前幾天看到新聞，部長與立委互相指責對方所說的是空話，原因是個資外洩，立委想要了解主管機關對資通系統的安全做了甚麼，如何保證資通系統的安全性，剛好最近有些軟體開發公司找我想要做SSDLC，因為資通安全管理法的關係，現在有很多機關找軟體開發商的時候，因為設定有資通防護基準的要求，在合約中都會要求執行SSDLC，但是目前來看國內多數的軟體開發或維護廠商，真正能夠了解SSDLC又要提出相關的證明是非常困難的，正好呼應部長與立委的空話說。
對軟體業者來說，如何向客戶及使用者證明他們所開發的系統是安全的，現在成為重要的議題，要創造信任機制並且必須有據可查，在這個前提下，必須要了解下列事項：
一、是否有指標可以告訴我們任何事情都在我們的控制之下
二、第三方元件是否可被信任
三、我們是否符合客戶指定的資訊安全要求
四、當資安事件發生時我們是否有紀錄及證據
對於量測及監控的方式需要決定出來，甚麼事不能被量測與監控的也要能夠說明，這樣就可以建立基本的信任機制，因為資通安全管理法要求所謂資通系統防護基準，目前很多組織都是空有基準而不知如何監控及量測，隨著相關指引的頒布，大家也愈來愈知道要如何去證明自己的系統究竟符不符合安全性的要求，但是對於整體開發及維護過程，需要何種類型的管理，這是目前所欠缺的。
因為前面所敘述的問題，ISO組織在2011年就發行ISO270034標準，希望能針對應用系統的安全創建管理的機制與方法，證明應用程式的安全性，本標準不僅適用開發單位，也適用於管理應用程式的組織，針對應用程式的安全性訂出一系列的標準如下：

ISO 27034藉由組織的管理經由基本原則、驗證及稽核等作法，證明應用程式的安全性，其相關原則如下

ISO 27034以資訊保護原則作為開發應用程式的基礎，使用應用程式生命週期安全指引模型建構生命週期內所需要的安全性，原則如下：

藉由ISO 27034建構應用程式安全，最後希望每一個資通系統都能有自己的資通系統安全計畫，從計畫中展現對於安全到底做了多少努力，並不是每一個系統都要做到百分百的安全，當然說這句話本身會受到極大的挑戰，可是事實是如此，如果沒有在安全上花費資源進行投資，那如何期望他是安全的，所以在有限的資源中做了那些安全事項這才是我們想要知道的，也不會變成空話。

ISO 27034組織規範框架：由各項元件組成框架，以框架模式對應PDCA循環，達成管理應用程式安全的模式，如下：

如果針對導入ISO 27034有興趣歡迎聯繫
https://ingsafe.tw/