將確保建立一項機制以通知使用者安全性瑕疵,並對使用者提供補丁的可用性。 (APP2130.3:CAT II) 計畫管理者將確保綜合性的脆弱點管理過程,包括要有軟體脆弱點的系統化識別與緩和。 (APP2135: CAT I) 計畫管理者將確保所有產品,均受到廠商或發展團隊的支援。 (APP2150.1:CAT II) 計畫管理者將確保保證資訊的實體處理(搬移)與儲存的各項程序,係根據資料的敏感性實作。 (APP2160.1:CAT II) 計畫管理者將確保發展系統、構築系統、測試系統、及所有組件,遵循所有適當之DoD STIGS、NSA指引、與所有適用的DoD政策。 資料彙整自:DoD STIG
凡所有相皆是虛妄。見諸相非相。即見如來。 |
樹狀顯示 | 新的在前 | 前一個主題 | 下一個主題 | 頁首 |
無發表權 | |