有興趣專研資訊安全的朋友可以翻查一下資訊安全管理系統 ISO/IEC 27001中附錄Ａ所列控制措施

A.14.2.8" System security testing"，從標準上來說，該控制措施要求“Testing of security funcitionality shall be carried out during development"，譯成中文為「在開發過程中應進行安全功能測試」

A.14.2.9"System acceptance testing: Acceptance testing programs and related criteria shall be established for new information systems, upgrades and new versions"，「應針對新資訊系統、升級及新版本建立驗收測試相關準則」。

根據過往的經驗，大部分的單位都會針對驗收測試訂定相關基準及測試方法，以確認新系統、更新或是新版本的開發是沒有問題的，然後才會完成驗收及上線。但是這些的驗收測試往往都只針對一般功能進行測試（比如資料建檔、資料刪除、資料修改、資料轉送等等），只要這些功能對了，通常都會完成驗收。

不要忘了雖然我們符合了A.14.2.9的要求建立驗收測試的相關作法，但是A.14.2.8的要求是針對安全功能進行測試，畢盡這是一份資訊安全管理的國際標準，怎麼可以忘了系統或是產品中總是有二種功能，一種我們稱為一般功能（也就是與Seurity無關的功能），另一種是安全功能。

何謂安全功能？只要跟資訊安全管控/防護有關的功能，就可以列為安全功能，比如身份辨識、加密功能、電子簽章、指紋辨識、亂數產生、加密通道（TLS)等等，都算是安全功能。這些的安全功能在一般資訊系統上都已經被廣泛地使用，但是很少的系統開發人員真的會針對這些安全功能執行測試。

舉個例子來說，加密通道（SSL/TLS)，現在應該很少有系統程式設計是會自己寫一個加密通道的功能，大部分的做法都是直接呼叫Openssl來執行已達到需求。但是在系統開發的過程中，真的有人會針對openssl進行測試嗎？確認openssl在建立三向交握時，資料的傳輸是正確的，加密通道建立完成後，在加密通道中傳輸的資料是確實被加密的，加密所採用的密碼演算法是正確的。

在這裡提出簡單的看法，希望各位在執行資訊安全管理機制應小心仔細的了解資訊安全管理系統的要求，並作出正確的實作方式，這樣才能使資訊安全管理系統真正的落實在組織中，讓資訊安全管理系統發揮最大的功效。