没有合适的资源?快使用搜索试试~ 我知道了~
ISO IEC 27034-3
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
5星 · 超过95%的资源 5 下载量 183 浏览量
2021-09-03
01:51:10
上传
评论
收藏 28.62MB PDF 举报
温馨提示
试读
56页
ISO IEC 27034-3 Information technology - Application security- Part 3:Application security management process - 完整英文版(56页)
资源推荐
资源详情
资源评论
INTERNATIONAL
STANDARD
1S0/IEC
27034-3
First edition
2018-05
Information technology - Application
security-
Part
3:
Application security
management
process
Technologie de !'information - Securite des applications -
Partie
3:
Processus de gestion de
la
securite d'une application
Reference
number
ISO/IEC
27034-3:2018(E)
© ISO/IEC
2018
poorest
1S0/IEC
27034-3:2018(E)
Contents
Page
Foreword
..
..
..
...
..
......
..
....
..
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
..
.....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
....
.
....
.
..
.
....
.
.....
v
Introduction
...............................................................................................................................................................................................................
.
....
.
..
.
....
.
...
vi
1 Scope
......................................
.
.......
.
....
.
..
.
....
.
...................................................................................................................................................
.
....
.
..
.
....
.
..
.. 1
2 Normative
references
.....
..
.
..
...........
..
...............................................................................................................................................
.
..
.
.......
.
....
1
3 Terms and definitions
..
.
......
...
...
.
..
.
...
...
...
.
..
.
..
..
.....
.
..
.
..
..
..
...
.
.....
..
..
...
...
...
..
..
..
..
..
......
.
..
..
..
...
.
..
.
..
..
..
...
.
..
.
..
..
..
...
...
...
..
..
.....
.
....
.
.......
.
...........
....
........
.... 1
4 Abbreviated
terms
.................................................................................................................................................................................
.
............
2
5 Application Security Management Process
..........................................................................................................
..
..
..
...
..
......
..
. 2
5.1 General
..
..
..
.
......
..
.
..
..
.......
..
..
...
..
.
..
...
..
....
.
..
...
.....
...
..
.
..
.
...
..
..
..
..
..
...
..
.
..
...
..
....
..
..
...
..
.
..
...
..
.
..
...
..
..
.....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.......
.
.......
.
....
2
5.2
Purpose
.............................................................................................................................................................................................
.
....
.
..
.
....
4
5.3 Principles
and
concepts .
..
..
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
............
.
..
4
5.3.1 General..
.......................
.
............
.
..........
.
............
.
........................................................................
.
..........
.
............
.
...
.
..
..
....
.
......
... 4
5.3.2 Clearly communicate roles
and
responsibilities
..........
..
........................................
..
............................
4
5.3.3 Relationship
of
the
ASMP
with
the
Organizational Normative Framework
(ONF)
4
5.3.4 Use approved tools
.........................................................................................................................................
..
.....
..
.......
5
5.3.5 Level
of
Trust
....
.
..
..
..
.
..
...
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
.......
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
.......
.
....
.
..
.
..
5
5.3.6 Application's Targeted Level of Trust
........................................................................................
..
......
..
..........
5
5.3.7 Application's Actual Level of
Trust
............
..
..........
..
............
..
....
..
....
..
....
..
............
....
........
..
......
..
.......................
5
5.3.8 Impact of this
document
on an application project..
.........................................................................
6
6
ASMP
steps
..........................................
.
....
..
..
.............................................................................................................................................
.
....
.
..
.
....
.
....
7
6.1 Identifying
the
application
requirements
and
environment
....
..
....
..
....
..
......
..
....
..
..........
..
...............................
7
6.1.1 General..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
....
.
.......
.
..
7
6.1.2 Purpose
.................................................................................................................................................................
.
..
.
....
.
.......
.
..
8
6.1.3 Outcomes ..
..
...
..
....
..
..
..
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
...
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
.......
.
....
.
..
.
..
8
6.1.4 Realization activities
.....
.
............
.
.......................
.
.......
.
....
.
.......
.
....
.
.......
.
............
.
..........
.
............
.
.......
.
....
.
......
..
.....
..
.......
8
6.1.5 Verification activities ....
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
..
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
..
..
.
....
.
....
...
....
.
...
9
6.1.6 Guidance .
..
.
..
...
..
....
..
..
..
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
...
..
...
..
..
....
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
..
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
....
.
.......
.
..
9
6.2 Assessing application security risks
..................................................................................................................
....
....
..
......
11
6.2.1 General..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
....
.
.......
11
6.2.2 Purpose
.................................................................................................................................................................
.
..
.
....
.
.......
12
6.2.3 Outcomes ..
..
...
..
....
..
..
..
..
..
..
..
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
...
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
.
..
..
..
..
....
.
..
.
..
...
.....
...
..
...
.....
...
.......
.
....
.
..
12
6.2.4 Realization activities
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
..
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
....
.
....
.
....
...
....
. 12
6.2.5 Verification activities
....................................................................................................................................
.
......
.
.....
13
6.2.6 Guidance .
..
.
..
...
..
....
..
..
..
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
...
..
...
..
..
....
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
..
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
....
.
.......
13
6.3 Creating
and
maintaining
the
Application Normative Framework.
....................................................
..
. 21
6.3.1 General.. ...
..
.
..
...
..
.
....
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
....
.
.......
21
6.3.2 Purpose
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
....
.
.......
22
6.3.3 Outcomes
....
...
..
......
..
............................................................................................................................................
.
.......
.
....
.
..
22
6.3.4 Realization activities
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
..
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
....
.
....
.
....
...
....
. 22
6.3.5 Verification activities
...
.
..
.
..
...
....
..
..
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
..
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
....
.
....
.
....
...
....
. 23
6.3.6 Guidance .
..
.
..
...
..
.
..
...
..
..
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
...
..
...
..
..
....
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
..
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
....
.
.......
23
6.4 Provisioning
and
operating
the
application
...............................................................................................................
24
6.4.1 General..
.................................................................................................................................................................
.
..
.
............
24
6.4.2 Purpose
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
....
.
.......
25
6.4.3 Outcomes ..
..
...
..
....
..
..
..
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
...
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
.......
.
....
.
..
26
6.4.4 Realization activities
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
..
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
..
..
.
....
.
....
...
....
. 26
6.4.5 Verification activities
...
.
..
.
..
...
....
..
..
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
..
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
....
.
....
.
....
...
....
. 26
6.4.6 Guidance .
..
.
..
...
..
......
..
.....................................................
..
...
..
......
..
...
..
.
..
...
..
......
..
...
..
.
..
...
..
.
..
...................................
.
..
.
....
.
.......
27
6.5 Auditing
the
security of
the
application
..................
..
..................................................................................................
..
. 27
6.5.1 General..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
....
.
.......
27
6.5.2 Purpose
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
....
.
.......
28
6.5.3 Outcomes ..
..
...
..
....
..
..
..
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
...
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
.....
...
..
...
.....
...
.......
.
....
.
..
28
6.5.4 Realization activities
.....................................................................................................................................
.
......
.
.....
29
© 1S0/IEC
2018
-All
rights
reserved
iii
poorest
ISO/IEC
27034-3:2018(E)
6.5.5 Verification activities .
....
..
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
....
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
....
.
....
.
..
.
..
..
..
.
..
29
6.5.6 Guidance
....................................
.
..........................................................................................................................................
29
7
ANF
elements
........................................................................................................................................................................................................
31
7.1 General
..
.
..
...
..
....
..
..
...
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
.
....
.
....
.
..
..
..
..
....
.
..
.
..
...
.....
...
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
...
31
7.1.1 Purpose
.................................................................................................................................................................................
31
7.1.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
31
7.2 Component: Application business context
....................................................................
..
....
..
......
......
......
..
............
....
..
32
7.2.1 Purpose
.................................................................................................................................................................................
32
7.2.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
32
7.2.3 Contents
................................................................................................................................................................................
32
7.2.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
33
7.3 Component: Application regulatory context..
............................................................................................................
33
7.3.1 Purpose
.................................................................................................................................................................................
33
7.3.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
33
7.3.3 Contents .
...............................................................................................................................................................................
33
7.3.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
33
7.4 Component: Application technological context...
....................................................................................................
34
7.4.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
..
34
7.4.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
34
7.4.3 Contents
................................................................................................................................................................................
34
7.4.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
34
7.5 Component: Application specifications
..........................................................................................................................
35
7.5.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
.. 35
7.5.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
35
7.5.3 Contents .
...............................................................................................................................................................................
35
7.5.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
35
7.6 Component: Application's actors: roles, responsibilities
and
qualifications
.................................
36
7.6.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
.. 36
7.6.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
36
7.6.3 Contents
................................................................................................................................................................................
36
7.6.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
38
7.
7 Component: Selected
AS
Cs
for
the
application's life cycle stages
............................................................
38
7.7.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
.. 38
7.
7.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
39
7.
7.3 Contents .
...............................................................................................................................................................................
39
7.
7.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
39
7.8 Processes related to
the
security of
the
application
....
..
....
..
......
..
....
..
..........
..
............
..
........
....
......
..
....
....
......
....
..
39
7.8.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
.. 39
7.8.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
39
7.8.3 Contents
.....
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
............................................................................................................................................
39
7.8.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
40
7.9 Component: Application life cycle
......
....
............
....
....
....
..
....
..
............
..
..........
..
............
..
..........
..
....
..
......
..
....
..
..........
..
.........
40
7.9.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
..
40
7.9.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
40
7.9.3 Contents
................................................................................................................................................................................
40
7.9.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
40
7.10 Information involved by
the
application
......
..
..........
..
....
..
......
..
....
..
..........
..
............
..
..........
..
....
..
......
..
....
..
..........
..
.........
40
7.10.1 Purpose .
..
...
..
..
..
..
..
...
..
.
..
...
..
...
..
.
..
..
..
.
..
...
..
...
..
.
..
...
..
.
..
....
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
...
..
.
..
...
..
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
..
40
7.10.2 Description ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
...
.....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
.
..
.
..
...
....
..
..
..
...
.....
...
..
.
..
.
....
...
..
.
..
.
....
.
....
41
7.10.3 Contents
.....
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
............................................................................................................................................
41
7.10.4 Guidance ....
..
...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
...
..
.
..
.
....
..
..
..
..
.
....
.
....
.
..
.
..
...
....
.
..
.
..
...
.....
...
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
41
Annex A (informative) Guidance
text
related to
the
ASMP
step: (
6.4
) Realizing
and
operating
the
application ...
..
.
..
...
..
..
..
..
..
...
..
.
..
..
..
..
..
....
...
..
.
..
.
....
.
....
.
..
.
....
.
....
..
..
.
..
...
..
.
..
...
..
...
..
.
..
...
..
.
..
...
..
..
..
..
..
...
..
....
.
..
..
..
..
....
.
..
.
..
...
.....
...
..
...
....
45
Bibliography ....
....
.
..
.
............................................................
.
......
..
............................................................................................................................................
47
iv ©
ISO
/IEC
2018
-
All
rights
reserved
poorest
1S0/IEC
27034-3:2018(E)
Foreword
ISO
(the
International
Organization for Standardization)
and
IEC
(the
International
Electrotechnical
Commission) form
the
specialized
system
for
worldwide
standardization.
National bodies
that
are
members
of
ISO
or
IEC
participate
in
the
development of
International
Standards
through
technical
committees
established
by
the
respective
organization
to
deal
with
particular
fields of technical
activity.
ISO
and
IEC
technical
committees
collaborate in fields of
mutual
interest.
Other
international
organizations,
governmental
and
non-governmental, in liaison
with
ISO
and
IEC,
also
take
part
in
the
work. In
the
field of
information
technology,
ISO
and
IEC
have
established
a joint technical committee,
ISO/IEC
JTC
1.
The
procedures
used
to
develop
this
document
and
those
intended
for its
further
maintenance
are
described
in
the
ISO/IEC Directives,
Part
1.
In
particular
the
different approval
criteria
needed
for
the
different
types
of
document
should be noted. This
document
was
drafted
in accordance
with
the
editorial
rules
of
the
ISO/IEC Directives,
Part
2 (see
www.iso.org/directives
).
Attention is
drawn
to
the
possibility
that
some of
the
elements of
this
document
may
be
the
subject
of
patent
rights.
ISO
and
IEC
shall
not
be held responsible for identifying any
or
all such
patent
rights. Details of
any
patent
rights identified
during
the
development of
the
document
will
be
in
the
Introduction
and/or
on
the
ISO
list
of
patent
declarations received (see
www.iso.org/patents
).
Any
trade
name
used
in
this
document
is
information
given for
the
convenience of
users
and
does
not
constitute
an
endorsement.
For
an
explanation on
the
voluntary
nature
of
standards,
the
meaning
of
ISO
specific
terms
and
expressions
related
to
conformity
assessment,
as well
as
information
about
ISO's
adherence
to
the
World Trade Organization (WTO) principles in
the
Technical
Barriers
to
Trade (TBT) see
the
following
URL:
www.iso.org/iso/foreword.htm
l.
This
document
was
prepared
by
Joint Technical Committee ISO/IEC
JTC
1,
Information technology,
Subcommittee
SC
27,
Security techniques.
A list of all
parts
in
the
ISO/IEC 27034
series
can be found on
the
ISO
website.
© 1S0/IEC
2018
-All
rights
reserved
V
poorest
ISO/IEC
27034-3:2018(E)
Introduction
0.1 General
A
systematic
approach
to
integrate
security
controls
throughout
the
engineering
lifecycle
provides
an
organization
with
evidence
that
information
being
used
or
stored
by
its
applications is
being
adequately
protected.
The ISO/IEC
27034
series
assists
organizations
in
integrating
security
throughout
the
life cycle
of
their
applications
by
providing
frameworks
and
processes
scoped
at
organization
and
application levels.
This
document
defines
the
processes
required
for
managing
the
security
of
an
application identified
as
processing
critical
information
by
the
organization.
Table 1 -
ISO/IEC
27034
Framework
overview
Scope 1S0/IEC
27034
framework
What
it
represents
Organization Normative
Framework
(ONF)
One centralized
repository
of application secu-
rity
information
Organization
Process is in place to
maintain
and continuous-
ONF
Management
process
ly improve
ONF
Application Normative
Framework
(ANF)
Repository for all
AS
Cs
of an application
Application
Application
Security
Management Process
A
risk
based
process
that
uses
the
ANF
to
build
and validate applications
As
shown
in Table 1. organization-level
framework
and
process
are
provided
by
the
Organization
Normative
Framework
(ONF).
The
ONF,
its
elements
and
supporting
processes
are
defined
in ISO/
IEC
27034-2.
Application-level
framework
and
processes
are
provided
by
this
document
in Clauses 5 .
.6.
and
1.
The
Application
Security
Management
Process
(ASMP) helps a
project
team
apply
relevant
portions
of
the
ONF
to
a specific application
project
and
formally
record
evidence
of
the
outcomes
in
an
Application
Normative
Framework
(ANF).
Processes
for
determining
the
application
requirements
and
environment
are
included in
hl
to
.6...5.
. Subclause 6.1
addresses
the
identification of
the
application
requirements
and
its
environment,
assessing
the
application
security
risks. Evaluating
the
application's
Targeted
Level
of
Trust
is
addressed
in 6.2.
creating
and
maintaining
the
ANF
and
Application
Security
Controls
(ASCs)
is
covered
in 6.3.
and
processes
pertaining
to
realizing
and
operating
the
application
are
included in 6.4. Finally,
6.5
presents
a
process
to
verify
that
the
ANF
and
the
ASCs
are
properly
implemented.
0.2
Purpose
The
purpose
of
this
document
is
to
provide
requirements
and
guidance
for
the
Application
Security
Management
Process
and
the
Application
Normative
Framework.
vi ©
ISO
/IEC
2018
-
All
rights
reserved
poorest
剩余55页未读,继续阅读
资源评论
- weixin_454355222024-03-21内容与描述一致,超赞的资源,值得借鉴的内容很多,支持!
- 郭英凯2021-11-09用户下载后在一定时间内未进行评价,系统默认好评。
- weixin_421279812022-07-23资源内容详细全面,与描述一致,对我很有用,有一定的使用价值。
- RayZ_SMES2022-04-27用户下载后在一定时间内未进行评价,系统默认好评。
- 简单相信20232023-04-24资源有一定的参考价值,与资源描述一致,很实用,能够借鉴的部分挺多的,值得下载。
alarmano
- 粉丝: 23
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功