申请 Web 应用程序的 ISO 标准 [关闭]答案

【问题标题】：ISO standards to apply for a web application [closed]申请 Web 应用程序的 ISO 标准 [关闭]
【发布时间】：2014-11-21 08:11:35
【问题描述】：

适用于 Web 应用程序的 ISO 标准是什么。我的意思是说，是否有任何标准可以满足 ISO 要求。

请回答我的问题。

在此先感谢 :)

【问题讨论】：

呵呵，这其实是个有趣的问题。看看他们如何定义 Web 应用程序的质量应该很有趣：-D
当然是一个有趣的问题，但我需要一个答案..:)
是的，哪个 ISO 标准？据我所知，没有针对“Web 应用程序”或一般软件开发的特定应用程序。 ISO 9000/9001 是更通用的“安全和质量”标准。但 ISO 认证超越了单一学科，它适用于整个组织。您的问题目前是无法回答的 IMO。
我要说有什么安全标准吗？以及如何申请到我的网络应用程序..

标签： java web-services security iso

【解决方案1】：

您可以查看 ISO/IEC 27034 Who IS the application security iso 标准

【讨论】：

【解决方案2】：

我建议您查看 Cloud Security Alliance 的 Cloud Controls Matrix，让您对各种行业安全标准和监管要求有一个高层次的概述，并在它们之间进行交叉引用 (https://cloudsecurityalliance.org/research/ccm/)。该矩阵包括来自 ISO/IEC 27001 系列以及 NIST、COPPA、ENISA、HIPAA、PCI DSS 等的控件。

关于 Web 应用程序的安全性，CCM 定义了以下高级控制域： “应用程序和编程接口 (API) 的设计、开发、部署和测试应符合领先的行业标准（例如，用于 Web 应用程序的 OWASP），并遵守适用的法律、法定或监管合规义务。”

OWASP 代表开放式 Web 应用程序安全项目，它是全球知名的 Web 应用程序安全指南资源。他们为您的需求提供的最佳产品之一是最近发布了他们的 v2.0 指南 (https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf) 的应用程序安全验证标准 (ASVS)。本指南根据一组 4 个越来越严格的级别，提供了安全 Web 应用程序应满足的详细要求列表。每个 Web 应用程序应尝试达到的 ASVS 级别将根据组织的独特威胁特征而有所不同。

【讨论】：