ISO/IEC 27034-1:2011 を探しています。対象読者は次のとおりです。
次の対象者は、指定された組織の役割を実行しながら、ISO/IEC27034の恩恵を受けます。
a)マネージャー;
b)プロビジョニングおよび運用チーム。
c)買収担当者。
d)サプライヤー;そして
e)監査人
この規範が実際に何のためにあるのかを理解するには、次の引用を読んでください。
ISO/IEC 27034の目的は、組織がアプリケーションのライフサイクル全体にわたってセキュリティをシームレスに統合するのを支援することです。
a)概念、原則、フレームワーク、コンポーネント、およびプロセスを提供する。
b)セキュリティ要件を確立し、セキュリティリスクを評価し、ターゲットレベルの信頼を割り当て、対応するセキュリティ管理策と検証手段を選択するためのプロセス指向メカニズムを提供する;
c)アプリケーションの開発または運用をアウトソーシングしている組織、およびサードパーティのアプリケーションから購入している組織に受け入れ基準を確立するためのガイドラインを提供する。
d)アプリケーションが定義された環境で安全に使用できることを実証するために必要な証拠を決定、生成、収集するためのプロセス指向メカニズムを提供します;
e)ISO/IEC 27001で指定されている一般的な概念をサポートし、リスク管理アプローチに基づく情報セキュリティの十分な実装を支援します。そして
f)ISO/IEC 27002およびその他の標準で指定されているセキュリティ管理策の実装に役立つフレームワークを提供します。ISO/IEC 27034:
a)アプリケーションの基盤となるソフトウェア、およびデータ、テクノロジー、アプリケーション開発ライフサイクルプロセス、サポートプロセス、アクターなど、そのセキュリティに影響を与える要因に適用されます。そして
b)アプリケーションに関連するリスクにさらされているすべての規模およびすべてのタイプの組織(例:営利企業、政府機関、非営利組織)に適用されます。
だが:
ISO/IEC27034は以下を行いません:
a)物理的およびネットワークセキュリティのガイドラインを提供します。
b)管理または測定を提供する。または
c)あらゆるプログラミング言語に安全なコーディング仕様を提供します。
すべてのコントロールは、ISO/IEC27002およびその他の規格に記載されています。詳細については、ISO/IEC27000および27001を参照してください。
すべての引用は、ISO/IEC 27034-1:2011(en)情報技術—セキュリティ技術—アプリケーションセキュリティから引用されています。