A.14 系统获取、开发和维护

A.14.1信息系统的安全要求

目标： 确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求

A.14.1.1

信息安全要求分析和说明

控制措施

新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。

A.14.1.2

公共网络上应用服务的安全保护

控制措施

应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改。

A.14.1.3

应用服务交易的保护

控制措施

应保护应用服务交易中的信息，以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。

A.14.2开发和支持过程中的安全

目标：确保信息安全在信息系统开发生命周期中得到设计和实施。

A.14.2.1

安全的开发策略

控制措施

针对组织内的开发，应建立软件和系统开发规则并应用。

A.14.2.2

系统变更控制规程

控制措施

应使用正式的变更控制规程来控制开发生命周期内的系统变更。

A.14.2.3

运行平台变更后对应用的技术评审

控制措施

当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。

A.14.2.4

软件包变更的限制

控制措施

应不鼓励对软件包进行修改，仅限于必要的变更，且对所有变更加以严格控制

A.14.2.5

安全的系统工程原则

控制措施

应建立、文件化和维护安全的系统工程原则，并应用到任何信息系统实施工作中

A.14.2.6

安全的开发环境

控制措施

组织应针对覆盖系统开发生命周期的系统开发和集成活动，建立安全开发环境，并予以适当保护。

A.14.2.7

外包开发

控制措施

组织应督导和监视外包系统开发活动

A.14.2.8

系统安全测试

控制措施

应在开发过程中进行安全功能测试。

A.14.2.9

系统验收测试

控制措施

应建立对新的信息系统、升级及新版本的验收测试方案和相关准则。

A.14.3 测试数据

目标：确保用于测试的数据得到保护。

A.14.3.1

测试数据的保护

控制措施

测试数据应认真地加以选择、保护和控制。

A.15 供应商关系

A.15.1 供应商关系中的信息安全

目标：确保供应商可访问的组织资产受到保护。

A.15.1.1

供应商关系的信息安全策略

控制措施

为降低供应商访问组织资产的相关风险，应与供应商就信息安全要求达成一致，并形成文件

A.15.1.2

在供应商协议中解决安全

控制措施

应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求，并达成一致。

A.15.1.3

信息与通信技术供应链

控制措施

供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。

A.15.2 供应商服务交付管理

目标：保持与供应商协议一致的信息安全和服务交付的商定级别。

A.15.2.1

供应商服务的监视和评审

控制措施

组织应定期监视、评审和审核供应商服务交付。

A.15.2.2

供应商服务的变更管理

控制措施

应管理供应商所提供服务的变更，包括保持和改进现有的信息安全策略、规程和控制措施，管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。

A.16 信息安全事件管理

A.16.1 信息安全事件的管理和改进

目标： 确保采用一致和有效的方法对信息安全事件进行管理，包括对安全事态和弱点的沟通。

A.16.1.1

职责和规程

控制措施

应建立管理职责和规程，以确保快速、有效和有序地响应信息安全事件。

A.16.1.2

报告信息安全事态

控制措施

应通过适当的管理渠道尽快地报告信息安全事态。

A.16.1.3

报告信息安全弱点

控制措施

应要求使用组织信息系统和服务的员工和承包商注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。

A.16.1.4

信息安全事态的评估和决策

控制措施

应评估信息安全事态并决定其是否属于信息安全事件。

A.16.1.5

信息安全事件的响应

控制措施

应按照文件化的规程响应信息安全事件。

A.16.1.6

从信息安全事件中学习

控制措施

应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响。

A.16.1.7

证据的收集

控制措施

组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。

A.17业务连续性管理的信息安全方面”

A.17.1 信息安全的连续性

目标：应将信息安全连续性纳入组织业务连续性管理之中。

A.17.1.1

规划信息安全连续性

控制措施

组织应确定在不利情况（如危机或灾难）下，对信息安全及信息安全管理连续性的要求。

A.17.1.2

实施信息安全连续性

控制措施

组织应建立、文件化、实施并维持过程、规程和控制措施，以确保在不利情况下信息安全连续性达到要求的级别。

A.17.1.3

验证、评审和评价信息安全连续性

控制措施

组织应定期验证已建立和实施的信息安全连续性控制措施，以确保这些措施在不利情况下是正当和有效的。

A.17.2 冗余

目标：确保信息处理设施的可用性。

A.17.2.1

信息处理设施的可用性

控制措施

信息处理设施应具有足够的冗余以满足可用性要求。

A.18 符合性

A.18.1 符合法律和合同要求

目标：避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。

A.18.1.1

可用的法律和合同要求的识别

控制措施

对每一个信息系统和组织而言，所有相关的法律、法规、规章和合同要求，以及为满足这些要求组织所采用的方法，应加以明确地定义、形成文件并保持更新。

A.18.1.2

知识产权

控制措施

应实施适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。

A.18.1.3

记录的保护

控制措施

应根据法律、法规、规章、合同和业务要求，对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布。

A.18.1.4

个人身份信息的隐私和保护

控制措施

应依照相关的法律、法规和合同条款的要求，确保个人身份信息的隐私和保护。

A.18.1.5

密码控制规则

控制措施

密码控制措施的使用应遵从所有相关的协议、法律和法规。

A.18.2 信息安全评审

目标：确保依据组织方针策略、规程实施和运行信息安全。

A.18.2.1

信息安全的独立评审

控制措施

应按计划的时间间隔或在重大变化发生时，对组织的信息安全管理方法及其实施（如信息安全的控制目标、控制措施、方针策略、过程和规程）进行独立评审。

A.18.2.2

符合安全策略和标准

控制措施

管理者应定期评审其职责范围内的信息处理、规程与适当的安全方针策略、标准和任何安全要求的符合性。

A.18.2.3

技术符合性评审

控制措施

应定期评审信息系统与组织的信息安全方针策略和标准的符合性。