5.2.10  信息獲取、開發和維護

信息獲取、開發和維護包含3個控制目標13個控制措施。

　　在新的信息系統或增強已有信息系統的業務要求陳述_中，應包括信息安全相關要求。信息安全要求與實施安全的過程應在信息系統建設項目的早期階段（一般是規劃設計階段）被納入項目需求，根據實踐經驗在早期如設計階段引入安全控制措施將更高效和節省成本。如果購買安全產品，則宜遵循一個正式的測試和獲取過程，并根據國家或本地區法律法規選擇經過權威部門檢測檢驗的信息安全產品。對于組織重要的信息系統的安全產品的采購必須驗證其是否需求經過我國的安全審查。

通過公共網絡訪問的應用易受到許多網絡威脅，如欺詐活動、合同糾紛和信息的泄露或篡改。因此要進行詳細的風險評估并進行適當的控制，包括驗證和保護數據傳輸的加密方法等，保護在公共網絡上的應用服務以防止欺詐行為、合同糾紛以及未經授權的披露和篡改。

應保護涉及到信息系統中應用服務交換的信息以防不完整的傳輸、路由錯誤、未經授權的改變、擅自披露、未經授權的復制或重放攻擊。