"セキュリティ評価では、機能テストは一部の側面でしかありません。IT 製品だけではなく、その開発で使用した設計文書やテスト関連の文書、利用者や管理者ガイダンス、実際の開発現場におけるセキュリティ維持のための手順書や実施証拠資料(各種ログや承認書など)も評価の対象となります。また、そのレベルによって評価の範囲や深さが異なりますので、これらの必要な資料類も異なります。
いずれもセキュリティを確保するために必要な資料であり、評価のために別途作成されるものではありません。該当する資料へのインデックスを評価者に示していただければいいものです。もし評価に必要な資料がないとすれば、それは必要とされるべき手順や記録が欠落していたことを意味します。"

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA