JIS Q 27001:2014の管理策について-39
今回は、「14.2 開発及びサポートプロセスにおけるセキュリティ」です。
情報システムの開発に関する部分ですので、前回と同様に概要を触れる程度とさせていただきます。
14.2 開発及びサポートプロセスにおけるセキュリティ
目的:情報システムの開発サイクルの中で情報セキュリティを設計し、実施することを確実にするため。
14.2.1 ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用する。
セキュリティに配慮した開発方針を定め、開発部門に適用します。
開発方針には、開発環境、ライフサイクル、コーディング、バージョン管理、脆弱性の回避・発見・修正方法、外部委託先の管理方法等を含めます。
14.2.2 開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理する。
初期設計段階からその後の全ての保守業務に至るまで、システム・アプリケーション・製品の変更管理手順を定める必要があります。
変更管理手順には、記録の維持も含まれます。
14.2.3 オペレーティングプラットフォームを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験する。
オペレーティングプラットフォームですので、OSおよびOSが動作するハードウェアも含めての変更の場合となります。
大がかりな変更ですので、計画を立て、事前の試験、切替を確実に実施する必要があります。
14.2.4 パッケージソフトウェアの変更は、抑止し、必要な変更だけに限る。また、全ての変更は、厳重に管理する。
パッケージソフトウェアの変更は必要最小限とし、全ての変更を管理する必要があります。
バージョン管理、変更管理、事前の試験、保守方法の確認が含まれます。
14.2.5 セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し、全ての情報システムの実装に対して適用する。
セキュリティに配慮したシステム構築の方針を定め、全てのシステムに適用する必要があります。
方針には、外部委託した情報システムも含まれます。
14.2.6 組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護する。
セキュリティに配慮した開発環境を確立するための方針を定める必要があります。
方針には、開発ライフサイクルの全てが含まれます。
14.2.7 組織は、外部委託したシステム開発活動を監督し、監視する。
システム開発を外部委託する場合の管理策を契約に含める必要があります。
契約には、使用許諾、所有権、知的財産権、品質、受け入れ試験、セキュリティレベル、監査、不具合発生時の取り決め等が含まれます。
14.2.8 セキュリティ機能(functionality)の試験は、開発期間中に実施する。
システムの新規開発、更新時には出荷前にセキュリティ機能に関する試験を確実に実施する必要があります。
受け入れ時に、試験結果の確認及び重要度に応じて受け入れ試験も必要となります。
14.2.9 新しい情報システム、及びその改訂版・更新版のために、受入れ試験のプログラム及び関連する基準を確立する。
システムの受け入れ試験の基準を定める必要があります。
次回は、「14.3 試験データ」の予定です。
