Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27034-2 — 应用安全 第2部分:组织规范性框架
企业应用安全管理的角色、职责、流程与基础设施
ISO/IEC 27034-2 专注于应用安全的组织规范性框架。第一部分提供了概念性概述并引入了 ASC 框架,而第二部分则涉及跨企业维持应用安全所需的组织基础设施。它定义了组织有效实施 ASC 框架所必须建立的角色、职责、流程和策略。该标准对于任何希望将应用安全从临时实践转变为结构化、可重复且持续改进的组织能力的组织而言至关重要。
ISO/IEC 27034-2 是连接单个项目级应用安全(第三部分涵盖)与组织治理的桥梁。没有该标准中描述的组织框架,应用安全计划将保持碎片化,依赖于个别 champion 的努力,而非嵌入组织流程中。
应用安全的组织规范性框架
ISO/IEC 27034-2 将组织规范性框架(ONF)定义为使组织能够在所有应用中一致地管理应用安全的流程、策略、程序、角色、职责和资源的完整集合。ONF 包括建立应用安全治理委员会(或同等机构),其成员来自安全、开发、运营、法务、合规和业务部门的跨职能代表。该委员会负责批准组织的应用安全战略、评审 ASC 库以及确保应用安全与业务目标对齐。
标准指定了几个具有明确定义的应用安全职责的关键组织角色。应用安全经理负责应用安全计划的日常管理,包括维护 O-ASC 库、协调应用安全评估以及报告整个组织的应用安全状态。每个应用项目都分配有一名应用安全官,作为项目中安全相关决策的联络点。这种基于角色的框架确保了清晰的问责制,并防止了那种每个人都对安全负责但没有人具体承担责任的常见问题。
| 角色 | 职责 | 汇报对象 | 关键活动 |
|---|---|---|---|
| 应用安全治理委员会 | 战略监督和策略审批 | 董事会/执行管理层 | 批准应用安全战略、评审O-ASC库、分配资源 |
| 应用安全经理 | 计划管理和运营协调 | CISO/CIO | 维护O-ASC库、协调评估、报告指标 |
| 应用安全官 | 项目级安全促进 | 应用安全经理 | 选择A-ASC、验证实施、进行风险评审 |
| 应用开发人员 | 安全编码和ASC实施 | 开发经理 | 遵循安全编码标准、实施ASC、自我测试 |
| 应用测试人员 | ASC验证和安全测试 | QA经理 | 执行安全测试计划、记录发现、验证修复 |
| 应用审计人员 | 独立合规性评估 | 内部审计/合规 | 审计ASC合规性、评审证据、报告不符合项 |
定义应用安全的流程与策略
ISO/IEC 27034-2 要求组织建立一套文件化的流程来管控应用安全活动。这些流程包括应用安全策略管理、ASC 库管理、应用安全上下文确定、ASC 选择与定制、ASC 验证与确认以及应用安全事件管理。标准强调这些流程应与组织现有的管理系统(特别是 ISMS 和 IT 服务管理)集成,而不是创建平行且可能冲突的安全流程。
第二部分的一个关键贡献是其关于 ASC 库管理的指导。O-ASC 库是组织标准化应用安全规范的存储库。标准定义了 O-ASC 的生命周期:创建或修改请求、治理委员会评审和批准、发布和传达给应用团队、定期评审以确保持续相关性以及最终退役或替代。每个 O-ASC 必须包括版本历史、生效日期、适用应用上下文、验证要求和相关组织策略等元数据。这种系统化方法确保 ASC 库在整个组织中保持最新、相关和可信。
拥有成熟 ONF(如 ISO/IEC 27034-2 所述)的组织,新应用接入安全计划的速度提高 60%,因为角色、流程和 ASC 库已预先建立。新应用只需从现有 ASC 库中选择,而无需从头定义安全需求。
不要低估建立和维护 O-ASC 库所需的工作量。ISO/IEC 27034-2 估计,覆盖常见应用类型的初始库可能需要数人月来开发。将 ASC 库视为需要持续投入的活资产,而非一次性项目交付物。
构建可持续的应用安全计划
从工程管理角度来看,ISO/IEC 27034-2 提供了构建可持续应用安全计划的蓝图。标准认识到应用安全不是一个有结束日期的项目,而是一种持续的组织能力。因此,它包括衡量应用安全计划有效性的要求、进行定期评审以及基于经验教训实施改进。标准推荐三个层级的指标:运营指标(已评估应用数、已验证 ASC 数、发现和修复的漏洞数)、计划指标(ASC 框架对应用的覆盖率、平均修复时间、评估吞吐量)和治理指标(董事会级安全报告、风险降低趋势、合规状态)。
标准还涉及能力和培训的关键问题。它要求所有参与应用安全活动的人员具备必要的能力,通过教育、经验和培训的组合来确保。组织必须保留能力评估记录,并在发现差距时提供有针对性的培训。对工程组织而言,这转化为建立安全编码培训计划、面向非技术利益相关方的安全意识宣传以及为应用安全官和审计员提供的专项培训。标准建议培训应针对具体角色并定期更新以应对新兴威胁和技术。
一个常见的实施失败是在纸面上建立角色和流程但没有分配足够的资源。没有预算、没有团队、没有权力的应用安全经理无法履行 ISO/IEC 27034-2 中定义的职责。确保组织框架得到高管的支持、专门的预算和可衡量的目标。没有这些赋能因素,ONF 将变成官僚主义操练而非运营能力。
问1:ISO/IEC 27034-2 与安全 SDLC 框架有何关系?
答:第二部分为安全 SDLC 提供了组织环境和基础设施。安全 SDLC 框架(如 Microsoft SDL 或 NIST SSDF)关注开发过程中的技术活动,而 ISO/IEC 27034-2 则处理组织赋能因素——角色、治理、策略和能力——没有这些,技术性的安全 SDLC 活动无法持续。
答:第二部分为安全 SDLC 提供了组织环境和基础设施。安全 SDLC 框架(如 Microsoft SDL 或 NIST SSDF)关注开发过程中的技术活动,而 ISO/IEC 27034-2 则处理组织赋能因素——角色、治理、策略和能力——没有这些,技术性的安全 SDLC 活动无法持续。
问2:第二部分和第三部分之间的关系是什么?
答:第二部分(组织)定义了应用安全的”谁”和”什么”——角色、职责和基础设施。第三部分(流程)定义了”如何”——管理 ASC 规范和实施的详细流程步骤。第二部分提供了第三部分流程执行所需的组织容器。
答:第二部分(组织)定义了应用安全的”谁”和”什么”——角色、职责和基础设施。第三部分(流程)定义了”如何”——管理 ASC 规范和实施的详细流程步骤。第二部分提供了第三部分流程执行所需的组织容器。
问3:O-ASC 库应该多久评审一次?
答:ISO/IEC 27034-2 建议 O-ASC 库每年评审一次,并根据重大事件(如新法规、重大技术变革或安全事件经验教训)触发临时更新。每个 O-ASC 应有评审日期和负责保持其更新的责任人。
答:ISO/IEC 27034-2 建议 O-ASC 库每年评审一次,并根据重大事件(如新法规、重大技术变革或安全事件经验教训)触发临时更新。每个 O-ASC 应有评审日期和负责保持其更新的责任人。
问4:应用安全官应具备哪些资质?
答:标准建议兼具软件开发经验、信息安全知识和风险评估技能。典型资质包括 3-5 年开发经验、了解安全编码实践、熟悉组织技术栈以及能够向技术和非技术利益相关方传达安全需求的能力。
答:标准建议兼具软件开发经验、信息安全知识和风险评估技能。典型资质包括 3-5 年开发经验、了解安全编码实践、熟悉组织技术栈以及能够向技术和非技术利益相关方传达安全需求的能力。
