首页 > ISO27000认证 > ISO27000认证_“A.12.5 运行软件控制”条款讲解

ISO27000认证_“A.12.5 运行软件控制”条款讲解

文章来源：华道众合添加时间：2021-1-28

【标准条款】

A.12.5运行软件控制

目的:保证运行系统的完整性。

A.12.5.1运行系统软件的安装

应实现运行系统软件安装控制规程。

【理解与应用】

控制运行系统上软件的变更，宜考虑下列指南:

（1）宜仅由受过培训的管理员，根据合适的管理授权（见 A.9.4.5程序源代码的访问控制），进行运行软件、应用和程序库的更新;

（2）运行系统宜仅具有经过批准的可执行代码，而不能具有开发代码和编译程序;

（3）应用和操作系统软件宜仅在全面的、成功的测试后予以实现;这种测试宜包括实用性、安全性、对其他系统的影响和用户友好性的测试，且测试宜在独立的系统上完成（见 A.12.1.4开发、测试和运行环境的分离）;宜确保所有对应的程序源码库已经更新;

（4）宜使用配置控制系统对所有已开发的软件和系统文件进行控制;

（5）在变更实现之前宜有回退的策略;

（6）宜维护对运行程序库的所有更新的审计日志;

（7）宜保留应用软件的先前版本作为应急措施;

（8）软件的旧版本，连同所有需要的信息和参数、规程、配置细节以及支持软件宜被归档，并与归档的数据具有相同的保留期。

在运行系统中所使用的由厂商供应的软件宜在供应商支持的级别上加以维护。一段时间后，软件供应商停止支持旧版本的软件。组织宜考虑依赖于这种不再支持的软件的风险。

升级到新版的任何决策宜考虑变更的业务要求和新版的安全，即引入的新安全功能或影响该版本安全问题的数量和严重程度。当软件补丁有助于消除或减少安全弱点（见 A.12.6 技术脆弱性管理）时，宜使用软件补丁。

必要时在管理者批准的情况下，仅为了支持目的，才授予供应商物理或逻辑访问权。宜监视供应商的活动（见 A.15.2.1供应商服务的监视和评审）。

计算机软件可能依靠外部提供的软件和模块，宜对这些产品进行监视和控制，以避免可能引入安全弱点的非授权的变更。

您可能还想看