ISO27034软件安全标准解析
对采购者来说,ISO27034可以保证软件供应商在软件开发过程中采用了足够的安全管理流程。对开发者来说,可以用这个标准简单地说明自己的安全性优势,给采购者足够信心。
ISO27034的结构
ISO27034(也是IEC27034)由六部分内容组成
ISO27034(也是IEC27034)由六部分内容组成。其中第一部分应用安全性综述和概念已经正式发布,就是ISO27034-1。其余五个部分分别是第二部分组织规范框架,第三部分应用安全管理流程,第四部分应用安全验证,第五部分协议和应用安全控制数据结构,最后一部分是特定应用的安全指导。未发布的五部分中,2、5、6已经有工作草案。
ISO27034要领
ISO27034从软件开发组织和应用程序两个层面定义框架和流程。在组织层面,组织标准框架(ONF)是所有的软件安全信息的中央存储点,组织管理流程则负责持续维护和改进ONF。在应用层面,应用规范框架(ANF)是每个应用的相关ONF信息,应用安全管理流程则采用ANF,实施和验证应用程序的安全性和风险。
安全生命周期参考模型
ONF建立了一个应用安全生命周期参考模型,在此基础上定义了各种上下文、流程、规范和职责,并且提供了应用安全控制库。ONF的管理流程则从设计、实施、监控评估和持续改进四个阶段管理ONF。
ANF
ANF是与相应应用的ONF子集,在这里保存了开发过程中的安全问题,并且验证应用安全的各种控制。应用安全的管理流程针对具体应用的开发,更细致地从明确需求和环境、评估应用安全风险、建立应用规范框架、设计和实施应用、安全审计等阶段保证安全性的实施。
标签:操作系统
