12.5 运行软件的控制
- 12.5.1 在运行系统上安装软件
软件白名单
12.6 技术脆弱性管理(即漏洞管理)
- 12.6.1 技术脆弱性的控制
- 12.6.2 限制软件安装
12.7 信息系统审计考虑
- 12.7.1 信息系统审计控制措施
渗透测试
13 通信安全
13.1 网络安全管理
- 13.1.1 网络控制
划分区域,并做访问控制
- 13.1.2 网络服务安全
主要由运营商来做,比如防御DDOS攻击
- 13.1.3 网络隔离
13.2 信息传输
- 13.2.1 信息传输策略和规程
- 13.2.2 信息传递协议
- 13.2.3 电子消息发送
- 13.2.4 保密性或不泄露协议
DLP(数据防泄露)
14 系统获取、开发和维护
14.1 信息系统的安全要求
- 14.1.1 信息安全要求分析和说明
- 14.1.2 公共网络应用服务安全
- 14.1.3 保护应用服务交易
14.2 开发和支持过程中的安全
- 14.2.1 安全开发策略
SDL框架
- 14.2.2 系统变更控制规程
- 14.2.3 运行平台变更后应用的技术评审
- 14.2.4 软件包变更的限制
- 14.2.5 安全系统工程原则
CMMI
- 14.2.6 安全开发环境
- 14.2.7 外包开发
- 14.2.8 系统安全测试
- 14.2.9 系统验收测试
14.3 测试数据
- 14.3.1 系统测试数据的保护
脱敏处理