控制措施
應用系統的開發單位在開發系統前,應該要建立系統的威脅模型。而這主要的用途包括:
- 識別應用系統的主要流程與關鍵資源或主要元件
-
基於對於系統運作方式的了解,識別出主要的威脅以及可能造成的影響
舉例來說,像Howard 與 LeBlanc 就提出使用資料流程圖的方式去識別系統運作方式,並且去識別主要威脅而評估風險。這樣的方法也被應用在微軟的安全開發生命週期方法中 (Security Development Lifecycle, SDL)。而這也可以做為後續分析風險的依據之一。像是 ISO/IEC 29134:2017 就有要求要識別應用系統的應用情境,以便釐清相關的威脅,並且能夠更進一步去進行隱私風險分析。
適用範圍:
- 應用服務的開發與維護單位
- 聯合決策組織
相關標準之控制措施:
| 標準 | 相關控制措施 |
|---|---|
| PCI-DSS 3.2.1 | 6.1、12.2 |
| CIS 控制 v7.1 | 14.1.1、14.2.5 |