12.5 运行软件的控制

• 12.5.1 在运行系统上安装软件

                     软件白名单

12.6 技术脆弱性管理（即漏洞管理）

• 12.6.1 技术脆弱性的控制
• 12.6.2 限制软件安装

12.7 信息系统审计考虑

• 12.7.1 信息系统审计控制措施

                     渗透测试

13 通信安全

13.1 网络安全管理

• 13.1.1 网络控制

                     划分区域，并做访问控制

• 13.1.2 网络服务安全

                    主要由运营商来做，比如防御DDOS攻击

• 13.1.3 网络隔离

13.2 信息传输

• 13.2.1 信息传输策略和规程
• 13.2.2 信息传递协议
• 13.2.3 电子消息发送
• 13.2.4 保密性或不泄露协议

                      DLP（数据防泄露）

14 系统获取、开发和维护

14.1 信息系统的安全要求

• 14.1.1 信息安全要求分析和说明
• 14.1.2 公共网络应用服务安全
• 14.1.3 保护应用服务交易

14.2 开发和支持过程中的安全

• 14.2.1 安全开发策略

             SDL框架

• 14.2.2 系统变更控制规程
• 14.2.3 运行平台变更后应用的技术评审
• 14.2.4 软件包变更的限制
• 14.2.5 安全系统工程原则

                       CMMI

• 14.2.6 安全开发环境
• 14.2.7 外包开发
• 14.2.8 系统安全测试
• 14.2.9 系统验收测试

14.3 测试数据

• 14.3.1 系统测试数据的保护

​​​​​​​             脱敏处理