ISO/IEC 27002:2013
箇条 14 システムの取得、開発及び保守
14.1 情報システムのセキュリティ要求事項
14.2 開発及びサポートプロセスにおけるセキュリティ
14.3 試験データ
• 旧版
「 12 情報システムの取得、開発及び保守」
• 改定版
「 14 システムの取得、開発及び保守」
– 旧版の「 10.9 電子商取引サービス」を一般化して箇条 14 へ
移動した。
– 旧版の「 12.2 業務用ソフトウェアでの正確な処理」の下の
管理策は、改定版の新規管理策「 14.2.5 セキュリティに配 慮したシステム開発の原則」に含まれる。
– システムの開発について、ライフサイクルの観点から管理 策を整備・拡充した。
「 14.2 開発及びサポートプロセスにおけるセキュリティ」
それぞれについて、次葉以降で詳説する。
108
箇条 14 システムの取得、開発及び保守
27001/27002 改定規格説明会(JSA) 山下氏資料抜粋
• 旧版
「 10.9 電子商取引サービス」
「 10.9.1 電子商取引」「 10.9.2 オンライン取 引」「 10.9.3 公開情報」
• 改定版
「 14.1.2 公共ネットワーク上のアプリケー
ションサービスのセキュリティ」
「 14.1.3 アプリケーションサービスのトラン
ザクションの保護」
–
旧版における「電子商取引」という用語・概念を、改定版では新しい用 語・概念に一般化している。
109
箇条 14 システムの取得、開発及び保守
27001/27002 改定規格説明会(JSA) 山下氏資料抜粋
• 旧版
「 12.2 業務用ソフトウェアでの正確な処理」
「 12.2.1 入力データの妥当性確認」
「 12.2.2 内部処理の管理」
「 12.2.3 メッセージの完全性」
「 12.2.4 出力データの妥当性確認」
• 改定版
「 14.2.5 セキュリティに配慮したシステム構
築の原則」
–
旧版のこれらの指針(特に
12.2.1及び
12.2.2)は、現在では体系的なセ キュアプログラミンングの一部である。
–
改定版では、システム構築の一部にセキュアプログラミングの内容も 含め、このことを「関連情報」で明示。
110
箇条 14 システムの取得、開発及び保守
27001/27002 改定規格説明会(JSA) 山下氏資料抜粋
• 改定版
「
14.2開発及びサポートプロセスにおけるセキュリティ」
「
14.2.1セキュリティに配慮した開発のための方針」※
「
14.2.2システムの変更管理手順」
「
14.2.3オペレーティングプラットフォーム変更後のアプリケー
ションの技術的レビュー」
「
14.2.4パッケージソフトウェアの変更に対する制限」
「
14.2.5セキュリティに配慮したシステム構築の原則」※
「
14.2.6セキュリティに配慮した開発環境」※
「
14.2.7外部委託による開発」
「
14.2.8システムセキュリティの試験」※
「
14.2.9システムの受入れ試験」
※ 新規管理策
– 改定版で、開発及びサポートプロセスにおけるセキュリティの管 理策を充実させた。旧版に対して下線の管理策を追加している。
111
箇条 14 システムの取得、開発及び保守
27001/27002 改定規格説明会(JSA) 山下氏資料抜粋
改定版で追加した管理策( 14.2 )
箇条 14 システムの取得、開発及び保守
112
14.2.1 セキュリティに配慮した開発のための方針
ソフトウェア及びシステムの開発のための規則は、組織内において確立し、
開発に対して適用することが望ましい。
14.2.6 セキュリティに配慮した開発環境
組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び 統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保 護することが望ましい。
14.2.8 システムセキュリティの試験
セキュリティ機能(functionality)の試験は、開発期間中に実施することが望 ましい。
14.2.5 セキュリティに配慮したシステム構築の原則
セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、
維持し、全ての情報システムの実装に対して適用することが望ましい。
27001/27002 改定規格説明会(JSA) 山下氏資料抜粋
15.1 供給者関係における情報セキュリティ
15.2 供給者のサービス提供の管理
ドキュメント内
ISO/IEC 27000シリーズ規格の概要
(ページ 107-113)