11. Tiếp nhận, phát triển và duy trì các hệ thống thông tin 1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin
11.1.1.Phân tích và đặc tả các yêu cầu về an toàn
Biện pháp quản lý
Các thông báo về yêu cầu nghiệp vụ đối với các hệ thống thông tin mới hoặc được cải tiến từ các hệ thống thông tin có sẵn cần chỉ rõ các yêu cầu về biện pháp quản lý an toàn thông tin. Hướng dẫn triển khai
Việc xác định các yêu cầu cho các biện pháp quản lý cần quan tâm tới các biện pháp quản lý tự động được phối hợp trong hệ thống thống thông tin, và nhu cầu hỗ trợ các biện pháp quản lý thủ công, cần lưu ý tương tự khi đánh giá các gói phần mềm, dù là dạng được phát triển hay được mua, cho các ứng dụng nghiệp vụ.
Các yêu cầu và biện pháp quản lý an toàn cần phản ánh giá trị nghiệp vụ của các tài sản thông tin liên quan (xem 6.2) và những thiệt hại nghiệp vụ tiềm ẩn có thể xảy ra do lỗi hoặc do sự thiếu an toàn.
Các yêu cầu hệ thống về an toàn thông tin và các quy trình triển khai an toàn cần được tích hợp trong các giai đoạn trước của các dự án hệ thống thông tin. Việc triển khai và duy trì các biện pháp quản lý ở giai đoạn thiết kế thường rẻ hơn nhiều so với triển khai và duy trì trong hoặc sau khi triển khai.
Nếu sản phẩm được mua thì cần tuân theo quy trình kiểm tra và tiếp nhận chính thức. Các hợp đồng với nhà cung cấp cần tập trung vào các yêu cầu an toàn đã xác định. Nếu các chức năng an toàn trong một sản phẩm không đáp ứng các yêu cầu quy định thì cần xem xét các biện pháp quản lý rủi ro liên quan trước khi mua sản phẩm. Trong trường hợp có cung cấp thêm tính năng và gây ra rủi ro an toàn thì tính năng này cần được vô hiệu hóa hoặc cơ cấu kiểm soát đã được đề xuất cần được soát xét lại để xác định xem liệu có nên loại bỏ tính năng cải tiến này không. Thông tin khác
Nếu được quan tâm thích hợp, ví dụ vì các lý do giá cả, ban quản lý có thể mong muốn sử dụng các sản phẩm đã được chứng nhận và được đánh giá một cách độc lập. Thông tin chi tiết hơn về chỉ tiêu đánh giá các sản phẩm an toàn IT có thể tìm thấy trong ISO/IEC 15408 hoặc các tiêu chuẩn đánh giá hoặc chứng nhận khác.
ISO/IEC TR 13335-3 đưa ra hướng dẫn sử dụng các quy trình quản lý rủi ro nhằm xác định các yêu cầu đối với các biện pháp quản lý rủi ro.