上次談到了ISO 27001中有關網路、作業系統、應用系統的存取控制要求,藉由部署適當的控制措施,可降低組織的安全風險,接下來將說明標準中有關資訊系統取得、開發與維護的安全要求。
對大多數的組織而言,資訊系統的獲得有兩個來源,一個是由內部人員自行開發撰寫應用程式,另一個則是由外部廠商來協助開發或提供套裝軟體。不過,無論是採用委外服務或是自行開發,對於資訊系統所需的安全目標都是一致的,相關的安全控制目標與措施,可以參考ISO 27001附錄A.12「資訊系統取得、開發與維護」的內容,它主要有六個控制項目,依序說明如下。