对软件使用客户来说，在考虑开发者是否提供足够安全性的同时，可能也会提出类似如下的问题：你们的代码扫描工具实时更新么？你们有没有足够的人负责安全？你们的安全措施和别人一样么？提出这些问题看似能让自己安心，但是有时候并不能真正切中要害，同时很重要的一点，是对安全性的部分确认，等于鼓励对方只进行部分实施。

从安全战略角度，以上担心更好的解决方案是从系统性方面提出问题：在安全性方面，你们是否有公司层面的策略和管理支持？你们对风险的评估和改善是否考虑全面？在软件生命周期中安全性的实施如何保证？随着问题越来越多，可以把所有疑问替换为一个问题获得终极答案：你们企业是否试试ISO 27034了？

对采购者来说，ISO27034可以保证软件供应商在软件开发过程中采用了足够的安全管理流程。对开发者来说，可以用这个标准简单地说明自己的安全性优势，给采购者足够信心。

ISO27034（也是IEC27034）由六部分内容组成。其中第一部分应用安全性综述和概念已经正式发布，就是ISO27034-1。其余五个部分分别是第二部分组织规范框架，第三部分应用安全管理流程，第四部分应用安全验证，第五部分协议和应用安全控制数据结构，最后一部分是特定应用的安全指导。未发布的五部分中，2、5、6已经有工作草案。

软件定制相关：http://www.commernet.cn/rjdz/