系统安全、应用安全、敏感信息的保护等话题已经成为软件企业不能回避的挑战，如何在开发过程中制度化、流程化地实现安全特性，是所有软件企业都要着重考虑的问题。国际标准ISO27034是一个系统性解决以上问题的方案，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。

　　安全性的方式，能够让安全性成为企业的竞争优势。另一方面，对购买软件和服务的客户来说，这一标准可以作为一个简单明确的“语言”，促使开发者实施安全开发。

　　软件安全标准需求迫切

　　根据Forrester在2011年的一项调查，关于开发过程中的安全性问题，有14%的企业完全没有考虑， 49%的企业部分程度上认识到了这个挑战，只有37%的软件企业拥有明确的安全开发战略。很多软件企业还没有在足够的高度上认知开发安全性，只是把安全性作为一个战术层面或者简单的规范，没有实施端到端的战略方法。在开发过程缺乏对安全性的控制，很明显会把风险从开发过程转移到软件运行阶段。

　　实际上，在安全性方面进行投入会有丰厚的回报。2011年Aberdeen的报告中指出了8个提升投资回报率的方法，其中实施安全战略，软件企业可以获得超过4倍的ROI。对软件企业来说，实施安全战略还有更多好处。软件开发企业Itron应用了微软的SDL（软件安全生命周期）战略，他们说已经有很多客户在询问安全开问题，而应用SDL不仅可以很清晰明确地地告诉客户“我们有很全面的安全计划”。

　　有标准，好办事

　　对软件客户来说，在考虑开发者是否提供足够安全性时，可能会提出类似以下的问题：你们的代码扫描工具实时很么？你们有没有足够的人负责安全？你们的安全措施和别人一样么？提出这些问题看似能让自己安心，但是有的时候并不能真正切中要害，同时很重要的一点，是对安全性的部分确认，等于鼓励对方只进行部分实施。

　　从安全战略角度，以上担心更好的解决方案是从系统性方面提出问题：在安全性方面，你们是否有公司层面的策略和管理支持？你们对风险的评估和改善是否考虑全面？在软件生命周期中安全性的实施如何保证？随着问题越来越多，可以把所有疑问替换为一个问题获得终极答案：你们企业是否试试了ISO 27034？