5.2.10 信息获取、开发和维护
信息获取、开发和维护包含3个控制目标13个控制措施。
在新的信息系统或增强已有信息系统的业务要求陈述_中,应包括信息安全相关要求。信息安全要求与实施安全的过程应在信息系统建设项目的早期阶段(一般是规划设计阶段)被纳入项目需求,根据实践经验在早期如设计阶段引入安全控制措施将更高效和节省成本。如果购买安全产品,则宜遵循一个正式的测试和获取过程,并根据国家或本地区法律法规选择经过权威部门检测检验的信息安全产品。对于组织重要的信息系统的安全产品的采购必须验证其是否需求经过我国的安全审查。
通过公共网络访问的应用易受到许多网络威胁,如欺诈活动、合同纠纷和信息的泄露或篡改。因此要进行详细的风险评估并进行适当的控制,包括验证和保护数据传输的加密方法等,保护在公共网络上的应用服务以防止欺诈行为、合同纠纷以及未经授权的披露和篡改。
应保护涉及到信息系统中应用服务交换的信息以防不完整的传输、路由错误、未经授权的改变、擅自披露、未经授权的复制或重放攻击。