5.2.10  信息獲取、開發(fā)和維護(hù)

信息獲取、開發(fā)和維護(hù)包含3個控制目標(biāo)13個控制措施。

　　在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)要求陳述_中，應(yīng)包括信息安全相關(guān)要求。信息安全要求與實施安全的過程應(yīng)在信息系統(tǒng)建設(shè)項目的早期階段（一般是規(guī)劃設(shè)計階段）被納入項目需求，根據(jù)實踐經(jīng)驗在早期如設(shè)計階段引入安全控制措施將更高效和節(jié)省成本。如果購買安全產(chǎn)品，則宜遵循一個正式的測試和獲取過程，并根據(jù)國家或本地區(qū)法律法規(guī)選擇經(jīng)過權(quán)威部門檢測檢驗的信息安全產(chǎn)品。對于組織重要的信息系統(tǒng)的安全產(chǎn)品的采購必須驗證其是否需求經(jīng)過我國的安全審查。

通過公共網(wǎng)絡(luò)訪問的應(yīng)用易受到許多網(wǎng)絡(luò)威脅，如欺詐活動、合同糾紛和信息的泄露或篡改。因此要進(jìn)行詳細(xì)的風(fēng)險評估并進(jìn)行適當(dāng)?shù)目刂?，包括驗證和保護(hù)數(shù)據(jù)傳輸?shù)募用芊椒ǖ?，保護(hù)在公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)以防止欺詐行為、合同糾紛以及未經(jīng)授權(quán)的披露和篡改。

應(yīng)保護(hù)涉及到信息系統(tǒng)中應(yīng)用服務(wù)交換的信息以防不完整的傳輸、路由錯誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的復(fù)制或重放攻擊。