首席信息安全官应用安全指南V1.0.pdf

首席安全官（CISO ）应用安全指南 Version 1.0 (November 2013) 项目负责人及主要作者 Marco Morana 合著者，提供者和审阅 Tobias Gondrom, Eoin Keary, Andy Lewis, Stephanie Tan and Colin Watson 翻译者 樊山、贺新朋、胡晓斌、郝轶、陈东、陈亮 首席安全官们 （CISO）负责从治理、合规性和风险的角度对待应用的安全性。 首席安全官应用安全指南旨在帮助CISO根据自己的角色、职责、观点和需要管 理应用安全计划。应用安全最佳实践和OWASP的资源在整个指南中被引用。 © 2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license 前言 本指南已经得到了OWASP的项目重启计划的支持，并且符合OWASP的核心 价值，指南的开发体现内容的开放性、创新性的想法和概念，将完整内容发布给 遍及全球的应用安全领域内严格中立和无特定商业利益偏向的供应商。该指南还 开发有关OWASP核心价值如能“促进实施和促进遵守的标准、程序和应用安全 控制”，并提供免费和开放的内容，在不以盈利为目的的OWASP原则下提高基 于风险的应用安全方法。CISO OWASP应用安全指南项目的领导者是Marco Morana 。Colin Watson, Eoin Keary, Tobias Gondrom和Stephanie Tan为本指 南的原始内容的开发做出贡献。。这个项目是OWASP与CISO调查项目负责人Tobias Gondrom同时开发。 同步运行这两个项目的目标是使用2013 CISO调查结果，并通过强调其中的 OWASP项目/资源解决这些需求，进而通过具体的CISO的需求定制指南。OWASP 首席安全官应用安全指南2013年11月版在2013年美国APPSEC大会提出，该会议 在2013年11月18 日至23 日纽约举行。 手册序言 简介 应用安全的利益相关者中，CISO （CISO ）负责从治理、合规性和风险的角 度考虑应用安全性。本指南旨在帮助CISO根据CISO的角色、职责、观点和需要 来管理应用安全计划。本指南中引用应用安全最佳实践和OWASP的资源。 OWASP是一个非赢利组织，其宗旨是“使应用程序的安全可见，并赋予应用安 全与利益相关者正确的信息，并用于管理应用程序的安全风险” 本指南可帮助CISO从信息安全和风险管理的角度管理应用安全计划。从信息 安全的角度来看，对组织的资产进行保护是很有必要的，这些资产包括公民、客 户端和客户敏感数据，存储这些数据的数据库,数据库服务器所在的基础设施， 以及最后也是最重要的用于访问和处理这些数据的应用和软件。除了业务和用户 数据，应用程序和软件也是CISO要保护的资产。其中一些应用程序和软件为组织 产生了收益并为客户提供关键业务功能。例如，为客户提供商务服务以及应用和 软件，为客户销售产品的应用和软件。在软件应用被认为是业务关键信息资产的 情况下，这些应该在人力资源、培训、流程、标准和工具中得到特别的关注。本 指南的范围是Web应用安全和结构与组件的安全，如Web服务器，应用服务器和 数据库的安全；这不包括其他不相关的具体应用的安全。例如，支撑应用和构成 一个有价值的资产的网络基础设施的安全属性，如必威体育官网网址性，完整性和可用性同样 需要得到保护。 （樊山） 目标 本指南能够帮助CISO从曝光的新威胁和合规性要求方面考虑管理应用安全 风险。该指南可以帮助CISO们：  使应用安全对CISO可见  确保应用符合隐私安全、数据保护和信息安全相关法规  优先修复有风险的业务漏洞  为构建应用安全提供指导意见  分析针对应用的网络威胁并找出对策  衡量和管理应用安全风险和流程 受众群体 