| 基於安全開發生命週期探索滿足資訊安全要求交付物之研究 | |
|---|---|
| 學年 | 112 |
| 學期 | 2 |
| 發表日期 | 2024-06-23 |
| 作品名稱 | 基於安全開發生命週期探索滿足資訊安全要求交付物之研究 |
| 作品名稱(其他語言) | |
| 著者 | 蕭瑞祥; 鄭哲斌; 楊俊益 |
| 作品所屬單位 | |
| 出版者 | |
| 會議名稱 | 2024年第35屆國際資訊管理學術研討會(ICIM2024) |
| 會議地點 | 台北市,臺灣 |
| 摘要 | 本研究聚焦於安全開發生命週期交付物,旨在透過分析 ISO/IEC 27001:2022 和安全軟體開發框架的控制措施,定義各階段的資訊安全交付物。研究目標為取代現有組織內傳統安全開發生命週期各階段的控制措施和檢核表格,以符合專案交付的資訊安全需求。目前業界實務普遍參考資訊安全規範,定義及篩選各階段控制措施,並建立檢核表。在專案交付或稽核時,專案團隊會使用檢核表勾稽確認開發生命週期各階段是否依照定義實施控制措施。然而,實務上常遭遇資訊安全需求不明確、控制措施定義不一致、工作績效驗收困難等問題。本研究融合 ISO/IEC 27001:2022及安全軟體開發框架指引,從規範內的控制措施探索出安全性交付物。並將資訊安全交付物納入能力成熟度整合模型的流程改進進行審視,以確保專案開發過程中各階段的資訊安全交付物都能滿足達成資訊安全目標,並提升組織對安全開發的能力,進而提高產品的安全性和品質。此外,本研究透過專家深度訪談,完善研究結果,以確保符合資訊安全、專案管理和系統軟體開發領域規範。研究發現,資訊安全交付物之軟體物料清單應記載軟體程式碼、開源資料庫、第三方程式庫、模組等元件的版本、開發人員、組織、授權條款、依頼關係、漏洞和弱點。以提高軟體供應鏈安全和透明度,促進軟體合規性,組織及專案團隊必須在安全開發生命週期中全程對軟體物料清單進行監管,並隨時審視及更新。本研究提出的資訊安全交付物不僅能實現實務應用中的資訊安全目標,同時亦可提供專案管理上的量化績效依據。 |
| 關鍵字 | 安全開發生命週期; 資訊安全; ISO/IEC 27001:2022; 能力成熟度整合模型; 軟體安全開發框架 |
| 語言 | zh_TW |
| 收錄於 | |
| 會議性質 | 國內 |
| 校內研討會地點 | 無 |
| 研討會時間 | 20240623~20240623 |
| 通訊作者 | |
| 國別 | TWN |
| 公開徵稿 | |
| 出版型式 | |
| 出處 | |
| 相關連結 |
機構典藏連結 ( http://tkuir.lib.tku.edu.tw:8080/dspace/handle/987654321/128752 ) |
GoogleAnalytics