對軟體業者來說,如何向客戶及使用者證明他們所開發的系統是安全的,現在成為重要的議題,要創造信任機制並且必須有據可查,在這個前提下,必須要了解下列事項:
ISO組織在2011年就發行ISO270034標準,希望能針對應用系統的安全創建管理的機制與方法,證明應用程式的安全性,本標準不僅適用開發單位,也適用於管理應用程式的組織,針對應用程式的安全性訂出一系列的標準如左表:
ISO 27034藉由組織的管理經由基本原則、驗證及稽核等作法,證明應用程式的安全性,其相關原則如右圖:
ISO 27034以資訊保護原則作為開發應用程式的基礎,使用應用程式生命週期安全指引模型建構生命週期內所需要的安全性,原則如左表:
藉由ISO 27034建構應用程式安全,最後希望每一個資通系統都能有自己的資通系統安全計畫,從計畫中展現對於安全到底做了多少努力,並不是每一個系統燈要做到百分百的安全,當然說這句話本身會受到極大的挑戰,可是事實是如此,如果沒有在安全上花費資源進行投資,那如何期望他是安全的,所以在有限的資源中做了那些安全事項這才是我們想要知道的,也不會變成空話。
ISO 27034組織規範框架:由各項元件組成框架,以框架模式對應PDCA循環,達成管理應用程式安全的模式,如右圖:
本公司顧問經由深入研究ISO 27034系列標準,開發出符合標準要求之管理制度,能夠協助想要證明安全性的組織達成管理應用程式安全的目標。