A.6.1.4项目管理中的信息安全 

信息安全应融入项目管理中，与项目类型无关。 

加强项目中的安全管理。 

A.12.6.2限制软件安装 

应建立规则来控制用户安装软件 

控制版权及技术漏洞风险。 

A.14.2.1安全开发策略 

应制定及应用关于软件和系统的开发规则 

加强信息系统生命周期中的信息安全管理，建立安全开发策略、程序与流程。 

A.14.2.5系统开发程序 

应建立安全系统开发流程，记录，维护并应用到任何信息系统开发工 作 

A.14.2.6安全的开发环境 

组织应建立并适当保护开发环境安全，并集成涵盖整个系统开发周期 的工作 

A.14.2.8系统安全性测试 

在开发的过程中，必须测试功能的安全性 

A.15.1.3ICT供应链 

与供应商的协议应包括解决信息、通信技术服务、产品供应链相关信 息安全风险的要求 

控制供应链中断风险。 

A.16.1.4信息安全事件的评估和决策 

信息安全事件应当被评估与决策，如果他们被归类为信息安全事件 

完善信息安全事件管理生命周期。 

A.16.1.5信息安全事故的响应 

信息安全事件应依照程序文件响应 

A.17.1.2实现信息安全的连续性 

组织应建立、记录、实施并维护流程、程序、控制项，以保证在不利 情况下要求的信息安全连续性的等级。 

加强可用性管理，完善原BCM管理的生命周期。 

A.17.2.1信息处理设施的可用性 

信息处理设施应当实现冗余，以满足可用性需求。