タテックス有限会社によるISO9001,140001,27001の規格等のコンサルティングサービス、第三者審査に関連した情報の発信をしています。

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策 > A.5 情報セキュリティのための方針群 > A.6 情報セキュリティのための組織 > A.7 人的資源のセキュリティ > A.8 資産の管理 > A.9 アクセス制御 > A.10 暗号 > A.11 物理的及び環境的セキュリティ > A.12 運用のセキュリティ > A.13 通信のセキュリティ > A.14 システムの取得、開発及び保守 > A.15 供給者関係 > A.16 情報セキュリティインシデント管理 > A.17 事業継続マネジメントにおける情報セキュリティの側面 > A.18 順守 > 情報セキュリティ用語

A.14 システムの取得、開発及び保守

  • A.14.1 情報システムのセキュリティ要求事項
    • A.14.1.1 情報セキュリティ要求事項の分析及び仕様化
    • A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
    • A.14.1.3 アプリケーションサービスのトランザクションの保護
  • A.14.2 開発及びサポートプロセスにおけるセキュリティ
    • A.14.2.1 セキュリティに配慮した開発のための方針
    • A.14.2.2 システムの変更管理手順
    • A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
    • A.14.2.4 パッケージソフトウェアの変更に対する制限
    • A.14.2.5 セキュリティに配慮したシステム構築の原則
    • A.14.2.6 セキュリティに配慮した開発環境
    • A.14.2.7 外部委託による開発
    • A.14.2.8 システムセキュリティの試験
    • A.14.2.9 システムの受入れ試験
  • A.14.3 試験データ
    • A.14.3.1 試験データの保護

14. System Security Management
  • 14.1 Make security an inherent part of information systems
    • 14.1.1 Consider security when changing or acquiring systems
    • 14.1.2 Protect application services on all public networks
    • 14.1.3 Safeguard your application service transactions
  • 14.2 Protect and control system development activities
    • 14.2.1 Establish rules to control internal software development
    • 14.2.2 Use formal procedures to control changes to systems
    • 14.2.3 Review applications after operating platform changes
    • 14.2.4 Restrict and control changes to software packages
    • 14.2.5 Establish and use secure system engineering principles
    • 14.2.6 Establish and protect secure development environments
    • 14.2.7 Control outsourced system development projects
    • 14.2.8 Test security functionality during development cycle
    • 14.2.9 Use acceptance criteria to test information systems
  • 14.3 Safeguard data used for system testing purposes
    • 14.3.1 Control and protect data used for system testing

解説

システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。
これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。
  • トランザクション(transaction)とは
商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。

データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。

トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。
例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。
このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。

情報セキュリティマネジメントシステム コンサルティング


2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。


   お問合せは、ここをクリック→お問合せ

~
~
~
~

コメントをかく


ユーザーIDでかく場合はこちら

画像に記載されている文字を下のフォームに入力してください。

「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

管理人のみ編集できます