ISO_IEC 27034-1_2023 中文版 应用安全 第 1 部分：应用安全管理概述与概念.docxVIP

ISO/IEC27034-1:2023中文版应用安全第1部分：应用安全管理概述与概念

一、指南编制前言与核心定位

ISO/IEC27034-1:2023是国际标准化组织与国际电工委员会联合发布的应用安全系列标准总则基础性权威文件，作为整个ISO/IEC27034应用安全管理体系的第一核心分册与总纲依据，也是ISO/IEC27001信息安全管理体系在应用软件层面的专项细化延伸标准，专门针对企业应用软件种类繁杂、自研外购应用混杂、应用安全治理碎片化、安全与开发运营脱节、应用上线前无安全规范、运行后漏洞频发难治理、各类应用安全管控标准不统一、安全要求落地无统一依据等行业普遍性治理痛点，系统性搭建全球通用、全域适配、全生命周期贯通的应用安全顶层管理框架与基础统一概念体系。随着企业数字化业务全面线上化、业务应用微服务化、应用部署容器云原生化、自研软件快速迭代更新、第三方外购商用应用大批量接入、移动端办公应用广泛普及，应用软件已经成为企业业务流转、数据交互、用户对接、经营运转的核心核心载体，传统只重视网络边界防护、基础设施安全防护，忽视应用本身内生安全建设的粗放防护模式，已经完全无法抵御当前代码漏洞攻击、接口越权访问、应用注入攻击、恶意代码植入、第三方应用后门植入、迭代更新引入新增安全隐患等高频应用层网络威胁，大量企业因应用安全管理无统一标准、无统一概念口径、无统一治理框架