つらつらと仕事でISMSの管理策を眺めていてふと思ったのだが、「１０．システム開発及び保守」に記述されていることをセキュリティ要求仕様として依頼すれば、セキュアなアプリケーションができないだろうか？特に「10(2)業務用システムのセキュリティ」に記述されていることがばっちりはまる気がする。
引用するとこんな感じだ。

• 入力データの妥当性：業務用システムに入力されるデータは、正確で適切であることを確実にするために、その妥当性を確認すること。
• 内部処理の管理：処理したデータの改竄を検出するために、システムに妥当性の検査を組み込むこと。
• メッセージ認証：重要性の高いメッセージ内容の完全性を確保するセキュリティ要件が存在する場合は、メッセージ認証を使用すること。
• 出力データの妥当性確認：業務用システムからの出力データについては、保存された情報の処理がシステム環境に対して正しく、適切に行われていることを確実にするために、妥当性確認をすること。

アプリケーションのセキュリティを保つために行うことはほぼ満足している気がする。これって（この項目をシステム開発の要件に入れること）ISMSのコンサルをやっている人にとって当たり前のことなのだろうか？
これに加えて「アプリケーションのセキュリティテストを行うこと」と言うのを入れれば、発注する側としてはほぼ問題無い気がするのは気のせいだろうか？
うーんどうなんだろう？