A.14 システムの取得、開発及び保守

組織のソフトウェア、情報処理設備、通信サービスには情報セキュリティの要求事項を分析し、設計に対する要求をまとめ、仕様に含めなければなりません。サービスの安全性、要求通りのサービス提供、望まない結果を防止するためにトランザクションに含まれる情報は保護しなければなりません。
ソフトウエアやシステムの開発のための方針に基づき、たとえば開発標準のようなものを文書化します。内容にはセキュアプログラミング手法、データマネジメント、利用者認証、セッション管理、サニタイジングなど考慮します。
外部委託開発先にはセキュリティ要求事項を契約書に定め、監督しなければなりません。
運用を開始してからセキュリティ不備のためのインシデントが発生しないように開発期間中にテストしなければなりません。
新しいシステムや更新されたシステムは、受け入れ試験を行い、受け入れ基準を満たしているか確認する必要があります。
個人情報はなるべくテストデータに使用しないでください。どうしても使用する場合はマスキングなどを行い個人が特定できないかたちで使用します。