システムの取得、開発及び保守

14.1 情報システムのセキュリティ要求事項

14.2 開発及びサポートプロセスにおけるセキュリティ

14.3 試験データ

• 旧版

「 12 情報システムの取得、開発及び保守」

• 改定版

「 14 システムの取得、開発及び保守」

– 旧版の「 10.9 電子商取引サービス」を一般化して箇条 14 へ

移動した。

– 旧版の「 12.2 業務用ソフトウェアでの正確な処理」の下の

管理策は、改定版の新規管理策「 14.2.5 セキュリティに配 慮したシステム開発の原則」に含まれる。

– システムの開発について、ライフサイクルの観点から管理 策を整備・拡充した。

「 14.2 開発及びサポートプロセスにおけるセキュリティ」

それぞれについて、次葉以降で詳説する。

108

箇条 14 システムの取得、開発及び保守

27001/27002 改定規格説明会(JSA) 山下氏資料抜粋

• 旧版

「 10.9 電子商取引サービス」

「 10.9.1 電子商取引」「 10.9.2 オンライン取 引」「 10.9.3 公開情報」

• 改定版

「 14.1.2 公共ネットワーク上のアプリケー

ションサービスのセキュリティ」

「 14.1.3 アプリケーションサービスのトラン

ザクションの保護」

–

旧版における「電子商取引」という用語・概念を、改定版では新しい用 語・概念に一般化している。

109

箇条 14 システムの取得、開発及び保守

27001/27002 改定規格説明会(JSA) 山下氏資料抜粋

• 旧版

「 12.2 業務用ソフトウェアでの正確な処理」

「 12.2.1 入力データの妥当性確認」

「 12.2.2 内部処理の管理」

「 12.2.3 メッセージの完全性」

「 12.2.4 出力データの妥当性確認」

• 改定版

「 14.2.5 セキュリティに配慮したシステム構

築の原則」

–

旧版のこれらの指針（特に

12.2.1

及び

12.2.2

）は、現在では体系的なセ キュアプログラミンングの一部である。

–

改定版では、システム構築の一部にセキュアプログラミングの内容も 含め、このことを「関連情報」で明示。

110

箇条 14 システムの取得、開発及び保守

27001/27002 改定規格説明会(JSA) 山下氏資料抜粋

• 改定版

「

14.2

開発及びサポートプロセスにおけるセキュリティ」

「

14.2.1

セキュリティに配慮した開発のための方針」※

「

14.2.2

システムの変更管理手順」

「

14.2.3

オペレーティングプラットフォーム変更後のアプリケー

ションの技術的レビュー」

「

14.2.4

パッケージソフトウェアの変更に対する制限」

「

14.2.5

セキュリティに配慮したシステム構築の原則」※

「

14.2.6

セキュリティに配慮した開発環境」※

「

14.2.7

外部委託による開発」

「

14.2.8

システムセキュリティの試験」※

「

14.2.9

システムの受入れ試験」

※ 新規管理策

– 改定版で、開発及びサポートプロセスにおけるセキュリティの管 理策を充実させた。旧版に対して下線の管理策を追加している。

111

箇条 14 システムの取得、開発及び保守

27001/27002 改定規格説明会(JSA) 山下氏資料抜粋

改定版で追加した管理策（ 14.2 ）

箇条 14 システムの取得、開発及び保守

112

14.2.1 セキュリティに配慮した開発のための方針

ソフトウェア及びシステムの開発のための規則は、組織内において確立し、

開発に対して適用することが望ましい。

14.2.6 セキュリティに配慮した開発環境

組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び 統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保 護することが望ましい。

14.2.8 システムセキュリティの試験

セキュリティ機能（functionality）の試験は、開発期間中に実施することが望 ましい。

14.2.5 セキュリティに配慮したシステム構築の原則

セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、

維持し、全ての情報システムの実装に対して適用することが望ましい。

27001/27002 改定規格説明会(JSA) 山下氏資料抜粋

15.1 供給者関係における情報セキュリティ

15.2 供給者のサービス提供の管理

ドキュメント内 ISO/IEC 27000シリーズ規格の概要 (ページ 107-113)