信息安全系统开发维护控制的目标有哪些
信息安全系统开发维护控制的目标有以下这些:
信息系统的安全需求:信息系统安全需求的控制目标是确保安全是信息系统的一个有机组成部分。安全需求分析和说明保障这一目标的实现。在新信息系统或增强已有信息系统的业务需求中应包含安全需求。在信息系统的需求分析阶段,全面识别并确定信息安全需求,并在需求分析说明书中详细描述安全需求。
应用中的正确处理:应用中的正确处理的控制目标是防止应用系统中信息的错误、遗失、非授权修改及误用,可以通过输入数据验证、内部处理的控制、消息完整性验证、输出数据验证等控制措施可保障这一目标的实现。
密码控制:密码控制的目标是通过密码方法保护信息的保密性、真实性或完整性。可以使用密码控制措施是指开发和实施使用密码控制措施来保护信息的策略。也可以使用密钥管理控制措施,密钥管理控制措施是指对密钥进行管理以支持组织使用密码技术。
系统文件的安全:系统文件的安全的控制目标是确保系统文件的安全,由运行软件控制措施是指制定程序来控制在运行系统上安装软件。系统测试数据的保护,系统测试数据的保护控制措施是指仔细选择、保护和控制测试数据,以避免因测试引起敏感信息泄露。对程序源代码的访问控制,对程序源代码的访问控制措施是指限制对程序源代码的访问。
开发和支持过程中的安全:开发和支持过程中的安全目标是维护应用系统软件和信息的安全,一般使用变更控制程序、操作系统变更后应用的技术评审、软件包变更的限制、外包软件开发等手段来实施保障。
技术脆弱性管理:技术脆弱性管理的控制目标是降低利用公布的技术脆弱性导致的风险。由技术脆弱性控制措施来保障这一目标的实现。技术脆弱性控制是指及时获取现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关风险。此项措施的常规控制包括定义和建立与技术脆弱性管理相关的角色、职责和管理过程,包括脆弱性监视、脆弱性评估、安装补丁和其他责任;定期评估技术脆弱性管理的有效性;若只有脆弱性揭示而没有相应的补丁,则应及时采取其他临时保护措施。